Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Взлом внутреннего GitLab-сервера Red Hat"	+/–
Сообщение от opennews (?), 02-Окт-25, 21:54
Хакерская группа Crimson Collective заявила о получении доступа к одному из внутренних GitLab-серверов компании Red Hat и загрузке с него 570ГБ сжатых данных, содержащих информацию из 28 тысяч репозиториев. Среди прочего в захваченных данных присутствовало около 800 CER-отчётов (Customer Engagement Report), содержащих конфиденциальную информацию о платформах и сетевых инфраструктурах клиентов Red Hat, которым предоставлялись консалтинговые услуги... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63986
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Oldi (?), 02-Окт-25, 21:54	+14 +/–
Неплохо
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

2. Сообщение от Аноним (2), 02-Окт-25, 21:55	+13 +/–
>Злоумышленники пытались связаться с Red Hat с целью вымогательства, но получили лишь шаблонный ответ с предложением отправить в службу безопасности отчёт об уязвимости. Интересно, куда они писали? У них же, судя по новости, есть контакты чуть ли не совета директоров, а они, вангую, писали в стандартный саппорт..Либо злоумышленники не очень умные, либо взламывали не они..
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4, #68

3. Сообщение от Аноним (3), 02-Окт-25, 22:01	+/–
> злоумышленники не очень умные This. С их точки зрения, редхат должен был заплатить бабосик без каких-либо гарантий, что хацкеры все равно не пойдут продавать награбленное. Ну да ладно, сейчас дело уже наверняка в плоскости правоохранителей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #5

4. Сообщение от нах. (?), 02-Окт-25, 22:02	+1 +/–
угу, в совете директоров-то точно поймут что за шитляп, что там взломали, может даже замок на двери пощупают - да не, вроде все в порядке с замком, врут небось, спаммеры. Написали на официальный адрес для тех кто пишут о проблемах безопасности, удивительно но факт. Получили отписку, как в общем и ожидали, надо думать. Поскольку безопасность чужих данных ibm не колышет совсем. Ну а эти вот, "из fortune500", с девляпсами с "зарплатами по 300k" - так и будут и дальше аутсорсить все ключевые сервисы с паролями, токенами и документацией, кучкой под чужой коврик. Включая военные и околовоенные. Для того и брали, не самим же вляпываться. Даже пароли вряд ли поменяют, это ж надо с клиентом объясняться, зачем нужно и в скольки местах тот токен гуляет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #31, #75

5. Сообщение от нах. (?), 02-Окт-25, 22:09	+3 +/–
> в плоскости правоохранителей. которые уныло смотрят на логи захода с какого-то одноразового серверка где-то в DO, купленного на стыренную кредитку, и разводят ушами. Это если хоть логи остались. Что в таких мегакорпбардаках нечасто встретишь. А НАШ товарищмайор уже пишет заявку на выделение энной суммы на закупку разведданных у уважаемых контрагентов. (Вот у него, будь уверен - все получится, и денег найдет, и в том что за товар - разберется получше раджей из rhbm.) С их точки зрения они поступили честно - предложили договориться по хорошему, ну а раз там одни роботы т-поватые - найдут другого выгодоприобретателя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #11, #25, #30, #58

6. Сообщение от Аноним (6), 02-Окт-25, 22:10	+/–
>Злоумышленники пытались связаться с Red Hat с целью вымогательства Психологический приём, но на поводу у таких нельзя идти.
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (6), 02-Окт-25, 22:15	+3 +/–
>с целью вымогательства Вот так создаёшь бизнес, создаёшь тысячи рабочих мест, платишь большие конкурентные зарплаты и млрд. налогов. И тут появляется такая вот плесень, живущая одним днём... тьфу.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #18, #19, #26, #35, #88

8. Сообщение от Аноним (8), 02-Окт-25, 22:18	+1 +/–
Да ничего страшного.
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Аноним (9), 02-Окт-25, 22:22	+4 +/–
> большие конкурентные зарплаты Нужно было в SOC набирать ориентируясь на потребности компании а не разнообразие и кодексы поведения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #20

10. Сообщение от Анонимный аноним (?), 02-Окт-25, 22:30	+11 +/–
Хакеры взломали внутренный GitLab компании RedHat и слили в сеть исходники новой версии systemd.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

