Doge

@brunobertolini Pois é, mas a sua intenção de ter abrangência virou misinformation e ainda está legitimando a conduta do maluco que fez um monte de merda e ainda falou que foi hackeado.

@criptodoge_ a gente sabe disso, mas quem não é tech, não sabe. Eu quis deixar o texto mais "abrangente"

O que fazer pra não ser hackeado (pelo menos não em 2 minutos) sendo vibecoder. Recentemente um vibecoder disse que não precisava mais de devs. Construiu o SaaS inteiro. Postou mostrando como fez. Foi hackeado logo depois. Isso mostra que muita gente despreparada ta fazendo o que não sabe, sem nenhuma preocupação, mas aqui está meu passo a passo: Passo 1: não seja arrogante. Sou dev há 20 anos e NÃO ME GARANTO em segurança. Sei o mínimo que alguém com a minha experiência deveria saber, mas segurança de verdade é especialidade, não checkbox. Não ache que se garante só porque o app "funciona". Passo 2: o checklist mínimo antes de ir pra produção. Pede pro seu claude code/cursor/whatever fazer: 1. Listar tudo que pode ser chamado sem login, e mostrar como 2. Procurar qualquer API key, secret ou senha exposta no frontend ou commitada no código 3. Tentar injetar SQL em todos os campos de input ou queryParams e mostrar onde a query não tá protegida 4. Tentar injetar script malicioso em campos de texto e url e mostrar onde executa no browser de outro usuário 5. Trocar IDs na URL e ver se um usuário acessa dados de outro 6. Testar se ações sensíveis (deletar, mudar role, pagar) validam permissão no servidor ou só na tela 7. Simular mil tentativas de login por minuto e ver se tem bloqueio 8. Simular request duplicado em pagamento e ver se cobra duas vezes 9. Tentar subir arquivo malicioso disfarçado e ver se o upload aceita 10. Listar todos os erros que chegam no frontend e ver se algum expõe detalhe interno do sistema Não vai pegar tudo, óbvio. AI auditando o próprio código tem pontos cegos. Mas te tira do "hackeável em 2 minutos" pro "pelo menos o óbvio tá coberto". Passo 3: contrate quem sabe. Mesmo aplicando tudo isso, pra qualquer sistema que vai pra produção de verdade, deve ter um especialista em sec. Opção boa pra quem tá começando: CarameloSec, da @maincarmem. E lembre-se, segurança é relativa, eu diria que é impossível fechar todas as portas, mas cada camada extra dificulta o acesso. Você PRECISA de um especialista. AI acelerou a criação de software. Mas segurança não é feature, é fundação. E nenhuma AI vai te avisar que você esqueceu de colocar.

@AvelinoReAu Mas ele não escutou nem as pessoas que estavam o alertando sobre as falhas ontem, você acha que ele vai escutar você ? Isso já saiu do nível de arrogância. Virou ignorância e prepotência.

@YURIWinchest @P3r3ir4__ Se não importa, o verbo “invadir” do artigo tem que ser anulado. Você confunde acessar com invadir. Você confunde usuários que acessaram para avisar sobre a falha com usuários que pegaram os dados na maldade, estes sim devem ser responsabilizados, juntamente com o dono do app.

@criptodoge_ @P3r3ir4__ NÃO IMPORTA vc não entendeu vc acessar dados que não era seu sem permissão é crime

Se eu anoto as minhas senhas em um papel e deixo cair na rua, vc acha, então tá tudo bem vc acessar minhas contas?

@YURIWinchest @P3r3ir4__ Então seu problema é de analfabetismo funcional mesmo. O verbo “invasão” remete a transpor um obstáculo. Não houve obstáculos, pois como falei, a rota era pública.

“Não estou dizendo que o erro de segurança dele seja irrelevante. O que estou esclarecendo é que, mesmo diante de uma vulnerabilidade, se você acessa sem autorização está cometendo um crime. O Art. 154-A do Código Penal tipifica como invasão qualquer acesso indevido a sistema protegido, independentemente da falha que o expôs. Em outras palavras: a existência de vulnerabilidade não legitima a conduta ilícita.”

@YURIWinchest @P3r3ir4__ Não existe invasão de rota pública /get. Cria vergonha na cara. O cara foi negligente porque fez um app sem segurança. Foi arrogante porque quando foi avisado do problema agiu com desdém. Foi mentiroso porque falou que foi “ataque hacker”. E tem imbecil defendendo ainda.

@P3r3ir4__ “Eu não disse isso. Você está interpretando errado. O que estou afirmando é que o erro de segurança cometido por ele não dá a você o direito de invadir o sistema. Uma falha não legitima outra conduta ilícita.”

