По-моему в ход пущены грязные пиар-технологии:
https://www.kommersant.ru/doc/5182068

Данные нескольких десятков компаний были украдены через вредоносный код в модулях 1С, обнаружили в RTM Group. По ее данным, он встраивался в программное обеспечение (ПО) во время доработки модулей у программистов на аутсорсинге. В самой 1С утверждают, что не сталкивались с такими случаями, но, чтобы избежать злоупотреблений, предлагают клиентам обращаться к официальным сертифицированным партнерам. Подобные вещи не всегда происходят умышленно, уточняют эксперты, заражен может быть компьютер самого исполнителя.

Так как решения от 1С имеют большую аудиторию, отмечают эксперты, ими пользуются в том числе не самые обеспеченные компании, которые часто обращаются к кустарным фирмам, желая сэкономить бюджет.

(11) Дык переделывать за ними - это твой хлеб с маслом, икрой и ХО

(12) После франчей дерьмища не меньше.

(14) +100500 и вообще это нередко один и тот же чел
говнокодит во фране, а после работы лично ))), возможно тем же клиентам мимо фирмы

Кстати говоря. Самым вероятным рассадником мошенничества подобного тому, что описано в статье, является инфостарт.
Достаточно написать какой-нибудь полезный востребованный отчет или обработку для распространенных конфигураций типа БП и УТ. Выложить его на инфостарте и сидеть спокойно получать на электропочту или по любому другому каналу нужные данные.
Ведь на инфостарте никто никакого аудита кода не проводит. И даже услуги такой нет.

(14) +100!

(0) дыма без огня не бывает.
а то что за фри нет контроля - это правда жизни.

(18) +за качеством работы и закладками

(13) копаться в дерьме? Ну такой себе хлеб

(8) закрытый код кстати часто практикуют сертифицированные 1С партнеры.
что-то здесь не сходится

(9) так это много.

(12) ой, не надо сказок про грамотных франчей. Плавали - знаем

(20) там зачастую ничего не исправишь уже.
только сжечь все и написать заново...

(20) Ну дык ХО за просто так не перепадает
Откровенное дерьмо на обязательно баламутить, его переписывают заново

(14)(15)(17) >>  После франчей дерьмища не меньше.

Безусловно. Но есть одно маленькое отличие. В отношениях с франчем ты можешь при наличии желания и настойчивости хоть чего-то добиться (смены спеца, переписывания кода, выполнения каких-то гарантийных обязательств и т.п.). С фрилансером, как правило, ничего этого нет. В 90% случаев он на*авнакодил и ищи ветра в поле. И даже если он никуда не слился, но заказчик понял, что квалификация нанятого им фрилансера не соответствует ожидаемой, сделать с этим он ничего не может. Кроме как разорвать отношения.

Не хочется всех под одну гребёнку причёсывать. Понятно что и среди франчей и среди фрилансеров очень разные попадаются.
Но мой личный опыт показывает, что количество *авнокода на один условный модуль и франчи и фрилансеры выдают примерно одинаковое.

Кто-то у кого-то когда-то что-то сделал, кто, что, когда, где и зачем не понятно, но РДМ задало вопрос 1С о том, что кто-то когда-то что-то кому-то сделал, за что-то и зачем-то.

+1С не в курсе и ответила стандартным ответом,

Но сразу все напряглись

Ага во фра прям следят.
Помню в 2003 году народ не напрягался из топовых фра ставили ломалки на 77 сразу комплексную сетевую.
А уж забрать всю базу на флешке для обновления( что бы разобраться в изминениях) не типовой так это вообще у нас было нормой.

(28) Не все тока гений

(11) не охренел ли ты с такими заявлениями? Очередной гений 1С? Покажи код свой, хвастун.

(0) сертифицируйся, это же не прививка

(31) прямо сразу гений... просто директор франча))

(24) >> сжечь все и написать заново.

Если заказчик готов за это заплатить.

(34) Не готов - не берешься, пусть дальше пользуется какашкой

(32) сертифицирован давно: https://geniy1s.ru/my-certificates-1s/ Вышли мы все из франей, ггг

(29) >> Помню в 2003 году народ не напрягался из топовых фра ставили ломалки на 77 сразу комплексную сетевую.

В те годы это было действительно нередкой практикой.
Но времена немного изменились. Сейчас в нормальном франче за подобное сервис инженер вылетит с работы.