11. Сообщение от Аноним (11), 02-Окт-25, 22:49	+1 +/–
Ребят, что покусились на нвидию, как-то очень быстро отыскали. И этих отыщут, если они уперли действительно важную информацию у большой конторы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #17, #62

12. Сообщение от Аноним (12), 02-Окт-25, 22:52	+4 +/–
Всё прошляпили...
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от jalavan (ok), 02-Окт-25, 23:04	+/–
Считаете уязвимости в системД позволили проникнуть в закрома красношляпых?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

14. Сообщение от Аноним (14), 02-Окт-25, 23:15	+1 +/–
Интересно, а взлом произошёл через RHEL-специфический эксплоит? ☺️
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #74

15. Сообщение от Аноним (15), 02-Окт-25, 23:16	+/–
Скриншоты шедеврум генерировал?
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от Аноним (16), 02-Окт-25, 23:16	–3 +/–
Да пофиг, контора то опенсорсная, ничего ценного у них и нет. А взломщики, наверное, врут, ибо пруфов (напр выкладывания дампа в паблик) не предоставлено.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40, #69, #89

17. Сообщение от нах. (?), 02-Окт-25, 23:22	+/–
> Ребят, что покусились на нвидию, как-то очень быстро отыскали. дерьмовый потому что товарчик - ну ЗОЧЕМ товарищмайору - схемы нвидиевского чипа? Их произвести по этим схемам может только один станок в мире - и он не у нас. Нвидия, кстати, требования тех ребят все же - выполнила. На пять с плюсом! А что им понравится результат - так такого условия ведь и не было ;-) А у этих - доступы и описания внутренней кухни очень интересных контор. Такое будут на расхват разбирать, причем в розницу а не оптом. Хватит на уютный домик поросятам где-то в стране, где не очень соблюдают американское законодательство.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #36, #52

18. Сообщение от Аноним (18), 02-Окт-25, 23:25	–1 +/–
>>с целью вымогательства > Вот так создаёшь бизнес, создаёшь тысячи рабочих мест, платишь большие конкурентные зарплаты > и млрд. налогов. > И тут появляется такая вот плесень, живущая одним днём... тьфу. Вот так пишут тебе репорт, о том что у тебя дыра в пакете, а ты такой прекрасный красношапочник заявляешь, какая-такая починка дыры? У нас система стабильная должна быть, менять в ней что-то низзя, да и дырки ваши не дырки вовсе. Потом, спустя время, под нажимом и обсвистыванием сообщества, мол позорище какое, нужно бы закрыть дырку, ты всё же пинаешь на обеде индуса, который таки принимает патч и выпускаешь апдейт с закрытием дырки, но добродетелям из сообщества, с тобой таким горделивым и надменным уже общаться не хочется, а потом тебе ещё припоминают уродское поведение в периодических попытках нагнуть GPL и всячески проехаться на бесплатном горбу у разработчиков и чот больше слать тебе патчей не так уж хочется. Денег с тобой в честном суде тягаться нет, проверять на такой суд на честность и отстаивания правоты, зато неофициально насрать тебе в тапки, на половик и в корзинку для еды, это можно. И потом пусть скулят про то какие вокруг нехорошие негодяи и а нас то за шо?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #34

19. Сообщение от нах. (?), 02-Окт-25, 23:27	+1 +/–
херассе одним днем! Тут на год работы. Причем - нетривиальной. Как-то попасть во внутреннюю сеть. Как-то найти там этот сервер. Ценный. Ломануть, потому что вряд ли получили набор паролей от всего, скорее всего - через очередную дырку в шитляпе пролезли (ну эт ладно, готовых троянцев полно, лишь бы были хоть какие креды и право запуска от них воркеров). А ты в лучшем случае исходники системдряни бы спер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #23

20. Сообщение от нах. (?), 02-Окт-25, 23:31	+5 +/–
Это rhbm, они вроде в гендерных квотах не замечены. Там скорее всего не набирать а увольнять надо было. Упершихся в принцип Питера. Что очень типично для огромных контор где левая рука не знает кому др-т правая. Но ты оцени каких заказчиков набрали - добровольно и с песнями сливших всю свою ценную инфру аутсорсерам из бангалорского офиса. Казалось бы - у NSA-то уж должны быть СВОИ специалисты? А, нет. Были но давно сплыли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #27, #42, #51

