Większość włamań nie zaczyna się od „elitarnych hakerów”. Zaczyna się od Nas. Wypuszczamy oprogramowanie, które kłamie: mówi użytkownikom nie masz uprawnień, podczas gdy backend cicho odpowiada jasne. Pipeline mówi zespołom „ten build jest nasz”, podczas gdy uruchamia kod, który akurat pojawił się dzisiaj.
OWASP Top 10:2025 utrzymuje Broken Access Control na pierwszym miejscu nie bez powodu: błędy autoryzacji skalują się bezlitośnie. W tej prezentacji rozłożymy na czynniki pierwsze głośne incydenty z 2025 roku, w których codzienne wzorce IDOR, brak kontroli na poziomie obiektów, pomylone role, słabe granice tenantów – zamieniły zwykłe endpointy w API do masowego wyciągania danych. Potem przejdziemy do drugiej zdrady: zależności i łańcucha dostaw oprogramowania. W tym przypadków, gdy zaufane biblioteki i komponenty CI/CD zostały przejęte, a sekrety wyciekały nie dlatego, że aplikacja była „podatna”, tylko dlatego, że podatny był proces budowania.
Wspólny mianownik jest prosty: współczesne systemy opierają się na domyślnym zaufaniu. Atakujący nie łamią kryptografii – wykorzystują założenia.
Na koniec pokażę techniki obrony, które nie wymagają spowalniania rozwoju: potraktuj autoryzację jako testowalny niezmiennik. Kontrolę nad łańcuchem dostaw odzyskaj dzięki SBOM i ciągłemu monitorowaniu zależności. Cel to nie zgodność z procedurami. Cel to sprawić, by zdrada była kosztowna i wykrywalna.