Solaris вышел с техработ, но не без потерь. Исходный код слит, актуальные клады разворованы, а продавцы сворачивают лавочку.
Итак, горячее противостояние вновь перешло в холодную фазу, Kraken покинул зеркала Solaris, а последний оправился от потрясений и закончил техработы. Это ли не повод подвести промежуточные итоги — какие потери понёс проект Zanzi за это время и каких угроз ему стоит теперь опасаться?
А опасаться проекту есть чего. Исходный код Solaris, слитый Холденом, не просто дал Kraken похулиганить с onion-ссылками маркетплейса, но и по всем фронтам оголил его для конкурентов и злоумышленников. Как выразился специалист Хактауна, консультировавший редакцию Хроноса, в обычной ситуации злоумышленник ищет дыры в безопасности ресурса, грубо говоря, методом тыка. В случае же слитого исходного кода к нему в руки попадает своего рода дорожная карта, ориентируясь в которой, он может заниматься поиском уязвимостей куда быстрее и эффективнее. То же самое касается и системы защиты маркетплейса от DDoS-атак и Tor-узлах: используемое Solaris ПО стало публично известным, что на руку команде Zanzi никак не играет.
Но прекратим сгущать краски. Нашлось в опубликованных Холденом данных место и для бесполезной информации, которая не будет играть никакой роли для потенциальных оппонентов площадки. К ним относятся дамп системы управления базами данных MySQL. Информация с форума также несёт скорее репутационный удар, нежели фактический ущерб.
А вот слив базы данных магазинов — это удар с неопределённой суммой, точный ущерб от которого, наверное, навсегда останется загадкой. При беглом просмотре могло показаться, что все слитые клады — это старьё полугодовой давности (в эту западню сперва попала и наша редакция, изначально скептически отнёсшаяся к сливу, и ряд других каналов). Однако, как оказалось, список просто шёл в хронологическом порядке. В конечной части массива текста пользователи имели шанс найти актуальную позицию. Кто-то воспользовался возможностью и получил клад даром — в нашу редакцию поступило несколько подтверждений снятия «халявных» позиций, одно из них мы оставим здесь. Конечно, опция «бесплатно» была по большей части октрыта только для жителей двух столиц — провинциальному юзеру потребовалась бы необычайная усидчивость, чтобы в массиве ссылок найти хотя один клад с координатами своего города.
По данным Dark Metrics, с 11 по 19 января из каталога пропало 4310 моментальных позиций, а с 19 по 27 — ещё тысяча. Число продавцов при этом практически не изменилось. Как предполагают аналитики, маркетплейс в настоящий момент просто не занимается удалением «мёртвых душ», хотя магазины сворачивают свою деятельность на площадке. Сколько продавцов потерял Solaris — вопрос открытый. Если же говорить о позициях, то в общем за январь каталог лишился одной пятой из имеющихся.
Однако кошельки пользователей, хоть и были долгое время заморожены, вернулись к ним в целости и сохранности, а сам маркетплейс, вопреки пророчествам скептиков, не ушёл в exit-скам. Главный вывод из всей этой истории остаётся позитивным — чтобы потопить проект, даже такого крупного слива может оказаться мало, что уж говорить о менее масштабных дампах пользователей, которыми публику не раз кормили ранее. Решимость со стороны команды и премиальные для службы безопасности делают своё дело, а нам остаётся лишь наблюдать за процессом восстановления раненного игрока.
Больше новостей - в телеграм-канале
https://t.me/+A3-f5gT9nTYxMjRi