22. Сообщение от penetrator (?), 02-Окт-25, 23:53	+1 +/–
не рассказывается самое интересное - как это произошло, информация всегда скудная, нужен ТВ сериал "Расследование а̶в̶и̶а̶к̶а̶т̶а̶с̶т̶р̶о̶ф̶  взломов" с всеми подробностями и деталями если я забыл ключ от квартиры, а бомж залез ко мне в ванну помыться, то не очень то и интересный "взлом"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #48, #54, #79

23. Сообщение от Аноним (6), 03-Окт-25, 00:08	+1 +/–
>А ты «Я мзду не беру...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #24

24. Сообщение от нах. (?), 03-Окт-25, 00:13	+/–
Тут остро встает вопрос - за какую именно державу в данном случае.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

25. Сообщение от Илитка (?), 03-Окт-25, 00:15	–1 +/–
Мега корпорации не осилили OpenSearch? Для кого же мегакораорации его пишут тогда...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

26. Сообщение от Аноним (26), 03-Окт-25, 00:19	+1 +/–
Не беспокойтесь, ни один капиталист не пострадал. Виновные будут назначены и публично выпороты, корпорация будет "страдающей жертвой", новый мелкобуржуазный поросёночек получит предложение "конкурентной" зарплаты и будет откармливаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #28

27. Сообщение от Аноним (27), 03-Окт-25, 00:48	+/–
> Казалось бы - у NSA-то уж должны быть СВОИ специалисты? А, нет. Были но давно сплыли. Дык, давно уже на аутсорсе у израиля.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

28. Сообщение от Аноним (6), 03-Окт-25, 00:57	+4 +/–
Ох уж эта показательная снисходительность от люмпенов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

29. Сообщение от Аноним (29), 03-Окт-25, 01:02	+/–
>Злоумышленники пытались связаться с Red Hat с целью вымогательства, но получили лишь шаблонный ответ с предложением отправить в службу безопасности отчёт об уязвимости Ну дык надо было отправить отчет. Представляю, если бы о взломе узнали из этого отчета.
Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от Аноним (30), 03-Окт-25, 01:26	+/–
Быдлана, который AT&T поломал с подельниками и cdrы каких-то там конгрессменов потырил нашли и никакой тор не помог. Злоумышленники действительно не блещут интеллектом, даже если тебе персонально редхат и госдеп противны
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

31. Сообщение от Аноним (30), 03-Окт-25, 01:29	+1 +/–
> "зарплатами по 300k" Твои слова да богу б в уши. Но нет, всего лишь 200к. Я надеюсь тебя не сильно задело, что я хуже тебя разбираюсь ну буквально во всём, кроме зарплатных переговоров? Или ты от обычной бытовой зависти шипишь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #33, #63

33. Сообщение от нах. (?), 03-Окт-25, 01:37	+/–
ты просто честно скажи - твоя контора тоже на том сервере выложена в неглиже?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #83

34. Сообщение от нах. (?), 03-Окт-25, 01:47	+2 +/–
ты конечно можешь привести ссылку на свой репорт, и как прогрессивная обсчественность там? А то мне конечно лень будет, но я отлично помню ровно обратную историю - как в ведре появился очередной local (afair) root, исправляемый однострочным патчем, выложенным в lkml. И как редхатовский индус то ли запил, то ли в отпуск накопленный за пять лет смылся. И две недели (или больше, мне на третий день надоело и я свои системы попатчил вручную) не было секьюрити апдейта ведра. А потом индус из отпуска вернулся, или его отпустило, или нового нашли - в общем, выкатил апдейт. И тут, СРАЗУ ЖЕ, как поганые грибы после дождичка - suse/debillian/кто там еще, несть числа им - "и йа! - и йа! - и йа!" Одну строчку без редхата поправить то ли не в состоянии были, то ли боялись. А что там прогрессивная обсчественность - не знаю, не слышал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

35. Сообщение от Голдер и Рита (?), 03-Окт-25, 04:40	–2 +/–
> создаёшь тысячи рабочих мест, платишь большие конкурентные зарплаты Я не защищаю хакеров, НО каких же болванов редхад наняла, раз не смогли защитить. Это как нанять много охранников, которые не защитят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #56

