Найбільші баги 2023 року

В сучасному технологічно розвиненому світі здається, що якість роботи програмного забезпечення не має шансів на недоліки. Проте статистика масштабних дефектів лише за 2023 рік вказує на протилежне. Тут і «вічне коло тестування» напрошується на згадку про те, що баги є завжди, навіть коли вам здається що продукт ідеальний. Тож розглянемо найбільші дефекти та їх наслідки з різних сфер, які сталися у 2023 році, але із застосуванням програмного забезпечення.

Каскадні збої телефонії та інтернет-провайдера

У листопаді в Австралії стався масштабний ІТ-збій, коли Optus, другий за величиною телекомунікаційний провайдер країни, вийшов з ладу на 12 годин. Частина споживачів залишились без телефонного зв’язку чи Інтернету. Зрештою, помилку пояснили змінами маршрутизації, надісланими Singtel, сінгапурською компанією, яка володіє Optus. Інформація надходила великою хвилею даних, яка перевищувала пропускну здатність, тому маршрутизатори Optus були переповнені. Для виправлення ситуації довелося фізично перезапускати маршрутизатори — на що знадобилося досить багато часу, враховуючи розмір Австралії.

Патч з ПЗ для гелікоптерів

Цей випадок можна назвати як аварія, яка призвела до аварії.  Дана історія бере свій початок ще з далекого 2010 року, коли у військового гелікоптера MRH-90 Taipan, який використовується в Австралії, сталася «катастрофічна» відмова двигуна. Пілот спробував так званий «гарячий старт» — вимкнув, а потім перезапустив двигун посеред польоту. Цю механічну проблему було вирішено в програмному забезпеченні, а Австралійські сили оборони розгорнули програмний патч, призначений для запобігання «гарячого запуску» вертольота. Хоча вирішенню проблеми вже майже 15 років, проте розгортання даного патчу з «фіксом» було далеко не на всіх гелікоптерах типу MRH-90 Taipan. А там, де й було розгорнуто, то не було протестовано належним чином. Це призвело до авіакатастрофи у квітні 2023 року в результаті якої загинув увесь екіпаж близько 10 осіб.

Крихкий процес резервного копіювання на головній фондовій біржі (NYSE)

Нью-Йоркська фондова біржа зіткнулася з проблемою резервного копіювання 24 січня 2023 року. NYSE мудро розміщує свої резервні сервери в Чикаго, за сотні миль від Уолл-стріт, щоб уникнути кризи на випадок непередбачуваних подій у нижньому Манхеттені. Можна тільки уявити, наскільки є автоматизованими та захищеними процеси, які відбуваються на даній біржі. Проте, щоденне резервне копіювання на віддалених серверах спирається на ручний процес, де співробітники повинні фізично вмикати та вимикати системи резервного копіювання у відповідний час.

Початок і завершення цифрових процесів щодня відбуваються в один і той же час завдяки програмам. Проте, 24 січня, коли співробітник Чикаго повинен був своєчасно вимкнути резервний сервер — цього не сталося. Внаслідок цього, торги розпочалися в Нью-Йорку о 9:30 ранку, комп’ютери NYSE вважали, що вони продовжують торгову сесію попереднього дня. Через це були проігноровані початкові аукціони дня, які повинні були встановити початкові ціни для великої кількості акцій. Наслідком цього стала низка різких коливань ринку та численні операції за неправильними цінами, які довелося скасувати з великими витратами. 

З даної ситуації можна зробити висновок, що будь-які процеси, включаючи складні і не дуже, мають бути автоматизовані. При цьому, процес автоматизації має бути в балансі з ручними (механічними) операціями.  Це потрібно для того, щоб уникнути ризиків людського фактору, коли допускаються помилки, які дорого коштують. Цікавим фактом є те, що Федеральне авіаційне управління США (FAA) також є організацією, яка неодноразово виявляла, що їх процес резервного копіювання має деякі проблеми. На початку 2023 року сталась ситуація з потраплянням пошкодженого файлу в базу даних під час резервного копіювання, що призвело до масового збою в системі NOTAM (Notice to Air Missions). Дана система є автоматизованим централізованим джерелом інформації про закриті злітно-посадкові рейси або збої в роботі обладнання в різних аеропортах або небезпеки на різних маршрутах. Через цю систему почали надходити повідомлення пілотам про проблеми на маршруті та в пункті призначення. В результаті цього збою було відмінено всі внутрішні рейси в США.

Баг в системі «зеленого освітлення»

Ця історія є ІТ-збоєм, який бере свій початок ще у 2021 році, але його вирішення сталося лише у 2023. Понад 10 років у регіональній середній школі Міннечога у Массачусетсі працювала система «зеленого освітлення», встановлена компанією 5th Light, яка автоматично регулювала освітлення всередині та зовні школи за потреби. В серпні 2021 року вчителі та учні помітили, що світло постійно горить на повну яскравість. Виявляється, що система була уражена шкідливим програмним забезпеченням і перейшла в резервний режим, у якому світло ніколи не вимикається.

