Linus Neumann

Und dann kriegst du aber die Debug-Error-Page, die einfach den kompletten State und alles droppt, in dem die App sich gerade befindet, damit die Programmiererin herausfinden kann, woran hat es gelegen.

Und die Debug-Page hat alle Environment-Variablen mit ausgegeben, weil an jeder davon kann es ja liegen.

Und zu den Environment-Variablen gehörte Username, Admin und Passwort

admin at 123.

Oh Gott, nein.

Du hättest jetzt noch nicht mal, du hättest jetzt noch nicht mal Hätten sie nicht bonobo2342 Ja, das hätte, da hätte man natürlich erkannt, okay.

Das war wirklich Anfänger.

Du hättest tatsächlich in der Wikipedia-Liste der am häufigsten verwendeten Passwörter, das ist 19, du hättest dir den ganzen Ärger gar nicht machen müssen, René.

Also René Rehme.

Dann konnte er natürlich, jetzt gehst du einfach hin und sagst, alles klar, jetzt bin ich Admin, kannst dich an das Admin-Panel anmelden, eine ganz normale Standard-Django-App-Admin-Panel.

Dann hat das Ding aber auch gelockt.

die OAuth-Tokens von den Authentifizierungen.

Also wenn jemand da hingeht und sagt, hallo, ich bin so und so at nicht McKinsey, sondern andere Firma, ähm,

Genau.

Und mit denen konntest du dich wiederum dann, weil die von einem Entra-ID kamen, mit denen konntest du dich dann wiederum an dem Microsoft Graph anmelden und die anderen das Entra-ID querieren.

In dem Fall 3,2 Millionen User-Accounts.

Ein bisschen mehr.

Bisschen mehr als bei McKinsey.

Und also diese ganzen, also alle Chat-Vlogs und alle Dateien und auch die Pre-Prompts, das liegt halt in dieser Web-App drin.

Wo soll es auch sonst liegen?