36. Сообщение от Аноним (36), 03-Окт-25, 04:47	–1 +/–
> дерьмовый потому что товарчик - ну ЗОЧЕМ товарищмайору - схемы нвидиевского чипа? > Их произвести по этим схемам может только один станок в мире > - и он не у нас. Там не схемы а HDL уж сто лет. И что-нить средне-паршивенькое вместо топа - чайна в несколько урезанном виде может и отлить, пожалуй. Так что чайники могут и заплатить пожалуй что-нибудь. Но это не точно. На случай если их совсем госдеп прокатит - чего б не подстраховаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

38. Сообщение от Аноним (38), 03-Окт-25, 05:18	+2 +/–
вот он, результат закрытия исходников ;-)
Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Аноним (39), 03-Окт-25, 05:44	–2 +/–
надеюсь найдут и посадят лет на 10 подумать куда свои грязные руки совать
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

40. Сообщение от Аноним (40), 03-Окт-25, 06:15	+1 +/–
>> Опенсорсная Закрыли исходники
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

42. Сообщение от Аноним (42), 03-Окт-25, 07:00	+1 +/–
>Казалось бы - у NSA-то уж должны быть СВОИ специалисты? В американском госсекторе не очень большие зарплаты. Туда мало кто идёт. На эту тему Кондолиза Райс и её приглашённые эксперты несколько раз ныли на канале Hoover Institution.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

43. Сообщение от Аноним (43), 03-Окт-25, 07:32	+3 +/–
Gitlab это кусок мусора написанный на ruby. Ждем когда сделают нормальную легковесную минималистическую альтернативу. Хотя лично мне и gitolite выше крыше.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46, #49, #64

46. Сообщение от Аноним (47), 03-Окт-25, 07:56	+/–
Уже есть gitea
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #59

47. Сообщение от Аноним (47), 03-Окт-25, 07:58	+/–
Им ещё премию дадут и медаль и возможно даже внеочередное звание (но это вряд-ли)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #70

48. Сообщение от An (??), 03-Окт-25, 08:03	+/–
Было бы интересно псомтреть такое, но обычно же компании внутреннее расследование проводят и не публикуют итоги
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

49. Сообщение от test (??), 03-Окт-25, 08:03	+/–
Они давно уже перешли на свободный форк forgejo.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

51. Сообщение от Аноним (51), 03-Окт-25, 08:36	+/–
> Казалось бы - у NSA-то уж должны быть СВОИ специалисты? А, нет. Были но давно сплыли. По старым их законам именно специалисты NSA должны были консультировать RH в области безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #55, #73, #82

52. Сообщение от scriptkiddis (?), 03-Окт-25, 09:16	+/–
Обожаю читать твои "умные" фантазии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

53. Сообщение от Аноним (99), 03-Окт-25, 09:17	+/–
не поверю пока в открытом доступе не увижу
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #86

54. Сообщение от нах. (?), 03-Окт-25, 09:40	+/–
> если я забыл ключ от квартиры, а бомж залез ко мне в ванну помыться, то не очень то и > интересный "взлом" если бомж по дороге сп-л папочку со схемами военных баз и маршрутами перевозки грузов (как в этом случае) - то все становится гораздо интереснее. Ну и вот, рассказали. zero day в попенштифте. Хороший такой бомжик - "может стену убрать".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #66

55. Сообщение от нах. (?), 03-Окт-25, 09:46	+/–
Да они мож и консультировали. (ТЕ специалисты - обычно не штатные шп...разведчики, а просто контракторы из хороших (если еще остались, где, интересно?) вузов. Как автор tcpdump к примеру.) В порядке оплаченного контракта. А чо толку - совет директороффф те консультации не слушает, правительство вообще на другой планете, дарагой. А рядовые исполнители хмыкают в рукав, но делают чо велено, ането! Велено собрать шитляп и залить туда все данных всех контрагентов, с паролями и ключами от всего, потомушта так удобненько бангалорским исполнителям - вздыхают, и идут делать, беспрекословно, точно и в срок. Обсуждение приказа и его критика недопустимы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #57