>> забрать всю базу на флешке для обновления (чтобы разобраться в изменениях) не типовой так это вообще у нас было нормой.

Во франче, где я работал, такое, мягко говоря, не поощрялось. Или только официально по договоренности с клиентом, и с оплатой часов на работу с этой базой на флешке в офисе франча.

(36) 2005 год

(37)
Да конечно оплачивалась работа.

А ломалки, я рассказывал клиентам что у них взлом стоит и предлагал купить если они пользуются чем то чего у них нет. Либо поставить то что куплено. Либо будут без обслуживания. И они все покупали и даже с радостью, так как не знали что им взлом ставили. По их словам. И такой был не один.

(0) А чего сразу грязный пиар? Ты думаешь, в статье все ложь, и написана она по заказу 1С?

(29) Кое-где до сих пор встречается.

(35) >>  Не готов - не берешься, пусть дальше пользуется какашкой.

Неужели ни разу такого не было, что заказчик просит добавить какой-нибудь реквизитик и чуть подправить код в какой-нибудь древней, как говно мамонта, обработке?
Если не вникать и сделать ровно, как хочет заказчик, работы меньше чем на час, включая тестирование, отладку и сдачу готовой работы.
Если переписывать всю обработку, то может и неделя, учитывая кучу говнокода, рудиментов, накопившихся за годы её дописывания, необходимости анализировать зачастую неочевидную логику и принципы её работы, времени на тестирование с различными наборами входящих данных и т.д. и т.п. А если это ещё и будет связано с изменением какого-то сложившегося бизнес-процесса заказчика, то помимо денег всплывает ещё и административный вопрос.
Ну вот не в жизь не поверю, что при таком раскладе гуру программирования всегда только гордо требуют переписывать полностью.

(0) Ларьки работают без договора, нda, сисадмина и безопасника, спрашивается ,а чего ожидали то?
Так и из любого софта потечет, а уж от персонала и подавно.
черный пиар этой конторы, ртм груп, у них спецы то есть по 1с? или синфером траффик посмотрели и в панике?

(42) "заказчик просит добавить какой-нибудь реквизитик и чуть подправить код в какой-нибудь древней, как говно мамонта, обработке"

Это не требует разгребания навоза и не является неприятной работой
Переписывать полностью надо там, где что переписать, что разобраться в говнокоде займет одинаково времени

(31) нет, не охренел. Просто имею опыт вляпываний в плоды трудов фрилансеров, причём немалый. В конце нулевых и первой половине 10-х годов работал во франче, тогда была волна переходов на новые редакции конфигураций, либо фирмы обновлялись на актуальные релизы со своих древних редакций (у гос-ва попёрло нормотворчество). Мне приходилось часто заниматься подобными переходами. В большинстве случаев примерно одна и та же история: у фирмы был приходящий Вася, он череж жо внедрял типовую конфигурацию, обвешивал её костылями, а потом ушел в закат

(0) и вообще, зачем так сложно? , одату наружу вынул и все, модули еще писать, напрягаться )

(45) как правило, это проблема не программиста , а отсутствие грамотной постановки задачи.

Сказки про черных внедренцах я слышал еще в двухтысячных годах, ТС, ты где спал всё это время?

(47) ничего подобного, это банальный непрофессионализм. Пациент не рассказывает врачу, как врач должен оперировать пациента. Только врач знает все тонкости и всю глубину последтвий того или иного решения. Почему в программировании должно быть как-то иначе?

Интересно, а пруфы где? Мне кажется, речь идет о штатных конфигурациях? Или нет? :)

Потому что "вести с полей" говорят о том, что 1С сама активно использует "партнерский" код в своих релизах. А уж кто у партнеров этот код пишет... никто не знает )))

(35) да вот так все просто. ну и заказчик теряет специалиста которому не хочется терять время разбираться с говнами.
мне так вообще нравится строить систему с 0 заранее понимая что дорабатывать ее буду(т) годами

(49) насмешил примером. то то у нас вирусовологов и антипрививочников полстраны.

