facepalm.asc или как админу наркошопа выстрелить себе в ногу

0.360794% — именно такой процент шопов с аллергией на OPSEC подсчитал (на дреде: /post/3f8afe56515d54bb3043) пентестер в ходе рутинного сканирования одного из маркетплейсов.

Число вроде небольшое, но характер их ошибки компенсирует “недостаток” кринжа — вместо публичного ключа (считай, логина для связи с ними) админы клали в соответствующее поле приватный (считай, пароль к админке).

Приватный ключ админа магазина даст не просто доступ к его аккаунту, а возможность расшифровать данные всех заказов. И этот ключ висит в свободном доступе на их странице.

Любое оправдание такого экземпляра человеческой ошибки добивает содержимое такого ключа: он начинается с написанного капсом на самом распространенном языке в мире «BEGIN PRIVATE PGP KEY BLOCK».

ИМХО:  Не будьте ССЗБ, изучайте матчасть. Если тема интересна, запилим краткий гайд по основам для вас.

Свежее