56. Сообщение от нах. (?), 03-Окт-25, 09:57	+/–
Срочно пришли им свое резюме! Ты-то гарантированно неболван! (кстати, возьмут. Там таких любят.) Я тебе страшную тайну открою, но единственный способ защиты таких данных - не складывать их кучкой в шитляп. Но для того чтоб этого не случалось - неболван должен одной ногой стоять в совете директоров, но при этом еще и быть заинтересованным и разбираться в технологиях и в том что творится в обособленном подразделении каких-то продавцов-консультантов со штаб-квартиркой где-то в НьюДели. А в совет директоров таких не берут. А если и берут те быстро бросают интересоваться чо там в ньюдели и начинают бережно укладывать свой золотой парашут. А то сам не уложил - сам виноват.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #99

57. Сообщение от ryoken (ok), 03-Окт-25, 09:57	+2 +/–
>>Велено собрать шитляп и залить туда все данных всех контрагентов, с паролями и ключами от всего, потомушта так удобненько бангалорским исполнителям - вздыхают, и идут делать, беспрекословно, точно и в срок. Прям "Крепкий орешек 4" :).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

58. Сообщение от Аноним (58), 03-Окт-25, 09:58	+2 +/–
> А НАШ товарищмайор уже пишет заявку на выделение энной суммы на закупку разведданных у уважаемых контрагентов. (Вот у него, будь уверен - все получится, и денег найдет, и в том что за товар - разберется получше раджей из rhbm.) И правильно сделают. Будто что-то плохое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #77

59. Сообщение от Аноним (59), 03-Окт-25, 10:09	+2 +/–
Уже есть Forgejo
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

60. Сообщение от Аноним (62), 03-Окт-25, 11:08	+/–
>которым предоставлялись консалтинговые услуги. Предоставление и место хранение информации клиента прописано в консалтинговом договоре? Или Red Hat это другое, Red Hat это надежность?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #71, #94

61. Сообщение от Аноним (62), 03-Окт-25, 11:19	+/–
Как GitLab и данные клиентов оказались в одной инфраструктуре?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #65

62. Сообщение от Аноним (62), 03-Окт-25, 11:33	+/–
Вы уверены, что отыскали тех? Вы инсайт?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #72

63. Сообщение от OpenEcho (?), 03-Окт-25, 11:34	–1 +/–
> Твои слова да богу б в уши. Но нет, всего лишь 200к. Здесь требуется одно очень важное уточнение, 200 со стаками или нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #81

64. Сообщение от Аноним (64), 03-Окт-25, 12:18	–1 +/–
Уже есть soft-serve в связке с cgit
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

65. Сообщение от нах. (?), 03-Окт-25, 12:20	+/–
В смысле? Это был гитлаб для хранения данных клиентов. Потому что научившиеся пользоваться только молотком - любую проблему решают как гвоздь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

66. Сообщение от x3who (?), 03-Окт-25, 13:50	+/–
"указано, что в атаке не использовалась вчера выявленная уязвимость (CVE-2025-10725) в OpenShift AI Service"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

68. Сообщение от Аноним (68), 03-Окт-25, 14:38	+/–
>Злоумышленники Всмысле блоггеры наверное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

69. Сообщение от Аноним (68), 03-Окт-25, 14:40	+/–
Вот еслиб они взломали бы исходники Half Life первой. И выложили бы в исходники.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #90

70. Сообщение от Аноним (68), 03-Окт-25, 14:41	+/–
Предложут работу в фсб или цру. Хаккерами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

71. Сообщение от Аноним (68), 03-Окт-25, 14:42	+/–
Консалтинг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

72. Сообщение от Аноним (72), 03-Окт-25, 16:11	+6 +/–
Значит, так! Бери бумагу, садись, пиши: «инсайт» — озарение «инсайд» — информация, полученная из внутренних источников «инсайдер» — человек, предоставляющий информацию из внутренних источников
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

73. Сообщение от Аноним (27), 03-Окт-25, 16:25	+/–
Нет, это платная услуга.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #78

74. Сообщение от Аноним (27), 03-Окт-25, 16:28	+/–
ломать гитлаб через багу в самом рхел? :)) рассмешили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

75. Сообщение от Аноним (75), 03-Окт-25, 17:03	+/–
Девопсов за 300к не видел, но видел руководителя девопсов в СПб за 300к на руки с доп. бонусами типа тринадцатой, ДМС со стоматологией, компенсацией зала, едой в офисе и прочее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #76

