Кратко, что сегодня произошло на дтф
- примерно в 13:30 по Мск сайт забаговал
- при загрузке любой страницы людей начало "логинить" в чужие аккаунты с полным доступом ко всему (upd. пишут и про отправку комментариев, видимо просто на любом реквесте)
- минут через 30 после начала инцидента всех принудительно разлогинили и отключили действие логин
- через 2 часа после начала инцидента починили и у…
Личные переписки, черновики, все, потенциально, слито.
Комментарий недоступен
хуже, буквально при любом действии перекидывало в чужой акк
Очень просто, вся информация о залогиненном пользователе хранится в куках твоих, при реквесте на сервер он (сервер) берет эту инфу делает примерно следующее:
0) Смотрит есть ли такая кука вообще и если нету, то предлагает тебе авторизоваться (рисует всякие кнопки для авторизации, показывает попап с окном авторизации через сервисы разные. Если ты нажал логиниться через что-то, то сервис тебе куку авторизационную в итоге записывает
1) Проверяет не протухли ли куки (ты логинился больше 2 недель назад)
2) Если не протухли, то находит связанный аккаунт в бд и помечает текущего юзера как залогиненного под этим аккаунтом.
На шаге 2 можно написать кривой код, который находит неправльного юзера \ находит первого попавшегося по каким то признакам (условно email starts with ...)
Очевидно были правки в шаге 2, которые и привели к тому что тебя логинило под неправильным юзером.
тест на проде)
ITшник обиделся