Кстати задумался.
А никто не предоставляет услуги типа "аудит кода" по различным критериям? За разумную денюжку, чтобы это не стоило как новая разработка.
Типа заказчику кто-то выполнил доработку его конфигурации. Причём неважно кто - фра, фри или штатный фикс.
Заказчик отправляет аудитору доработку (или всю доработанную конфу) и получает заключение по ряду заранее оговоренных критериев. Например, можно проверить только на наличие мошеннических закладок или потенциально небезопасного кода. А можно получить полное заключение о примененных методах решения, качестве кода, производительности и т.д. и т.п.

(53) нет такого, потому что 1С - это доступно!

ну или берут в штат таких людей

(53) я бы начал с типовых =)

(52) >>  у нас вирусовологов и антипрививочников полстраны.

Только когда эти вирусологи с антипривочниками заболевают, их врач в больнице не спрашивает - как их лечить.

(53) кто из исполнителей аудита подпишет финансовую ответственность за пропуск в своём аудите закладки хотя бы на пару лямов ?

ПРичем тут 1С? Пусть жертвы фрилансеров пишут в РосПотребНадзор. Там помогут разобраться.

Еще можно письмо в ФАС написать с жалобой на низкие цены от фрилансеров на 1с-лансер. Многие сертифицированные ведь страдают от студентов с ценой 500 рублей час.

(56) >> я бы начал с типовых.

В типовых от самой 1С всё ещё более или менее.
А вот в доброй половине отраслёвок и поделок типа 1С:Совместно - вот где адский ад.

Но заказчика такие проблемы мало волнуют, пока речь идёт о конфигурации, которую вендор поддерживает и обновляет. Какая бы она не была кривая и косая - в ней точно нет закладок и быть может даже когда-нибудь все ошибки в ней исправят и перестанут делать новые.
А вот в доработках собственного или приглашенных специалистов может быть абсолютно всё что угодно. И никаких инструментов для проверки этого кода у клиента нет.
Или при скачивании любых разработок с Инфостарта (например) - как убедиться, что скачанный красивый отчет не отправляет никуда данные из базы?

(24) я про тоже, весь навоз и костыли только на выброс. Но заказчики болезненно с этим навозом расстаются, ещё и могут тебя упрекнуть в непрофессионализме. "Ну нам жи сделали! Оно жи работало!"

(58) >>  кто из исполнителей аудита подпишет финансовую ответственность.

Мы сейчас говорим об аудите кода или бухучёта?
Я про аудит кода.
Если речь об аудите кода, то при чём тут финансовая ответственность?
Или ты знаешь о существовании программ учёта (отечественных или зарубежных), разработчики которых отвечают за корректность данных, которые выдаёт их программа? Я лично о таких не слышал.

(53) У малого и среднего бизнеса нету денег на аудит кода.
И вообще аудит кода предполагает как минимум использование Git для потока разработки.

(61) Наконец-то обсуждение пошло в нужное русло, а то каждый о своем наболевшем.

Для других стеков технологий давно есть и услуги аудита, и лучшие практики, и security-first методологии разработки. В 1С же тут еще конь не валялся.

(65) Значит это все пустой рынок, который необходимо занять и снимать стружку

А вы куда-то все  в другие отрасли намыливаетесь

В общем-то фрилансерам в средне и долгосрочной перспективе действительно придется несладко. Потому что станет востребованной компетенция (ИБ), которую очень сложно получить и поддерживать в одиночку, не работая в команде. Но главное, это  доверие клиентов. Чтобы его завоевать, мало быть хорошим прогом. Нужно еще имя. Или хотя бы статус франча.

(64) >> У малого и среднего бизнеса нету денег на аудит кода.

Так я и спрашивал о существовании аудита "по разумной цене".

>> аудит кода предполагает как минимум использование Git для потока разработки.

Это не совсем понял.
Я скачиваю с интернета какую-то разработку для типовой конфигурации (например, для УТ или БП).
Хочу быть уверенным, что она безопасна и не содержит закладок по типу тех, что писаны в статье из (0).
Зачем тут Git?
Я ведь говорю не о регулярном аудите, который должен проводиться при потоковой разработке на постоянной основе. Там кодревью - это часть процесса разработки.
Я о разовом аудите некой условной разработки (может быть даже большой).

(68) Она нафиг никому не нужна, не придумывай

(53) >>> А никто не предоставляет услуги типа "аудит кода" по различным критериям?

я в нулевых занимался, несколько раз находил закладки....

