Система защиты BAS

support

Несколько дней назад мы получили сообщение о том, что старая версия одного из скриптов раздается бесплатно не ее автором.

Мы проверили эту информацию и действительно оказалось, что это точная копия скрипта. Не изготовленный на заказ похожий скрипт, а именно копия.

Причины для этого могут быть следующими:

1. Утечка исходника со стороны разработчика.
2. Получение исходника используя аккаунт разработчика на сайте.
3. Получение исходника используя возможную уязвимость на сайте.
4. Возможный взлом скомпилированного приложения.

Понять что именно случилось спустя несколько месяцев достаточно сложно. Поэтому мы написали человеку, раздающему взломанное приложение представившись пользователем, который хочет взломать другой скрипт и предложили за это солидную сумму. При этом на сервере были активированы все возможные логи, чтобы понять, какие именно шаги он предпринимает.

По результату переписки взлом так и не был осуществлен, он просто перестал отвечать на сообщения. При этом человек говорил такие вещи, которые не позволяют его считать компетентным в данном вопросе. На самом деле у взломщика ушло больше дня чтобы просто запустить скрипт.

Пример:

https://i.imgur.com/fVhWWbH.png

Что касается логов на сервере, то предоставленные злоумышленнику данные авторизации были использованы всего 2 раза чтобы запустить скрипт на 1-2 минуты.

---

В результате, если допустить вариант 3) или 4), тогда не понятно, почему злоумышленник не захотел получить деньги без особого труда? Почему версия скрипта, который раздается бесплатно настолько устаревшая? Почему он даже не пытался осуществить взлом?

Из всего этого я могу предположить, что взлом защиты BAS в конкретно этой ситуации маловероятен. Маловероятен, но все таки возможен. Именно поэтому незамедлительно будет предпринят комплекс мер по усилению защиты:

1. Скоро выйдет патч с переносом части вещей касающихся безопасности на сервер.
2. Будет объявлено вознаграждение за найденные уязвимости(https://community.bablosoft.com/topic/12484/).
3. Мы закажем аудит системы защиты у сторонней компании.
4. Скорее всего, будет сменен протектор.
5. Возможность получить код своего скрипта через личный кабинет отключена(Уже сделано).

Все эти меры будут предприняты в самое ближайшее время, буквально дни и часы. Сейчас версия BAS 23.0.0 уже полностью готова, но ее релиз откладывается, чтобы разобраться с возможностями проблемами описанными выше.

---

Мы дорожим нашими наработками в области защиты и не потерпим воровства на нашей площадке, именно поэтому пользователь демонстративно раздававший чужое был забанен. И так будет с каждым, не зависимо от статуса, количества пользователей, и т. д.

---

В этой теме допускается только обсуждение касающиеся защиты. Название конкретных скриптов употреблять запрещено. Запрещено говорить о багах BAS(для этого есть другие темы).

Evheniu

На сколько я знаю, версия скрипта которую он раздавал была за апрель месяц. И как он сам писал, у него база всех шаблонов бас

Отказался от взлома в августе, когда скрипт который раздавал был апрельский.

И ещё хотел спросить, а не в апреле ли было то обновление, где вы скрыли как отображаются скачанный скрипт с сервера где не видно части действий?

Может именно тогда об этом было известно, и никто не мог догадаться что кому-то эти невидимые действия и не нужны будут, достаточно знать как заполнять файлы и можно компилировать чужой скрипт без редактирования

saanneekk

Оперативно и очень серьезно) Спасибо, Шеф!

GamiD

Что будет со старыми версиями BAS обновление защиты не коснется?

support

Сейчас нас пытаются шантажировать, и хотя человек не привел никаких доказательств, мы все равно вынуждены отключить сайт и выкатить апдейт с шифрованием базы раньше запланированного срока. Безопасность пользователей превыше всего. Сайт вернется к работе через 20-30 минут. Приношу прощение за неудобства.

support

Работоспособность сайта восстановлена, сейчас абсолютно все скрипты в базе зашифрованы. Это позволяет защититься от части возможных уязвимостей. Если вас возникли проблемы с запуском скрипта, пишите на почту mail.to.twaego@gmail.com. Следующий апдейт будет на стороне исходного кода приложения. Сейчас я работаю день и ночь, чтобы выпустить обновление максимально быстро.

IvanM

@support
Имеет ли смысл менять пароль в ЛК сейчас?

selector

@support ждем апдейт тогда мешать не будем. Надеюсь учтите пожелания

support

Мы пришли к соглашению с людьми, которые вовлечены в данную ситуацию, что оставляем их скрипт в магазине еще на месяц, в обмен на гарантии безопасности касательно возможной утечки. Тем временем в среду можно ожидать новый апдейт BAS, в котором будет много вещей касающихся безопасности. Кроме всего прочего, скрипт на клиенте теперь ни в один момент времени ни при каких обстоятельствах не будет расшифрован. В открытом виде может быть только маленькая часть скрипта, которая выполняется в данный момент.

support

@IvanM Исходник скрипта через сайт уже никак нельзя получить. Даже хозяину скрипта. Но пароль лучше поменять, так как возможность запустить скрипт все еще есть через ЛК.

A Former User

@support не стоит доверять подобным "людям"

support

Система защиты доработана. Версия 23.1.0. Последний пункт - будет заказан аудит системы защиты у сторонней компании. Другими словами, закажем взлом BAS у профессионалов. Если попытка будет успешна, обновим софт еще раз.

FastSpace

@support Защита это конечно хорошо, но тогда что-то подобное бы еще в FP Switcher, а то считывает все и спокойно может фейк проглотить.

Empire Cash Bot

@support здравствуйте, на днях с бота вытащили ключ, который шифровался md5 и отправлялся на сервер.
С помощью него получили доступ к api. Есть информация где могла произойти утечка? и как пофиксить.

A Former User

@DanBro md5 скомпроментированый сам по себе и его нельзя использовать для таких целей

QWEB

"Другими словами, закажем взлом BAS у профессионалов."
Ну и как? Заказали?

Fox

@QWEB said in Система защиты BAS:

"Другими словами, закажем взлом BAS у профессионалов."
Ну и как? Заказали?

С какой целью интересуетесь?

QWEB

@Fox да вот попались интересные темы на форумах

Не очень хочется, чтобы и мой софт там оказался)

FastSpace

@QWEB said in Система защиты BAS:

@Fox да вот попались интересные темы на форумах
Не очень хочется, чтобы и мой софт там оказался)

В коде есть несколько вкусных моментов, где разраб сливает данные своих покупателей.

?

support

@QWEB Ссылки удалил. Сейчас разбираюсь что там.

Не очень хочется, чтобы и мой софт там оказался)

По вопросам безопасности обращайтесь на почту mail.to.twaego@gmail.com