У Scalaxy неделю присутствовала дыра в безопасности API

в 15:50, , рубрики: oversun, scalaxy, информационная безопасность, облако, Облачные вычисления, облачный хостинг, оверсан, скалакси, метки: , , , , ,

Началось все с того, что 15го марта в Оверсане проводили обновление ПО Scalaxy. Несколько часов не работала панель управления облаком.
Когда она наконец заработала, мне понадобилось настроить включение сервера по API. Увы, список серверов в моем «проекте» мне не выдавался — таймаут соединения. «Не подняли API еще» — подумал я и как-то забыл на неделю. Сегодня попробовал опять, и был крайне неприятно удивлен…

За неделю ничего не поменялось.
Подумал — увеличил таймаут с 5 до 60 секунд. Получаю JSON на 2.7МБ. Смотрю внутрь — а там, похоже, вместо списка моих серверов — все сервера облака.
Первым делом отписал в поддержку, потом пошел смотреть что можно делать с серверами(Естественно на другом своем аккаунте, чужие сервера мне не нужны).
Запросы API имеют вид www.scalaxy.ru/api/projects/ID_ПРОЕКТА/instances/ID_ИНСТАНСА/ДЕЙСТВИЕ.json
Первая попытка с правильными ID, выдала мне запрет доступа.
После смены реального ID проекта на ID проекта на аккаунте, с которого делался запрос я успешно получил информацию по инстансу.
Дальше решил попробовать включить инстанс но, так как я не шибко торопился, к этому времени баг уже закрыли, потому точно ответить на вопрос можно ли было включать/менять/удалять инстансы на других аккаунтах я не могу, но имею все основания считать что можно.

В сухом остатке:
1)Неделю можно было по API как минимум просматривать информацию о всех серверах облака, а, возможно, и управлять ими.
2)Время устранения проблемы после обращения в поддержку через тикеты 30-45минут.

Автор: WEBIVAN


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js