Несколько дней назад мы получили сообщение о том, что старая версия одного из скриптов раздается бесплатно не ее автором.

Мы проверили эту информацию и действительно оказалось, что это точная копия скрипта. Не изготовленный на заказ похожий скрипт, а именно копия.

Причины для этого могут быть следующими:

• Утечка исходника со стороны разработчика.
• Получение исходника используя аккаунт разработчика на сайте.
• Получение исходника используя возможную уязвимость на сайте.
• Возможный взлом скомпилированного приложения.

Понять что именно случилось спустя несколько месяцев достаточно сложно. Поэтому мы написали человеку, раздающему взломанное приложение представившись пользователем, который хочет взломать другой скрипт и предложили за это солидную сумму. При этом на сервере были активированы все возможные логи, чтобы понять, какие именно шаги он предпринимает.

По результату переписки взлом так и не был осуществлен, он просто перестал отвечать на сообщения. При этом человек говорил такие вещи, которые не позволяют его считать компетентным в данном вопросе. На самом деле у взломщика ушло больше дня чтобы просто запустить скрипт.

Пример:

Что касается логов на сервере, то предоставленные злоумышленнику данные авторизации были использованы всего 2 раза чтобы запустить скрипт на 1-2 минуты.

В результате, если допустить вариант 3) или 4), тогда не понятно, почему злоумышленник не захотел получить деньги без особого труда? Почему версия скрипта, который раздается бесплатно настолько устаревшая? Почему он даже не пытался осуществить взлом?

Из всего этого я могу предположить, что взлом защиты BAS в конкретно этой ситуации маловероятен. Маловероятен, но все таки возможен. Именно поэтому незамедлительно будет предпринят комплекс мер по усилению защиты:

• Скоро выйдет патч с переносом части вещей касающихся безопасности на сервер.
• Будет объявлено вознаграждение за найденные уязвимости(https://community.bablosoft.com/topic/12484/).
• Мы закажем аудит системы защиты у сторонней компании.
• Скорее всего, будет сменен протектор.
• Возможность получить код своего скрипта через личный кабинет отключена(Уже сделано).

Все эти меры будут предприняты в самое ближайшее время, буквально дни и часы. Сейчас версия BAS 23.0.0 уже полностью готова, но ее релиз откладывается, чтобы разобраться с возможностями проблемами описанными выше.

Мы дорожим нашими наработками в области защиты и не потерпим воровства на нашей площадке, именно поэтому пользователь демонстративно раздававший чужое был забанен. И так будет с каждым, не зависимо от статуса, количества пользователей, и т. д.

В этой теме допускается только обсуждение касающиеся защиты. Название конкретных скриптов употреблять запрещено. Запрещено говорить о багах BAS(для этого есть другие темы).