(64) аудит кода - относительно не дорогое удовольствие, основа это умение пользоваться глобальным поиском.... за час можно довольно сносно проанализировать пару месяцев работы

(70) Как начнут массово уводить деньги через ДБ, станет нужна.

(72) > относительно не дорогое удовольствие, основа это умение пользоваться глобальным поиском

1 рубль за то, что нашел и 99999 за то, что знал что искать.

(74) ну представь ценник 20тр в час, разве это дорого? если за час прошестю месячные дорабтки франча за которые заплачено 800 тр

(75) И ничего не найдешь.
Аудит кода, он не только на соблюдение стандартов и рекомендаций, он еще на анализ соответсвия бизнес процессам. А чтобы найти точку "вреда" надо понимать сценарии работы предприятия. За час он найдет, ага.

Собственно перед НГ делал аудит сильно переделанной консолидации на предмет корректности выдачи прав.

У меня ушло 2 дня на доработку системы и выдачи рекомендаций. (доработал я им систему контроля прав а не сами права)

правда это было в рамках текущего трудового контракта (то есть для нужд одного самостоятельного сегмента нашего холдинга)

(76) для этого есть сценарное тестирование, к аудиту это не имеет отношения

(52) это как раз пример того, что каждый суслик агроном и советчик. Ничего общего с профессионализмом такие подходы не имеют. Настоящий профессионал не должен идти на поводу у заказчика, тем более сам не должен делать непотреб

(73) Как? У тебя 2 уровня авторизаций на уровне банка, 2 уровня авторизаций на уровня архитекруы системы, 2 уровня проверки на уровне фин  бух служб предприятия

(81) Найдут как. Например, так же, как в интернет банке делают. На экране ты видишь одни сумму и счет, а в банк уходят другие.

(76) >> Аудит кода, он не только на соблюдение стандартов и рекомендаций, он еще на анализ соответсвия бизнес процессам.

Понятно, что аудит аудиту рознь.
И цена сильно будет зависеть не только от размеров аудируемого кода, но и от того что конкретно проверяется.
Условно проверка несложной обработки, отчета или печатной формы только лишь на наличие закладок может стоить копейки.
А то о чём говоришь ты - анализ соответствия бизнес-процессам - не может быть дешёвым. Даже если проверяемая доработка невелика.
А полномасштабный аудит всего и вся может быть по стоимости сопоставим с самой разработкой. Не считая того, что результатом такого аудита может стать рекомендация "переписать всё заново с нуля".

(82) в 1с в директ банке есть защита от этого.... я как-то разбирался, мне было интересно как сделано у конкурентов (у нас была система оплат мобильной связи и свой собственный аналог директ банка)

(29) Флешка, чтобы забрать прямо всю базу, стоила в 2003-м крайне дорого. А приличная база на 7.7 гиг и более весила.

(0) Кто-то решил пропиариться.

... В результате доработанные модули в момент проверки лицензионного ключа отправляют содержащиеся в них сведения...
... Представитель 1С заявил..., что ... описанная схема «представляется технически несостоятельной"...

может речь про нетленки от фрилансеров, а ля Магазька?

(85) >> приличная база на 7.7 гиг и более весила.

Да кто ж к приличным базам допускал фрилансеров или франчей с флешками.
Речь шла о небольших базах.

(87) тоже так подумалось, какой аутсорсер в здравом уме станет так подставляться?
Может какое-то левое расширение продается с сюрпризом.
Либо атаку заказали конкуренты конкретному спецу, тогда хоть как-то можно понять пассаж с аутсорсером.

В продолжени темы.
https://safe.cnews.ru/news/top/2022-01-26_raskryta_shema_krazhi_dannyh .
Что говорят в «1С»
В «1С» рассказали CNews, что не обладают информацией о таких случаях. «Схема, при которой исполнитель, выполняющий по договору доработки “1С” для заказчика, подсовывает ему вредоносный код в конкретном модуле конкретной системы, кажется как минимум странной, — отмечает представитель “1С”. — Это ведь не в анонимной рассылке вирус словить. Код приложений "1С:Предприятия" открыт, такой исполнитель-диверсант может быть вычислен "на раз", после первого же обнаружения вредоносного кода его легко найдет полиция».