@nao_twitto @YURIWinchest @joaosenzi Exatamente. E agora ele ainda tá falando que vai processar todo mundo kkkkkk que cara ingrato, totalmente arrogante. Merece se foder muito.

@YURIWinchest @criptodoge_ @joaosenzi Ele deu é sorte de ter caído no gosto da bolha dev aqui no X onde ficou td exposto e ele pode fechar tudo rápido, do contrário alguém realmente com má intenção iria ficar quietinho usando as chaves dele ou fazendo algo pior com os dados expostos

O cara upou TODAS as chaves API no github dele (.env), deixou o endpoint EXPOSTO sem autenticação nenhuma. Ele foi responsável por um INCIDENTE de segurança. Cometeu ao ilícito. Violou a lei... Foi desumilde.... E aí: "Pessoal...tem muita gente ruim nesse mundo".

@devjonasguedes @joaosenzi Se ele mesmo diz que “a barreira do código morreu”, você acha mesmo que ele quer contratar um dev ? Kkkk

@joaosenzi Mas se o cara faz tanto dinheiro, pq num tem um dev com ele pra ajudar nessa parte?

@YURIWinchest @joaosenzi Na verdade, a ANPD não analisa deste jeito. O site vibecodado dele simplesmente não se preocupou com os dados pessoais de ninguém. Tanto o pessoal da área DEV quanto da cybersec borraram os dados confidenciais na hora de mostrar as vulnerabilidades. Quem infringiu lei foi ele.

@criptodoge_ @joaosenzi o fato de vc deixar o carro aberto não te dar o direto de entrar no carro e pagar o celular ou qualquer coisa que esteja dentro do carro

@YURIWinchest @joaosenzi O sistema dele não foi invadido. Primeiramente ele não ativou o RLS do banco de dados, permitindo consulta pública via GET. Posteriormente a isso, descobriu-se que o repositório dele com as variáveis de ambiente estava público. Quem infringiu a lei foi ele.

Texto da Lei (Art. 154-A do Código Penal) Caput: “Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita.”

@acgfbr Olha o comentário que ele curte ainda… Tem que se foder muito até aprender a ser humilde m

pior q o cara deve ta dando f5 o dia todo apagando comentario bicho, gag

@lincolixavier @acgfbr @tsu_node Ele tá dobrando a aposta.

E ele apagou meu comentário, e do @tsu_node Caralho que ódio eu to desse cara picareta.

@lincolixavier Tá apagando os comentários. Denunciem o vídeo galera.

O cara continua lá no YouTube enganando os outros

@LuizGuimm Denunciem o vídeo dele.

O Abraham manteve a narrativa lá no YouTube…. Será que chega lá?

@nicolasmelo CFO DEU ?

Ele disse que topa. Disse que tá disposto a ser o CFO também.

@hermogenesfpn Dou ban no usuário na plataforma. Se ele tiver contratado algum serviço da minha plataforma sumo com o dinheiro dele.

Já vou adiantar uma pergunta de entrevista pra vocês. Usuário faz login via Google OAuth e tenta o reset de senha. O reset não funciona. Esse bug está chamando atenção no X. Como você lidaria com essa situação?

@kvtrfz Tem que ir lá no canal dele e denunciar o vídeo, tá no ar ainda

- Suba seu saas que "fatura 100k/mês" - Tenha seus dados de usuário vazados - Tenha seu repositório vazado - Deixe o .env commitado com todas as secrets ISSO É SOFTWARE ENGINEERING 🔥

@EricMarkov10 @zuck1717 @hadukemv E tão erradas ? O cara foi arrogante para caralho, ele merece para aprender.

@zuck1717 @criptodoge_ @hadukemv A corda sempre arrebenta pro lado mais fraco, ele n é o Google e outras big techs, pessoas prejudicadas vão fazer questão de arrancar dinheiro desse otário.

O cara apagou o post, vai tomar processo, perdeu o programa por deixar todas as informações da .env expostas no GitHub Foi pagar de fodao com seu programa revolucionário e denegrir a profissão alheia e se fudeu Isso sim é Brasil com S

@zuck1717 @hadukemv Isso é fato. Não tem nenhum vazador de dados maior do que o dono da ANPD, no caso o governo.

@criptodoge_ @hadukemv Pô, então porque ninguém processa a Google e outras big techs que deixam os dados dos usuários vazarem direto? É só abrir um CNPJ que tu já recebe ligação e mensagem de golpista em menos de 2 minutos

@zuck1717 @hadukemv LGPD

@hadukemv Processo por qual motivo???