Зашёл как самый рядовой житель. Зарегался по почте, как любой другой. Положил в свой шкафчик предмет правильной формы — снаружи он выглядит как настоящий, внутри пустой и без подписи. По регламенту вахтёр должен был просто принять его в опись. Он попытался — и завис.
Через несколько минут все коридоры стали глухими. Главный зал, перекличка анкет, счётчик «кто сейчас на работе» — всё перестало отвечать. Цифра 1635 онлайн упала до нуля. На экране каждого посетителя — баннер «ошибка базы». Сама дверь открыта, свет горит, но за порогом — мёртвая тишина.
Один POST из браузера обычного юзера, без эксплоита, без скриптов, без обхода чего-либо — и здание встало. Когда проверяемые внутренние процессы не обёрнуты в собственные изолированные камеры, любая криво-подписанная запись в одной из них тянет за собой все остальные. Это не атака — это конструктивная трещина. Любой житель может повторить.
У каждой анкеты в этом доме есть служебная полка — там лежит обрывок платёжной карточки и сумма аванса. Полка должна быть закрыта на замок, ключ — у владельца и у управляющего. По факту полка стоит в общем коридоре, и каждая открывается простым жестом — назвать номер анкеты.
Я попросил полку пять раз подряд для разных анкет одной и той же женщины — обрывок везде совпал. Попросил у четырёх случайных номеров — там пусто, как и должно быть. Система отдаёт корректные данные на корректные запросы. Но любому прохожему. Ни вопроса «кто ты», ни проверки «твоя ли это полка».
Сложить эту полку с публичной — где у каждой анкеты лежит имя, фотография, район с точностью до метра, телефон-видимый-после-захода — и получается портрет: живой человек, известное имя, известное лицо, известная локация плюс опознаваемый платёжный след. На рынке, где за факт работы могут осудить, уволить или хуже, такая склейка стоит дорого.
Две щели в наружной стене, через которые видно лишнее.
Чертёж дома прибит к воротам. На внешней стороне ворот висит полная карта внутренних комнат — каждая дверь подписана, у каждой двери указано как стучать, какие слова работают, какие нет. Внутренняя контактная записка прорастает в углу карты — имя инженера, дева-домен, в честь которого всё названо. Прохожий получает план дома быстрее, чем владелец успевает закрыть ставни.
Пульс через щель. Под полом дома прорезана служебная отдушина — она сделана для того, чтобы инженер изнутри слышал работу механизмов. Но отверстие вынесено наружу, и теперь каждый прохожий может приложить ухо: слышно номер контейнера, версию двигателя, ритм фоновых модулей, включая те, о которых владельцы посетителей не предупреждали — те, что смотрят на загруженные фотографии и решают за человека.