Илья Верповский
Хорошо перевёл отрывок, приятно читать.
И подход хороший, так быстро можно выучить язык
https://www.trueachievements.com/news/canceled-xbox-mmo-project-blackbird
Project Blackbird was a blend of Destiny, Blade Runner, and Horizon Zero DawnМда...
Многоходовачка от Microsoft -- скупить всю память чтобы победить конкурентов на консольном рынке.
https://x.com/vxunderground/status/2005008887234048091
Пояснение: предыдущий пост об Ubisoft вызвал некоторую путаницу. Это моя вина. Я буду более красноречив. Я пытался сжать информацию в один пост, не превышая лимит по количеству слов.
Вот что говорят в интернете:
- ПЕРВАЯ ГРУППА лиц воспользовалась сервисом Rainbow 6 Siege, что позволило им банить игроков, изменять инвентарь и т. д. Эти лица не трогали пользовательские данные (неизвестно, могли ли они это сделать). Они подарили игрокам игровую валюту на сумму примерно 339 960 000 000 000 долларов. Ubisoft выполнит откат, чтобы устранить ущерб. Вероятно, они очень раздражены. На данный момент я не могу раскрыть все детали того, как это было сделано.
- ВТОРАЯ ГРУППА лиц, не связанная с ПЕРВОЙ ГРУППОЙ, использовала MongoBleed для взлома экземпляра MongoDB от Ubisoft, что позволило им (в некоторой степени) перейти к внутреннему репозиторию Git. Они похитили большую часть внутреннего исходного кода Ubisoft. Они утверждают, что это данные с 90-х годов по настоящее время, включая наборы для разработки программного обеспечения, многопользовательские сервисы и т. д. Я уверен в этом на 50-70 %. Я подтвердил это у нескольких сторон.
- ТРЕТЬЯ ГРУППА лиц утверждает, что взломала Ubisoft и похитила данные пользователей, воспользовавшись уязвимостью MongoDB через MongoBleed. Эта группа пытается шантажировать Ubisoft. У них есть название для своей шантажной группы, и они активны в Telegram. Однако мне не удалось установить достоверность их утверждений.
- ЧЕТВЕРТАЯ ГРУППА лиц утверждает, что ВТОРАЯ группа лжет, и заявляет, что ВТОРАЯ ГРУППА уже некоторое время имеет доступ к внутреннему исходному коду Ubisoft. Однако они заявляют, что ВТОРАЯ ГРУППА пытается скрыться за ПЕРВОЙ ГРУППОЙ, чтобы выдать себя за нее и дать ей повод для утечки исходного кода в полном объеме. ПЕРВАЯ ГРУППА и ЧЕТВЕРТАЯ ГРУППА разочарованы этим.
Вторая группа обнародует исходный код? Вторая группа говорит правду? Вторая группа лгала и все это время имела доступ к коду Ubisoft? Это был MongoBleed? Первая группа будет привлечена к ответственности за это? Кто эта загадочная третья группа? Связана ли эта группа с какими-либо другими группами?
¯\_(ツ)_/¯
Ну и MongoDB это само по себе странный выбор. Я сам не backend разработчик, но никогда ничего хорошего про MongoDB я не слышал.
Ещё прикол в том, что авторизированным быть не нужно, чтобы воспользоваться уязвимостью.
Там уязвимость в библиотеке сетевого подключения
https://www.youtube.com/watch?v=9Wg6tiaar9M
Тут чувак рассказывает про этот mongodb bleed.
Типа, один чувак нашел уязвимость и выложил исходники как это повторить на рождество на GitHub (подарочек под ёлочку пока никто не работает).
И сразу 5 независимых команд начали ломать сервера Ubisoft.
При этом уязвимость звучит как что-то банальные. Типо можно сделать запрос к mongodb и указать что ответ ожидается такой-то длины. И если указать длину больше, то mongodb заполнит этот "больше" просто следующими данными из базы данных. Можно указать бесконечность и mongodb сольёт вообще все данные. А там могут оказаться и пароли доступа, и ключи сессией, и вообще всё на свете.
Забавно, есть знакомый лингвист, который писал дипломную работу на тему Толкина и конкретно переводов произведения Властелина Колец. Не знаю, что там было в работе, но человек тоже кайфовал от процесса.