☹️Мое приложение взломали А конкретно - Dumly Примерно неделю назад получаю сообщение: "У тебя там деньги на OpenAI закончились" Сначала подумал - ну ок, очередной активный премиум-пользователь. Захожу смотреть логи - и тут начинается интересное. В запросах вижу модель O1, которой… в приложении вообще нет. Плюс куча странных аномальных запросов, явно не из пользовательского флоу. В этот момент стало понятно: нашли прокси-сервер, через который шли запросы к LLM, и начали использовать его напрямую. Ключ не утек, но прокси спалили. Что сделал: - сразу ревокнул прокси - через ~1,5 часа выкатил фикс - добавил нормальную проверку по user_id: теперь если ты не клиент приложения - запрос просто не пройдёт + сразу опирается на то, какая у тебя подписка и лимиты Честно: я знал про эту уязвимость ещё на релизе. Но хотел выпустить приложение быстрее и думал, что аудитория маленькая и вряд ли кто-то будет ковыряться так рано. Как оказалось - будет 🙂 Воспринимаю это как хороший и довольно дешёвый урок: безопасность нельзя откладывать “на потом” даже в маленьких продуктах, даже если кажется, что там нечего ломать. Так что: - данные пользователей не пострадали - всё закрыто - уязвимость больше этим способом не эксплуатируется А человеку, который это нашёл - спасибо за урок. Следующие приложения будут параноидальнее с первого дня🤔