Linus Neumann
đ€ SpeakerAppearances Over Time
Podcast Appearances
Und dann kriegst du aber die Debug-Error-Page, die einfach den kompletten State und alles droppt, in dem die App sich gerade befindet, damit die Programmiererin herausfinden kann, woran hat es gelegen.
Und die Debug-Page hat alle Environment-Variablen mit ausgegeben, weil an jeder davon kann es ja liegen.
Und zu den Environment-Variablen gehörte Username, Admin und Passwort
admin at 123.
Oh Gott, nein.
Du hĂ€ttest jetzt noch nicht mal, du hĂ€ttest jetzt noch nicht mal HĂ€tten sie nicht bonobo2342 Ja, das hĂ€tte, da hĂ€tte man natĂŒrlich erkannt, okay.
Das war wirklich AnfÀnger.
Du hĂ€ttest tatsĂ€chlich in der Wikipedia-Liste der am hĂ€ufigsten verwendeten Passwörter, das ist 19, du hĂ€ttest dir den ganzen Ărger gar nicht machen mĂŒssen, RenĂ©.
Also René Rehme.
Dann konnte er natĂŒrlich, jetzt gehst du einfach hin und sagst, alles klar, jetzt bin ich Admin, kannst dich an das Admin-Panel anmelden, eine ganz normale Standard-Django-App-Admin-Panel.
Dann hat das Ding aber auch gelockt.
die OAuth-Tokens von den Authentifizierungen.
Also wenn jemand da hingeht und sagt, hallo, ich bin so und so at nicht McKinsey, sondern andere Firma, Àhm,
Genau.
Und mit denen konntest du dich wiederum dann, weil die von einem Entra-ID kamen, mit denen konntest du dich dann wiederum an dem Microsoft Graph anmelden und die anderen das Entra-ID querieren.
In dem Fall 3,2 Millionen User-Accounts.
Ein bisschen mehr.
Bisschen mehr als bei McKinsey.
Und also diese ganzen, also alle Chat-Vlogs und alle Dateien und auch die Pre-Prompts, das liegt halt in dieser Web-App drin.
Wo soll es auch sonst liegen?