Варто зауважити, що у високотехнологічній системі освітлення не було ручних перемикачів, які можна було б просто вмикати та вимикати примусово за потреби. Програмне забезпечення з даною системою освітлення було інтегровано в інші шкільні системи, і його не можна було легко та швидко замінити. Додатково з’ясувалось, що на юридичному рівні важко притягнути до відповідальності постачальника, який не врахував ризики безпеки ПЗ та не передбачив ручні механізми для управління даною системою. Початкового постачальника більше не існувало, а права інтелектуальної власності купували та продавали кілька разів новому власнику — компанії під назвою Reflex Lighting. Тож знадобилося немало часу для того, щоб знайти людину, яка розуміє, як працює дана система освітлення. Нарешті, після майже 2 років безперервного освітлення, яке завдало значних матеріальних збитків, дана система була оснащена фізичним вимикачем, який мав бути там з самого початку.

Маршрутизатори ASUS припинили роботу на декілька днів

17 травня 2023 року користувачі маршрутизаторів Asus по всьому світу повідомили в мережі Інтернет, що їхні пристрої раптово перестали працювати без видимої причини. Більше того, після повторного перезавантаження, маршрутизатори припиняли працювати кожні кілька хвилин. Через декілька днів за словами компанії, масовий збій став результатом помилки в конфігурації файлу налаштувань сервера. Після усунення збою більшості користувачів потрібно було лише перезавантажити свої пристрої. Якщо проблему не вдалося вирішити, команда підтримки компанії радила користувачам зберегти поточні параметри конфігурації та виконати скидання до заводських налаштувань. 

Напередодні цієї ситуації компанія Asus надіслала пошкоджений файл визначення для ASD (система мережевого управління) — вбудованого сервісу безпеки, який присутній у багатьох їхніх маршрутизаторах. В результаті цього через пошкоджений файл була затримка в передачі інформації, відповідно рано чи пізно пам’ять пристрою була переповнена і маршрутизатор припиняв працювати.

Збій Datadog вартістю 5 мільйонів доларів

Datadog пропонує послуги моніторингу сервісів і застосунків, а також для сповіщення команд про аномалії. Подібні послуги допомагають відстежувати надійність роботи сервісів, а їх відмова негативно впливає на бізнес. У середу, 8 березня 2023 року, подібна відмова відбулася у Datadog. Проблеми зі стабільністю тривали понад добу. Даний інцидент обійшовся компанії в $5 млн, а причина збитків була в системі тарифікації Datadog. Компанія брала плату за об’єм переданих даних, проте в період інциденту оплата не знімалась. Даний збій став першим глобальним в роботі Datadog.

Баг стався через оновлення ОС Ubuntu Linux на десятках тисяч віртуальних машин, які залучені в основному процесі роботи компанії. Оновлення ОС, яке стосувалось безпеки, внесло зміни в процес systemd, який є головним у Linux. Коли systemd перезапустився, всі його підпроцеси, включаючи systemd-networkd, також перезапустилися. systemd-networkd керує мережевими конфігураціями. В результаті було ненавмисно видалено мережеві маршрути. Маршрутами, що видалив systemd-network, керував шар маршрутизації Cilium. Через видалення маршрутів віртуальні машини також зникли з мережевого шару і перейшли в офлайн.

Проблема полягала в тому, що оновлення відбувалося майже одночасно на десятках тисяч віртуальних машин. В умовах кругової залежності перезавантаження також призвело до відключення віртуальних машин, які забезпечують роботу регіональних керуючих шарів. Це стало наслідком того, що масштаби проблеми були такими великими, що стали помітними для клієнтів.

Несвоєчасно оброблені 850 000 транзакцій банками

На початку листопада 2023 сотні тисяч платежів так і не надійшли на банківські рахунки в США через помилку обробки. Розрахункова палата, яка обробляє значну частину електронних переказів між банками, що здійснюються в США щодня, заявила, що деякі платежі були затримані майже на тиждень, оскільки платіжки були надіслані фінансовим установам із замаскованими номерами рахунків та іменами клієнтів. Через це банки не могли обробити та опублікувати платежі найближчими двома днями після їх надходження. Збій торкнувся приблизно 850 000 транзакцій. Щоб усунути помилку, банки, які намагалися надіслати кошти тиждень тому, повинні були повторно надіслати свої оригінальні квитанції щодо переказу платежів. 

Маскування даних є корисною технікою для захисту. Для цього у багатьох системах є конфігураційні файли або перемикачі, які вмикають та вимикають такі параметри, як маскування даних.

У цьому конкретному випадку маскування даних було випадково ввімкнено у виробництві, оскільки воно мало бути ввімкнено під час тестування QA — в результаті тисячі банківських транзакцій не були оброблені відразу. Це вказує на те, що обов’язково потрібно уважно стежити за будь-якими налаштуваннями, які відрізняються в середовищі розробки, тестуванні та виробництві.

