Последствия вайбкодинга⁠⁠

Наткнулся на такую схему: на днях меня попросили поднять телеграм бота (не своего, фриланс разработка) на сервере, исходники к боту были выложены в публичном рипозитории на github.

Внимание, вместе с телеграм токеном и всей другой важной информацией.

Сперва можно предположить, что токен тестового бота не будет использоваться в дальнейшем, но оказалось что нет.
Более того, бот был создан на аккаунте фрилансера, а не заказчика сервиса.

Спустя сутки после запуска бота заказчики столкнулись с проблемой - внутри их бота теперь работает какой-то другой, чужой бот, со своими командами, текстами и описанием 🤷‍♂️

Нарисовал схему для любителей грязного трафика:
1) Ищем открытые токены
2) Запускаем на токенах своего бота, который ведет на ваш продукт/сервис
3) Готово, бесплатный грязный трафик