О, тоже есть такая история, только там последствия еще хуже.

Дано: дочка Роснефти, неплохая такая компания с миллиардными оборотами. Но, как всегда, какие-то левые антивири, дыры в безопасности, отсутствие бэкапов и все такое.

В один прекрасный(нет) момент приходит многим известный вирус "Петя" и шифрует кучу инфы на компах и серверах. Естественно, безвозвратно - бэкапы были только местами. Ну ок - поплакали, покакали и погнали дальше. Казалось, что каких-то серьезных проблем удалось избежать - да, похерилась часть данных, но нефть качается, бабки идут, ничего не сломалась.

Проходит 3 года. Дочка Роснефти решает запустить в строительство один своих больших проектов. Здесь нужно сделать небольшую ремарку в части проектирования и строительства именно у этой компании: между проектными работами(в числе которых - разработка ПО) и строительными работами могло пройти значительное время, 3-5 лет, а то и больше. Поэтому "эффективные" менеджеры придумали брать гарантийные письма с подрядчиков, которые работают с ними эпизодически. Дескать так и так, обязуемся доработать ПО после начала строительства объекта бесплатно и независимо от сроков.

Вернемся к нашим баранам. Начали стройку, выкинули тендер на поставку оборудование и ПНР. ПО для оборудования - типо уже написано, бери и ставь, ага) ПО на объект писал какой-то подрядчик, который работал с этой дочкой всего пару-тройку раз. ПО, по сути, не рабочее - куча косяков и недоработок, часть устройств вообще отсутствует, часть прописана неправильно, тех.схемы отрисованы кое-как. Ну ок, пишут подрядчику:

Однажды я делал стартап. В один день открываю емейл и вижу письмо со скриншотом кода нашего проекта. Натурально скачали наш репозиторий и показывают его нам.

— Вот гандоны! — подумал я, но ответное письмо все же начал со слов "Hello, my friend”

Оказалось, это не какой-то школьник, а серьезный спец. Кристиан его звали. Немец такой, в костюмчике. Судя по профилю в LinkedIn — консультирует по кибербезопасности.

Он обнаружил уязвимость, скачал репозиторий и теперь предлагал нам за вознаграждение рассказать где дырень.

— Вот меркантильный! — подумал я, но вежливо спросил "Сколько стоят ваши услуги?"

— За жалкие 1000 долл, я вам подробно расскажу где вы накосячили, а еще дам подробный гайд как избегать этих проблем в будущем — ответил немецкий хакер.

Спасибо, что еще персональное наставничество не предложил с доступом в закрытый чат.

Я ему ответил, что дорого, готов на 500 согласиться. Он предложил "let's meet in the middle". То бишь 800 долл. Я охуел от немецкой математики и взял паузу на подумать.

Думать в одиночку было тяжело, поэтому я спросил у своего друга — чо делать?

Он предложил: — а давай поблагодарим его и просто дадим ему 100 долл. Мол, спасибо, что подсказал, дальше будем искать сами. Возможно, он сам захочет рассказать где уязвимость.