76. Сообщение от нах. (?), 03-Окт-25, 17:34	+1 +/–
у rhbm офис, будь уверен, не в спб. Так что 300 к там не в ржублях.  (правда, и не в месяц, но согласись, в сочетании с правом просохатить инфу о критичной инфраструктуре и ничем за это не ответить - неплохо, очень неплохо)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #96

77. Сообщение от нах. (?), 03-Окт-25, 17:47	+/–
Так точно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

78. Сообщение от нах. (?), 03-Окт-25, 17:50	+/–
И што такова? Аудитор вот спросит - консультации заказывали? - Заказывали! (без) ответственные сотрудники - посещали? - А как же! За такое и заплатить не грех! (тем более что бабла у той rhbm - совершенно девать некуда)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #80

79. Сообщение от Контрактор (?), 03-Окт-25, 18:58	+2 +/–
В основном через подрядные организации. На втором месте личные устройства сотрудников и нарушение регламента работы через неавторизованное По, флэшки, репаки, дома доделаю и тп. интеграции небезопасных окружений в условно-безопасные. Binance - утечка через личное устройство сотрудницы, Касперский - целевая атака в отношении личных устройств сотрудников, RedHat, очевидно, через подрядчика. Пока рабочие мобильные устройства не начнут выдавать, толку не будет. У меня был случай, когда mdm-профиль пробили через Charles Proxy, новых опций в iOS  добавилось, а после перезагрузки белый экран и восстановление через DFU.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #87

80. Сообщение от Аноним (27), 03-Окт-25, 19:29	+/–
> И што такова? Аудитор вот спросит - консультации заказывали? - Заказывали! (без) ответственные сотрудники - посещали? - А как же! Вот аудитор и проверит соблюдение рекомендаций (требований), которые давали анбэшники. Поверь, аудитор найдет каким рекомендациям и требованиям они не соответствуют. > За такое и заплатить не грех! Платишь за консультацию ведь, а не чтобы за тебя что-либо сделали, анбэшникам ведь до лампочки, будешь ты соблюдать их требования и рекомендации или нет, они коммерческим организациям ничего предъявлять по факту не могут. Обязует соблюдение инфобеза - закон государственный, а анб всего-лишь дает рекомендации. пс: Нету закона запрещающий складывать все яйца в одну корзину! (ц)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #91

81. Сообщение от RM (ok), 03-Окт-25, 19:38	+/–
Другими словами - "total comp" или все таки деньгами?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #84

82. Сообщение от RM (ok), 03-Окт-25, 19:43	+/–
MITRE вон на мороз чуть не выставили, весной этой, что-ли. Какие законы, там уже кукуха едет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #92

83. Сообщение от Аноним (83), 03-Окт-25, 19:54	+/–
Нет. Моя на другом коммерческом дистре сидит. Но есть знакомые, котрые прямо там и засветились. Им ещё до публикации сообщили, можешь представить какой аврал без выходных и сна: все циски попатчить, все ОСи обновить, гайки закрутить. Всё ещё вроде как толком не ясно что именно слили, конкретно. Однако, подкинули работы людям на ровном месте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

84. Сообщение от Аноним (83), 03-Окт-25, 19:56	+/–
Деньгами. Годовые бонусы, стоки, медстраховка и остальная мишура отдельно оговорена.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #95

85. Сообщение от LaunchWiskey (ok), 03-Окт-25, 20:04	+/–
Хорошо, что с Debian такой сценарий исключен, хакеры понимают, что взять с них нечего))) Ну разве что кто-то из SJW, претендовавших на лидерство, натурой предложат.
Ответить | Правка | Наверх | Cообщить модератору

86. Сообщение от Аноним (-), 03-Окт-25, 23:40	+/–
> не поверю пока в открытом доступе не увижу Тебе в соседней новости - написали про фееричный CVE с рут доступом в редхатовском OpenSh*t. Что такого удивительного что на таких новостях к прям авторам софтины кто-то зашел как рут на сервера, укачал кучу хлама, и вообще? :) Хакеры обычно про CVE узнают немного раньше чем новости появляются. Новости про CVE появляются - когда на серваке заметили хакеров и поняли как они туда попали, если это блекхеты были.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

87. Сообщение от Аноним (-), 03-Окт-25, 23:56	+1 +/–
Безопасных окружений не бывает - иранцы с stuxnet проверяли, если атакующим очень надо - достанут даже под землей. Без связи с интернетом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #101

