В защиту разработчиков

Авторизация на сайте - это то, что обычно делается один раз, и потом не трогается вообще. Поэтому зачастую забывается, насколько это вообще важная и сложная штука. Судя по всему, разработчики что-то правили в авторизации, отнеслись несерьёзно, в итоге случилось это.
(кстати, совет, если нужно внести правки в такой ключевой аспект сайта, допускайте до него исключительно синьоров, а потом всей командой старательно всё протестируйте, прежде чем выкатывать на прод. Ну и код ревью, ребята, вы чо блин).

Кто-то говорит, что потерял деньги. Звучит странно. Сам я проверить не могу, как это работает, - нет денег на балансе, но неужели новый метод вывода денег не подтверждается через СМС? Если это так, то это нужно исправлять, конечно.

Тем не менее, такое случается.

Чтобы такого случалось реже, нужно очень строго следить за разработчиками, и платить им много денег. Типичный разработчик, как я понял из своего 15-летнего опыта, в 99% случаев работает на "и так сойдёт". Причём это касается как юных джуниоров, так и маститых синьоров, и ситуации вроде: "вы мне сказали поставить дверь, но никто мне не сказал, что она должна открываться" - вообще обычное явление.

Тем более, если команда меняется. Тогда новый разраб, не видя всей картины, и не зная о подводных камнях, может одним коммитом наломать дров в несколько кубометров.

А иногда просто бизнес "быстро развивается" и исправления косяков, аккуратно спрятанных под ковром, откладывается в бесконечное будущее.

Помнится, лет 10 назад Инстаграм требовал от меня каждый год придумывать новый пароль. Мол "БЕЗАПАСНАСТЬ!!111". Каждый сука год я придумывал новый пароль, и если этот новый пароль был позапрошлогодним, Инстраграм ругался, и говорил, что я безответственный пользователь. Я сейчас не буду поднимать вопрос о том, как я должен придумывать и помнить уникальные пароли для 40+ ресурсов. Я поступал прилежно: придумывал новые пароли, и старался хранить их у себя в уме. В итоге в какой-то момент внезапно выяснилось, что Инстаграм хранил пароли в открытом (незахешированном/незашифрованном) виде, и мои пароли утекли ВСЕ. Это сука притом, что на дворе был, наверное, 2015 год, и за такое ставили к стенке уже лет 8 как. Сука две недели я получал оповещения со всех ресурсов, мол, "странно, кто-то зашёл к вам в учётку из Никарагуа".

И это Инстаграм. То есть Facebook.

В далёком 2009-ом только появились сервисы СМС рассылки. И тогда ещё можно было подставлять любого отправителя СМС (вообще любой номер, а то и текст). Я работал над приколюхой, которая должна была рассылать платные сообщения якобы от имени Деда Мороза. Чтобы протестировать рассылку, я убрал страницу оплаты и сделал рассылку бесплатной. И сука забыл об этом. Два дня мы привлекали людей через рекламу, они заходили на сайт, и рассылали тонны СМС, не заплатив при этом ни копейки. Это притом, что компания то как раз за каждое сообщение платила (оно было рублей 5 что ли за короткое СМС, и до 60р за очень длинное). Руководство сказало "да бля", и ничего с меня не взыскало.

Однажды я работал над системой управления компьютерной техподдержкой. Через два года работы выяснилось, что моя система назначала инженерам зарплату, которая зависела от объёма проделанной работы, примерно на 10-15% больше положенного. Инженеры, разумеется, об этом знали, потому что всегда вели свои подсчёты, но ничего мне не говорили. Руководство подсчитало убытки, что примерно составило полляма за два года - а это моя годовая зарплата тогда была, сказало опять "ну бля", и ничего не стало делать.

И я скажу вам - это я ещё относительно бескосячный разработчик. Из того, что видел я, люди косячили гораздо чаще и серьёзнее.

Что в итоге.

У кого-то, вероятно, спалили переписку и стырили черновики. Не думаю, что это произошло повсеместно, потому что ситуация случилась рандомно, и вряд ли реальные злоумышленники успели бы сориентироваться за два часа. Но это косяк, да. Надеюсь никто из вас не делился личными данными, адресами и сканами паспортов. Если же делились - выводы вы сможете сделать сами.

Некоторые спрашивают, нужно ли им менять пароли. Не нужно. Их не увидел никто, и если в DTF работают не бывшие разработчики Инстаграма, ваши пароли стырить нельзя в принципе.

Что делать?

Да ничего. Сайты ломаются, базы нет-нет утекают, протоколы компрометируются. Вы можете разве что аккуратнее обращаться с вашими личными данными.

PS: Ну и молодцы, что оперативно отреагировали и сообщили об ошибке разработчикам.