Система защиты BAS



  • Несколько дней назад мы получили сообщение о том, что старая версия одного из скриптов раздается бесплатно не ее автором.

    Мы проверили эту информацию и действительно оказалось, что это точная копия скрипта. Не изготовленный на заказ похожий скрипт, а именно копия.

    Причины для этого могут быть следующими:

    1. Утечка исходника со стороны разработчика.
    2. Получение исходника используя аккаунт разработчика на сайте.
    3. Получение исходника используя возможную уязвимость на сайте.
    4. Возможный взлом скомпилированного приложения.

    Понять что именно случилось спустя несколько месяцев достаточно сложно. Поэтому мы написали человеку, раздающему взломанное приложение представившись пользователем, который хочет взломать другой скрипт и предложили за это солидную сумму. При этом на сервере были активированы все возможные логи, чтобы понять, какие именно шаги он предпринимает.

    По результату переписки взлом так и не был осуществлен, он просто перестал отвечать на сообщения. При этом человек говорил такие вещи, которые не позволяют его считать компетентным в данном вопросе. На самом деле у взломщика ушло больше дня чтобы просто запустить скрипт.

    Пример:

    https://i.imgur.com/fVhWWbH.png

    Что касается логов на сервере, то предоставленные злоумышленнику данные авторизации были использованы всего 2 раза чтобы запустить скрипт на 1-2 минуты.


    В результате, если допустить вариант 3) или 4), тогда не понятно, почему злоумышленник не захотел получить деньги без особого труда? Почему версия скрипта, который раздается бесплатно настолько устаревшая? Почему он даже не пытался осуществить взлом?

    Из всего этого я могу предположить, что взлом защиты BAS в конкретно этой ситуации маловероятен. Маловероятен, но все таки возможен. Именно поэтому незамедлительно будет предпринят комплекс мер по усилению защиты:

    1. Скоро выйдет патч с переносом части вещей касающихся безопасности на сервер.
    2. Будет объявлено вознаграждение за найденные уязвимости(https://community.bablosoft.com/topic/12484/).
    3. Мы закажем аудит системы защиты у сторонней компании.
    4. Скорее всего, будет сменен протектор.
    5. Возможность получить код своего скрипта через личный кабинет отключена(Уже сделано).

    Все эти меры будут предприняты в самое ближайшее время, буквально дни и часы. Сейчас версия BAS 23.0.0 уже полностью готова, но ее релиз откладывается, чтобы разобраться с возможностями проблемами описанными выше.


    Мы дорожим нашими наработками в области защиты и не потерпим воровства на нашей площадке, именно поэтому пользователь демонстративно раздававший чужое был забанен. И так будет с каждым, не зависимо от статуса, количества пользователей, и т. д.


    В этой теме допускается только обсуждение касающиеся защиты. Название конкретных скриптов употреблять запрещено. Запрещено говорить о багах BAS(для этого есть другие темы).



  • На сколько я знаю, версия скрипта которую он раздавал была за апрель месяц. И как он сам писал, у него база всех шаблонов бас

    Отказался от взлома в августе, когда скрипт который раздавал был апрельский.

    И ещё хотел спросить, а не в апреле ли было то обновление, где вы скрыли как отображаются скачанный скрипт с сервера где не видно части действий?

    Может именно тогда об этом было известно, и никто не мог догадаться что кому-то эти невидимые действия и не нужны будут, достаточно знать как заполнять файлы и можно компилировать чужой скрипт без редактирования



  • Оперативно и очень серьезно) Спасибо, Шеф!



  • Что будет со старыми версиями BAS обновление защиты не коснется?



  • Сейчас нас пытаются шантажировать, и хотя человек не привел никаких доказательств, мы все равно вынуждены отключить сайт и выкатить апдейт с шифрованием базы раньше запланированного срока. Безопасность пользователей превыше всего. Сайт вернется к работе через 20-30 минут. Приношу прощение за неудобства.



  • Работоспособность сайта восстановлена, сейчас абсолютно все скрипты в базе зашифрованы. Это позволяет защититься от части возможных уязвимостей. Если вас возникли проблемы с запуском скрипта, пишите на почту mail.to.twaego@gmail.com. Следующий апдейт будет на стороне исходного кода приложения. Сейчас я работаю день и ночь, чтобы выпустить обновление максимально быстро.



  • @support
    Имеет ли смысл менять пароль в ЛК сейчас?



  • @support ждем апдейт тогда мешать не будем. Надеюсь учтите пожелания



  • Мы пришли к соглашению с людьми, которые вовлечены в данную ситуацию, что оставляем их скрипт в магазине еще на месяц, в обмен на гарантии безопасности касательно возможной утечки. Тем временем в среду можно ожидать новый апдейт BAS, в котором будет много вещей касающихся безопасности. Кроме всего прочего, скрипт на клиенте теперь ни в один момент времени ни при каких обстоятельствах не будет расшифрован. В открытом виде может быть только маленькая часть скрипта, которая выполняется в данный момент.



  • @IvanM Исходник скрипта через сайт уже никак нельзя получить. Даже хозяину скрипта. Но пароль лучше поменять, так как возможность запустить скрипт все еще есть через ЛК.



  • @support не стоит доверять подобным "людям"



  • Система защиты доработана. Версия 23.1.0. Последний пункт - будет заказан аудит системы защиты у сторонней компании. Другими словами, закажем взлом BAS у профессионалов. Если попытка будет успешна, обновим софт еще раз.



  • @support Защита это конечно хорошо, но тогда что-то подобное бы еще в FP Switcher, а то считывает все и спокойно может фейк проглотить.


Log in to reply