Многие разработчики, чтобы упростить себе жизнь, используют наработки других разработчиков, не проверяя их на уязвимости, тем самым подвергая себя риску взлома, финансовых и репутационных потерь. Недавний случай с TON API показал, что даже API с ценами токенов не стоит слепо доверять — на этот раз пострадала поддержка @wallet.
Все доступы были у @wallet, и взлома как такового не было. Однако злоумышленники заметили, что поддержка использует сторонний софт для обработки сообщений в техподдержке, в котором была уязвимость, и воспользовались ею. Они разослали тысячам пользователей сообщение с просьбой отправить средства на их кошельки, и наивные люди действительно это сделали. Другие, более осведомленные, отправили жалобу в Telegram, который, по своим алгоритмам, пометил @wallet и аккаунт поддержки как мошеннические (плашка scam).
Команда @wallet быстро среагировала: удалила сообщения у тех, кто их еще не прочитал, и отключила работу софта, который использовался в работе.
Всего злоумышленники получили $500 от пользователей кошелька, которые команда @wallet компенсирует, и свыше $7000 со внешних кошельков, которые уже не вернуть.
Этот очередной случай показывает, что полагаться нужно только на себя.
Подписывайтесь на Telegram канал и страницу во ВКонтакте! Свои комментарии, замечания и предложения пишите мне. Все контакты на странице обо мне.