88. Сообщение от Аноним (88), 04-Окт-25, 00:51	+/–
> Вот так создаёшь бизнес, создаёшь тысячи рабочих мест, платишь большие конкурентные зарплаты и млрд. налогов. Согласен что они полностью заслужили то что с ними произошло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #93

89. Сообщение от Аноним (88), 04-Окт-25, 00:52	+/–
Всмысле опенсорсная? Это поганые коммерсы паразитирующие на опенсорсе и всячески вредящие ему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

90. Сообщение от Navdotru (?), 04-Окт-25, 08:53	+/–
Вот исходники софтового рендера первой халфы я бы почитал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

91. Сообщение от нах. (?), 04-Окт-25, 12:25	+/–
> Поверь, аудитор найдет каким рекомендациям и требованиям они не соответствуют. не, не поверю. Там наверняка целый отдел комплайнса следит чтоб соответствовали и перевыполняли. > Платишь за консультацию ведь, а не чтобы за тебя что-либо сделали а делать ничего и низзя. Сказал тебе Кумар Нacpaл Ниип@ать Раджа - щас модно все данные хранить в гите! Штоб через час все на очередного военного заказчика с паролями и ключами было выложено! Зато у нас пароли по 132 символа большие-маленькие-цифры-не меньше трех катаканой-минимум два хангулом и четыре арабских! И меняем раз в два часа, как в регламенте записано! (ну и что что приходится их хранить в нотпаде, потому что набрать невозможно) И вот, второй фактор, в виде faceid! А что токен дает те же самые права и получается нескучным вызовом апи - ну так ведь скрипты не умеют в фейсойди! Но консультация - оплачена! Все подписи правильно поставлены! > пс: Нету закона запрещающий складывать все яйца в одну корзину! (ц) вот именно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

92. Сообщение от нах. (?), 04-Окт-25, 12:26	+/–
ну они реально стали феерически бесполезными, торговцы номерками оптом. с другой стороны - так хоть номерки выдавались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #97

93. Сообщение от нах. (?), 04-Окт-25, 12:27	+/–
А с ними-то - ничего и не произошло! А если ты в какой-там дельта эйрлайнс админом - то конечно заслужили, компания п-сов! Беги менять все пароли и конфиги проверять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

94. Сообщение от нах. (?), 04-Окт-25, 12:31	+/–
> Предоставление и место хранение информации клиента прописано в консалтинговом договоре? конечно нет. "Стороны обязуются принять меры к сохранению конфиденциальности предоставленной информации." Меры - приняли. Два стакана джонвокера и пивом шлифанули. Вон, подпись под протоколом. Цифровая! (а то б был в пиве и рыбным жыром заляпан)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

95. Сообщение от RM (ok), 04-Окт-25, 14:55	+/–
"Ну че, красава" Нужно учесть, что в случае выдающейся зарплаты, достигнутой в основном за счет умения "зарплатных переговоров", работник также первый в очереди на выход, когда costs резать будут. Особенно если "хуже разбираюсь ну буквально во всём".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #102, #104

96. Сообщение от RM (ok), 04-Окт-25, 14:58	+/–
Стопудово
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

97. Сообщение от RM (ok), 04-Окт-25, 15:40	+/–
"есть мнение", что основная их деятельность не публична. "но это не точно"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

98. Сообщение от Аноним (98), 04-Окт-25, 21:10	+/–
IBM и RedHat "индусские" конторы 🤷‍♂️ Арвинд Кришна подтвердит
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #100

99. Сообщение от Аноним (99), 05-Окт-25, 12:36	+/–
вообще для этого спецов нанимают. если бы не нанимали, не учитывали их проф мнение - все эти корпы просто разваливались и не было бы никакого совета. но вообще да, вариант отличный, когда ты мастер по специализации своей конторы и ген директор, по совместительству
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

100. Сообщение от НеАноним (?), 05-Окт-25, 17:04	+/–
Да, он такой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

