Speaker A
В прошлом видео я рассказал, как Чуба провалил свою революцию, но оказалось, что смешное даже не в этом, а в том, как сделан их сайт Единый фронт.
Анализ сайта «Единый фронт» выявил серьёзные уязвимости и нарушения безопасности, ставшие угрозой для данных пользователей и целостности проекта.
Key Takeaways
- Сайт «Единый фронт» содержит серьёзные уязвимости безопасности.
- Данные пользователей доступны без паролей и могут быть использованы злоумышленниками.
- Администраторские функции можно захватить без сложного взлома.
- Проект не обеспечивает надёжной защиты и контроля за голосованиями и отзывами.
- Пользователям следует быть осторожными с размещением личной информации на подобных ресурсах.
Summary
- Видео раскрывает проблемы сайта коалиции «Единый фронт», объединяющей около 900 игроков.
- Сайт позиционируется как серьёзный инструмент для голосований, отзывов и управления сообществом.
- Обнаружены критические ошибки в коде и настройках безопасности, позволяющие получить доступ к базам данных без взлома.
- Любой пользователь может просмотреть email-адреса и другую конфиденциальную информацию участников.
- Выявлены случаи накрутки голосов и возможность изменения данных сайта злоумышленниками.
- Администраторские данные, включая UID и email, доступны через Local Storage, что даёт полный контроль над сайтом.
- Злоумышленник может назначить себя суперадмином, удалять новости, блокировать заявки и менять контакты лидеров фракций.
- Сайт выполнен некачественно, напоминает курсовую работу, и не обеспечивает защиту данных сторонников.
- Видео предупреждает пользователей о рисках и ставит под сомнение безопасность их личных данных.
- В итоге сайт «Единый фронт» — технический провал, подрывающий доверие к проекту и его организаторам.
Full Transcript — Download SRT & Markdown
Speaker A
Сейчас вы увидите дверь, в которую можно зайти, не стучав. Заходим на сайт, объединяем 900 и более игроков в единое сообщество. Вместе сильнее, вместе меняем правила игры.
Speaker A
Нас встречают фракции коалиции, действующий состав на 2027 год. Общая численность приблизительно 900 человек с вычетом дублей и ботов, уточняют они.
Speaker A
Проекты коалиции с описанием фракций и ссылками на ресурсы. Лидеры фракций, публичные контакты и ответственные лица.
Speaker A
Но почему-то только на одной из фракций указан бот. Остальные лидеры скрыты. Также есть новости, расписания, отзывы и голосования. И, конечно, вступление в коалицию. Туда вписываются игровой никнейм, фракция, роль и юзернейм Discord или Telegram. Звучит как серьёзная организация, правда? А теперь
Speaker A
я покажу вам, что там есть на самом деле. Сайт Единый фронт — это их главный инструмент. Там и голосование, и отзывы, и обсуждения. По задумке центра управления революцией. По факту мы имеем коряво написанный через искусственный интеллект сайт,
Speaker A
прокол в безопасности с доступом к базам и даже конфиденциальную информацию, которую может увидеть даже тот, кто вообще не шарит в программировании.
Speaker A
Я провёл анализ сайта, и первое, что я обнаружил, — фасад этого сайта доступен абсолютно каждому. Неизвестная группа лиц получила доступ и накрутила голоса на голосование. Это не хакеры, это любой человек, который знает, куда нажимать.
Speaker A
Также я выявил многочисленные нарушения со стороны тех, кто писал этот сайт. Ошибки в коде, неправильные настройки безопасности, открытые доступы.
Speaker A
Создаётся впечатление, что сайт писали за час до сдачи курсовой работы. Дальше хуже. Через Firestore я увидел email-адреса людей, которые оставляли отзывы на сайте без пароля, без взлома.
Speaker A
Просто открыл ссылку и посмотрел. Теперь представьте, любой, абсолютно любой человек из абсолютно любой точки мира может получить эти данные и использовать их в своих пагубных целях.
Speaker A
Если бы кто-то захотел навредить, он мог бы сменить данные на сайте, украсть базу, сломать голосование, поставить тех, кто оставил отзыв, и ничего бы им не помешало. Но они уже сделали первые шаги, они уже накрутили голоса, точно так же, как было и на удалённом сайте
Speaker A
план разгром. Создаётся устойчивое ощущение, что они чего-то ждут или пытаются играть, следя за развитием событий.
Speaker A
А теперь давайте представим, что доступ к этому сайту получил не просто любопытный зритель, а злоумышленник.
Speaker A
Что он может сделать, когда у него уже есть доступ к аккаунту администратора? Первое — получить UID и email суперадмина из Local Storage. Это всё равно, что забрать у администратора ключи от дома.
Speaker A
Второе — прочитать все заявки, включая контакты тех, кто вступал в коалицию. Telegram, игровые ники, Discord, вся база.
Speaker A
Третье — назначить другого пользователя суперадмином, даже не взламывая, просто поставить своего человека. Четвёртое — удалить все новости, стереть историю, сделать вид, что ничего не было.
Speaker A
Пятое — накрутить голоса. Это мы уже увидели. Шестое — заблокировать приём заявок. Революция просто перестанет пополняться.
Speaker A
И седьмое, самое изящное — изменить контакты лидеров на свои. Представьте, вы думаете, что пишете лидеру фракции, а на деле уже совсем другому человеку. И теперь он управляет вашей заявкой, вашими данными и всем этим движением.
Speaker A
И это не теория. Доступ Firestore уже был. Голоса уже накрутили. Остальное — вопрос времени и желания. Как итог, сайт Единый фронт — это не инструмент революции, это технический провал. Чуба хотел управлять людьми, но даже данные своих сторонников не смог защитить. А теперь вопрос к тем,
Speaker A
кто оставлял там отзыв. Вы точно уверены, что ваша почта в безопасности?
Topics:Единый фронтанализ сайтабезопасностьуязвимостиголосованиекоалицияреволюцияигровое сообществоконфиденциальностьнарушения безопасности
