DrawAFish.com: Ein Sicherheitsdesaster durch dumme Fehler
DrawAFish.com, eine Website, die kurzzeitig die Spitze von Hacker News erreichte, erlitt ein Sicherheitsdesaster aufgrund einer Reihe von Anfängerfehlern. Ein veraltetes sechsstelliges Admin-Passwort, das bei einem früheren Datenleck offengelegt wurde, eine nicht authentifizierte API zur Benutzernamenaktualisierung und ein JWT, das nicht an einen bestimmten Benutzer gebunden war, ermöglichten es böswilligen Akteuren, die Website innerhalb weniger Stunden zu verwüsten. Benutzernamen wurden durch Beleidigungen ersetzt und Fischbilder wurden verändert. Der Autor behob das Problem, indem er aus Backups wiederherstellte und die Schwachstellen behob, und reflektierte über das Gleichgewicht zwischen schneller Entwicklung und Sicherheit.