101. Сообщение от Контрактор Ляо (?), 05-Окт-25, 20:24	+/–
Редко какому инженеру позволят домой флэшки тягать, если это не сотрудник Siemens или кто-то решающий вопросы с работой обеспечения. Ai говорит, что напрямую сименс с ираном не работал, а это в свою очередь может говорить о проблемах с цепочкой поставок и, вероятно, софт уже был затроянен как надо. Например после апдейта https://www.0daydown.com/04/2889241.html Слухи были что они за год до атаки готовиться начали. Не особо скилловые попались, если год потрачено был. СБ должны были их отработать раньше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

102. Сообщение от Аноним (102), 05-Окт-25, 22:36	+/–
>"Ну че, красава" Спасибо. > Нужно учесть, что в случае выдающейся зарплаты, достигнутой в основном за счет умения "зарплатных переговоров", работник также первый в очереди на выход, когда costs резать будут. Нужно учесть, что любой бизнес может уволить кого угодно в любой момент без предупреждения и объяснения причин. Вопрос в целесообразности и стоимости этого решения, а в отношении исполнителей и менеджмента нижнего уровня эта стоимость околонулевая. Любой, кто тебе говорит обратное лжёт. Ну а насколько моё умение вести переговоры поможет мне остаться в компании мы увидим уже весной, когда наша компания уволит 1% сотрудников. Решение уже принято, медежерам спустят квоты в феврале, жду с нетерпением. > Особенно если "хуже разбираюсь ну буквально во всём". Это вторая распространённая иллюзия у наёмных работников — что для карьерного успеха нужно быть лучше всех. В стартап-культуре действительно нужно, это высококонкурентная среда, в которой выживает тот, кто делает и быстрее, и дешевле, и лучше, чем другие, и при этом умеет продавать своё лучше. Поэтому 90% стартапов не выживает. Однако в уже существующем и работающем бизнесе нужны люди, которые будут приходить изо дня в день и делать то, что нужно для бизнеса, часто одну и ту же рутину, и с постоянным качеством. Для этого нужны не лучшие, а просто достаточно хорошие, коих подавляющее большинство. Но спроси любого HR, и тебе расскажут насколько высока планка в их организации. Весь процесс найма (сознательно или не осознавая этого, просто научившись из переводных книг 80х-90х по управлению людьми) заточен только на одно: доказать нанимаемому, что он посредтвенность в мире гениев и поэтому ваша компенсация будет где-то в районе нижних 40% вилки — и только благодаря нашей легендарной щедрости, обычно это нижние 30%. А теперь, следите за руками. Обычно все бонусы, все повышения зарплаты, все прочие опциональные денежные компенсации, парашюты, стоки и тому подобное рассчитываются как процент от оклада. Согласиться без переговоров — это подарить кучу денег тем, у кого они и так есть. За десять лет карьеры эта сумма может легко вылиться в миллион долларов, которые не попали в твой карман. Не знаю как там у богатых опеннетчиков, а для меня даже тысяча долларов значимая сумма, не говоря уже про миллион. Я поднял свою зарплату на 25% просто назвав первое предложение «неплохим началом» и потратив в сумме ~3 часа на разговоры с нанимающим менеджментом в обход HR. Даже если меня выкинут на мороз на второй год после найма, согласись, суммарные 16к за час разговоров это весьма неплохо. А так, будет день — будет и пища.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

103. Сообщение от Аноним (103), 06-Окт-25, 10:44	+/–
Кмк сотрудник помог получить доступ
Ответить | Правка | Наверх | Cообщить модератору

104. Сообщение от пох. (?), 07-Окт-25, 12:34	+/–
> Нужно учесть, что в случае выдающейся зарплаты, достигнутой в основном за счет умения > "зарплатных переговоров", работник также первый в очереди на выход, когда costs резать > будут. Ну здрасьте! Последний он в очереди, первыми уволят тех кто работал. Им некогда договариваться, да и не очень может умели. > Особенно если "хуже разбираюсь ну буквально во всём". и чо, кумар раджа-то об этом не в курсе, и если снизойдет до вызвать побеседовать о перспективах неудачного направления во вверенном ему отделе - то снова останется тот кто милее беседовал, а не тот вот шибкоумный (если он такой умный - чо показатели-то упали?) Могут, конечно, весь отдел чохом, вместе с Кумаром. Но тут уже пофиг кто в очереди на каком месте и в чем ты там разбирался - тоже уже никому не будет интересно. Лучше даже первым вылететь - пока в соседних компаниях еще не все места расхватали ушлые коллеги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема