Хакеры выложили в дарк-вебе архив, содержащий данные 5 млн клиентов Qantas, после того как авиакомпания отказалась платить выкуп. В утечке оказались email, телефоны, даты рождения и номера программы лояльности. Qantas подтвердила, что база была украдена из облачной CRM-системы Salesforce в июне, но утверждает, что пароли и данные паспортов там не было. Компания начала уведомлять клиентов и предлагает им сменить пароли, хотя неясно, какие именно данные были скомпрометированы.

• Qantas и Salesforce подтвердили утечку, но спорят о масштабах и датах, а также о том, какие именно данные были украдены.
• Участники обсуждали, стоит ли платить выкуп, чтобы предотвратить публикацию данных, и пришли к выводу, что это может только поощрить дальнейшие атаки.
• Обсуждались риски фишинга и других мошеннических схем, которые могут использоваться с этими данными.
• Участники также обсудили, что вся эта ситуация подчеркивает необходимость более строгого регулирования и ответственности компаний защищать данные клиентов.
• В конце обсуждение сошлось на том, что вся эта ситуация показывает, что необходимо внедрять более строгие меры кибер-безопасности и что в конце концов, компании несут ответственность за защиту данных своих клиентов.

Приняв роль CTO в стартапе без готового продукта и команды, автор столкнулся с хаотичным кодом на Salesforce, созданным дорогой консалтинговой фирмой, который не отвечал реальным потребностям клиентов. Вместо того чтобы разбираться самостоятельно, он быстро нашёл узкоспециализированных разработчиков через агентство в Беларуси, что позволило запустить демо-версию и привлечь первых клиентов — банки. Это подчёркивает важность признания своих ограничений и привлечения экспертов.

Спустя пять лет путь оказался оправдан: стартап преодолел кризисы, пандемию и геополитические потрясения, достигнув устойчивости. Ключевой вывод — ценность бизнес-ориентированного подхода в технологиях, где сначала ищут решение проблемы, а уже потом погружаются в инженерные детали. Опыт показал, что выход из зоны комфорта ведёт к росту, но требует честной оценки своих компетенций.

• Обсуждается статья о роли CTO в стартапе и её ценность, с сомнениями в ответе на вопрос "стоило ли оно того".
• Поднимаются вопросы о судьбе компании Helios, её текущем статусе (B2B, без публичного лица) и финансовых/временных затратах за 5 лет.
• Критикуется подход технических специалистов к решению бизнес-задач, подчёркивается важность отказа от нецелевых решений и ценность нетехнических методов (поддержка, "костыли").
• Спор о том, кто должен быть CEO: технарь или эксперта в области бизнеса/рынка, с акцентом на важность доменных знаний и разных навыков.
• Обсуждается различие между стартапом (поиск PMF, привлечение инвестиций) и established business (прибыльность).

Slack вымогает у нас дополнительные $195 тыс. в год

Открытое письмо

Hack Club — некоммерческая организация, которая уже почти 11 лет использует Slack для обучения подростков программированию. Мы не были нахлебниками: несколько лет назад, когда Slack перевёл нас с бесплатного тарифа на платный за $5 тыс. в год, мы с радостью согласились.

Однако два дня назад Slack сообщил, что если мы не согласимся доплатить $50 тыс. на этой неделе и затем $200 тыс. ежегодно, наш рабочий пространство будет отключено, а вся история сообщений — удалена.

Можно было бы сказать, что Slack вправе в любой момент отменить льготные условия. Но, на мой взгляд, уведомление за полгода — это минимум при таком резком повышении. По сути, Salesforce (компания с капитализацией $230 млрд) вынуждает небольшую подростковую некоммерческую организацию в срочном порядке найти огромную сумму, иначе мы рискуем потерять все каналы связи. Это абсурд.

Последствия

Крайне сжатые сроки оказались катастрофическими для наших программ. Десятки сотрудников и волонтёров вынуждены срочно обновлять системы, перестраивать интеграции и переносить годы накопленных знаний. Стоимость вынужденной миграции колоссальна.

В любом случае, мы переходим на Mattermost. Этот опыт показал, что контроль над своими данными крайне важен. Если вы — небольшой бизнес, советую тоже задуматься о переходе.

---

Этот пост был написан в спешке — ситуация стала шоком! Если нужны дополнительные детали, напишите мне.

• Slack резко увеличил плату для некоммерческой организации Hack Club в 40 раз с коротким сроком уведомления, угрожая удалить данные.
• Сообщество осудило действия Slack как неэтичные, сравнив их с тактикой вымогательства и указав на риск для других неплатежеспособных клиентов.
• В ответ на негативную реакцию Slack публично извинился и восстановил прежние условия, назвав это ошибкой.
• Hack Club, несмотря на извинения, начал миграцию на альтернативную платформу (Mattermost) из-за потери доверия и желания контролировать данные.
• Обсуждение перешло к рекомендациям по переходу на открытые решения (Zulip, Matrix) и критике бизнес-модели SaaS, ведущей к зависимости от вендора.

• HTML: справка по элементам, глобальным атрибутам, форматам дат/времени, руководства по адаптивным изображениям, видео и аудио.
• CSS: справка по свойствам, селекторам, @-правилам, единицам измерения; гайды по блочной модели, анимациям, Flexbox, цветам; «поваренная книга» для колонок, центрирования, карточек.
• JavaScript: справка по встроенным объектам, операторам, функциям; гайды по управлению потоком, циклам, объектам, классам.
• Web APIs: File System, Fetch, Geolocation, DOM, Push, Service Worker; гайды по Web Animations, Fetch, History, Speech API, Web Workers.
• Другие технологии: Accessibility, HTTP, URI, WebAssembly, WebDriver, WebExtensions.
• Обучение: курс «Frontend-разработчик», основы HTML, CSS, JavaScript.
• Инструменты: Playground, HTTP Observatory, генераторы теней, радиусов, границ, палитра цветов.

• Участники обсуждают, как использовать тег <template> без фреймворков: он удобен для клонирования больших фрагментов, ускоряет рендер и снижает нагрузку по сравнению с React/Vue.
• Недостаток — приходится вручную связывать данные и DOM; многие хотят единого формата «HTML+CSS+JS» для компонентов.
• Shopify, Salesforce, MedusaJS и Alpine.js уже применяют <template> в продакшене, но спецификация HTML Modules пока не завершена.

• Обсуждение о том, что один из корпоративных Salesforce-инстансов Google был скомпрометирован через вишинг-атаки (UNC6040), с кратковременной утечкой контактных данных и заметок по малому и среднему бизнесу; официальный тон смягчает масштаб, что вызывает скепсис.
• Комментаторы сомневаются в формулировках “лишь базовые и публичные данные”, предполагая, что ценность для злоумышленников была реальной (возможны вторичные схемы, например мошенничество с биллингом).
• Многих удивляет, что Google использует Salesforce; объяснения: историческое наследие, быстрые поглощения, а также предпочтения команд продаж и маркетинга к индустриальным стандартам вместо внутренних инструментов.
• Приводятся истории о неудачных внутренних CRM у Google: баги, нехватка функций, нежелание инженеров поддерживать; продажи и PM часто продавливают Jira/Salesforce ради скорости найма и онбординга.
• Отмечается культурный сдвиг: замена внутренних решений “джанковыми” шаблонными процессами Salesforce; внутренние инструменты больше для инжиниринга.
• Уточнения: у Google десятки тысяч сотрудников в продажах/маркетинге; часть саппорт-систем GCP ранее зависела от Salesforce; выбор строить/покупать/партнериться по CRM оценивался и часто оказывался экономически нецелесообразным для собственной разработки.
• Общий вывод: инцидент — результат классической социальной инженерии, а не технического взлома; реакция компании стремится минимизировать восприятие ущерба, вызывая дискуссии о прозрачности и рисках использования сторонних SaaS.