Что собственно говоря логично.
Либо кто-то намеренно распространяет поделку с закладкой. А распространять массово и одновременно почти анонимно такое можно только через какой-то канал типа Инфостарта.
Либо кто-то получил доступ к базе с возможностью изменять конфигурацию и/или внешние отчеты/обработки. И тогда это вопрос к СБ и админам - почему в базе проходной двор.
Вообще в статье слишком мало конкретики. По сути - одна вода. Реальность вообще может оказаться весьма далёкой от содержания этой журналистской утки. Журналисты современные даже не пытаются разобраться в сути, а только умеют перепечатывать высказывания, вырванные из контекста и сокращенные по собственному вкусу.

(12) ни разу не видел нормального кода от франчей...
вот прям совсем недавно разгребал за франчами код, по сравнению с которым код Ген[итал]ия1c - гениальный...

(91) А я видел. Мой, который я во франче писал ))

(92) феномен™!

(90) у каналов типа инфостарта есть, во-первых, модерация публикаций, где код обработки могут и глянуть, во-вторых, механизм комментариев и жалоб. В случае чего обработку моментально снимут с публикации, а автора забанят. Меня терзают смутные сомнения, что подобная история может пройти со сколько-то известным магазином обработок.

(94) реальный случай: на инфостарте был такой перс "Кошки рулят", он туда положил обработку что-то типа "Квест бухгалтера", типа игрушка такая для развликухи, вроде внешний отчет....

но при старте там шел запрос в инет скачивание exe-шника который тут-же выполнялся, в то время это был самораспаковывающийся файл с обновлениями для игры, но ровным счетом никто не помешает на сервере подложить троянчика или еще чего....

это абсолютно реальный случай....

(0) Маленький ликбез по работе с информацией. Автор данного материала ссылается на RTM Group. Такая компания действительно существует и занимается информационной безопасностью. Прежде, чем дергаться и постить, наверное разумно было бы пойти на сайт RTM Group и попробовать найти там какое-нибудь упоминание о столь эпохальном достижении? Как вы считаете?

(94) ну канал может называться ИнфостартБесплатно. где нет ни комментариев, ни модерации, а в код каждой выложенной обормотины довложен зловред.

собственно как и раньше в интернете, трояны идут в виде приправы к халяве.

(97) А еще бывает, что сказал вроде полезный отчет/обработку для 1С, он работает, все ок. Но сама обработка/отчет втихую начинает майнить биткоины и эфириумы для разработчика. Потом заказчик получает гигантские счета за электроэнергию.

(99) майнить на 1с , не смеши мои тапочки.

(100) Гигантские счета еще смешнее

(99) Откуда вдруг появятся гигантские счета за электроэнергию? Компьютер сколько жрал - столько и будет жрать свои 500 ватт. Только его производительность снизится.

А был ведь когда-то прецедент, что во внешнюю обработку засунули вирус. После этого в типовых и появились отдельные права на открытие внешних обработок, куча пердупреждений при попытках открытия оных...

(103) случаев было много. Зря чтоли 1с стала удалять за собой текстовый файлик для клиент-банка?

Были описания методики подмены адресов куда 1с без запретов ломиться за обновлением и качает апдейты, а уж положить туда что хочешь много ума не надо.

Просто это не носит массовый характер

22 июня 2016
Опасный вирус-шифровальщик распространяется через электронные письма с темой "У нас сменился БИК банка" среди пользователей 1С. Не запускайте внешние обработки, присланные по электронной почте.
https://solutions.1c.ru/news/4117/

Собственно этой теме уже скоро 20 лет как будет

22.01.2004
Вирусы на 1с
https://xakep.ru/2004/01/22/20992/

(68) шта? 1с движется в NOCODE, скоро программисты в 1С повымирают. О каких компетенциях речь, мечатель?

(62) к клиенту надо подход иметь, чтобы переходил безболезненно и с ветерком, а не вот это ваше все "Сломаю клиента об ЕРП"

(73) массово не станут, сядут.

(62) и в общем их можно понять, особенно если решение работало достаточно длительное время, скажем, год или больше.

(107) >>>> 1с движется в NOCODE, скоро программисты в 1С повымирают

уверяю, лет на 20...30 точно программисты будут нужны...


ну а потом нынешнее ЕГЭ готовит таких "спецов", что они даже настроить галочками супер систему "NOCODE" не могут....

(111) Современная система образования готовит гениальных криптотрейдеров.