ВЕРЕЩУ

И - интрига

поищи статью "по мотивам" на том же хабре, там ребята шатали лингвалео после этой статьи, такие перлы раскапывали

не сразу понял, что это ТА САМАЯ статья

да)

Думаешь, если 50 рандомных компаний по OWASP покопать даже просто, там не найдётся серьёзных дырок?

Не защищаю, но мне кажется, что здесь просто случай яркий, сразу много людей тестить стали, вот и нашли много дырок.

Уже после основного инфоповода.

Даже если найдутся несерьзные. Ведь всегда есть люди, более сильные в атаках, чем ты, особенно если не заниматься ИБ прицельно. Быть высокомерным от лица самого себя — довольно безопасно, так как делать плохое физлицу — это, ну, не то же самое, что пошатать сервис компании, которая, кажется, очень плохо обошлась с предыдущей командой (?) и еще и высокомерно разговаривает с местными глупцами, рассказывая, что очень довольна переходом, в результате которого похерила данные кучи людей

Т.е., мне кажется, их СТО попутал задачу постинга на хабре: он хотел выебнуться отс воего лица, а получилось, что немного опустил компанию

Не пошло, получается.

обычно когдта творят херню, не показывают всем какие они умные что сотворили херню. На одной из прошлых работ на сайте можно было залогиниться по телефону под любым пользователем без пароля, это было сделано специально (не мной, когда я узнал, ржал) для "положительного пользовательского опыта"

вы же про то как в базу перенсли бизнес логику?

В данном случае про то, как автор этого решения работал с вопросами и возражениями на хабре

по телефону в смысле без пароля, считай только логин. Нет, токенов тоже никаких небыло, хватало одного логина.

а, ну если просто дурак, этому нужно какое-то особое значение придавать?)

А я не знаю, были ли у компании убытки после того, как люди решили исследовать качество его превосходного решения.

кстати, в тои твиттер треде зря чел раскрыл что можно хранить у них любые данные. Можно было напрогать себе "лингвалео Диск" и все в base64 и туды