Подібні інциденти в фінансових установах нещадно б’ють по іміджу, а також мають негативний вплив через відтік клієнтів, які незадоволені затримками в послугах. Як наслідок такий баг обходиться у великі матеріальні втрати компаній.

Незаконне розголошення конфіденційної інформації  клієнтів на квитанціях в IKEA

Цей баг можна віднести до 2023 року, оскільки його виявлення припало саме на цей час, проте сама помилка була в період з 18 жовтня 2017 року по 31 грудня 2019 року. Суть помилки полягала в тому, що в зазначений період на всіх квитанціях клієнтів про оплату товару друкувались майже всі цифри кредитної чи дебетової картки, якою здійснювалась оплата. А саме 6 перших цифр та 4 останніх, що робило клієнтів більш вразливими до крадіжки персональних даних. Внаслідок цього інциденту Ikea заплатила 24 мільйони доларів США клієнтам-позивачам.

Це корисне нагадування про те, що досвідчені тестувальники повинні знати закони та вміти тестувати роботу софта з конфіденційними даними, а також знати правила захисту конфіденційних даних та шляхи запобігання безпековим загрозам.

Порушення безпеки Zoom

Zoom Rooms є хмарною платформою для відеоконференцій від Zoom. У червні 2023 року було виявлено вразливість, що дозволяє зловмисникам отримати контроль над обліковим записом служби Zoom Room, отримуючи несанкціонований доступ до клієнтів.

Використання цієї вразливості Zoom дозволяє зловмисникам захоплювати зустрічі, маніпулювати функцією контактів, проникати на дошки всієї організації та отримувати конфіденційні дані з каналів командного чату навіть без запрошення. Особливе занепокоєння викликає те, що ці дії можуть виконуватися без своєчасного виявлення. Проблема виникла через те, що ідентифікатор облікового запису служби Zoom Rooms було безпосередньо успадковано від користувача з роллю власника в орендарі під час процесу створення облікового запису.

Ця помилка означала, що участь у тій самій зустрічі, що й кімната Zoom, і надсилання повідомлень у груповому чаті могли дати доступ до адреси електронної пошти, оскільки вона відповідає формату: room_<ідентифікатор облікового запису>@companydomain.com. Маючи цю інформацію, зловмисники можуть створити довільну адресу електронної пошти Outlook, яка відповідає формату: room__<ідентифікатор облікового запису>@outlook.com, і використовувати її для проходження процесу реєстрації в Zoom. Вони отримують посилання для активації, надіслане на електронну адресу Zoom Room. Керуючи скринькою електронної пошти, вони можуть натиснути посилання та активувати обліковий запис.

Баг в браузері Firefox 

Наприкінці 2023 року у браузері  Firefox було виправлено 22-річної давності баг. Його суть була в тому, що посилання на закріплену вкладку відображалось навіть якщо браузер був згорнутий або перекритий іншими програмами. Якщо в браузері  були закріплені вкладки й ви навели курсор на одну з них, з’являлась невелика підказка, яка показувала повну назву закріпленого сайту та посилання на нього. Якщо не забрати курсор з цієї закладки й згорнути браузер через, наприклад, Alt+Tab, підказка з посиланням все одно залишалась на екрані.

На перший погляд, може здатись що це дрібниця, але багатьох користувачів, які обрали Firefox це дратувало. Такі дрібні баги які не впливають на юзабіліті, але візуально помітні мають достатньо великий вплив на користувачів. Доволі цікавим є факт того, що виправив цю помилку 23 річний хлопець, який не мав жодного відношення до розробки Firefox. Проте помітивши даний дефект він написав патч, який прибирає відображення посилання після згортання браузера. Він зв’язався з розробником Firefox, а той своєю чергою допоміг впровадити патч в основний код браузера.

Перегрів iPhone 15 Pro

IPhone 15 Pro від Apple став найпопулярнішим телефоном 2023 року. Проте, невдовзі після його виходу люди повідомили, що Pro-версії iPhone 15 досягають 100 градусів за Фаренгейтом, тому їх незручно тримати. Причина була в iOS 17, а також в оновленнях програм, які спричиняли перевантаження системи. На, щастя, Apple швидко реагує на інформацію від користувачів стосовно їх продуктів і швидко виправляє помилки. Ситуація була вирішена з оновленою iOS 17.0.3.

Висновок

Після ознайомлення з матеріалами вище можна зробити висновок, що баги та тестування це не тільки про ПЗ на ПК. Наразі програмне забезпечення широко використовується у найрізноманітніших галузях. Дана стаття з підбіркою гучних, а подекуди навіть трагічних багів доводить, що варто бути обачними та не варто недооцінювати всі етапи розробки та зокрема етап тестування програмного забезпечення. В протилежному випадку це може призвести до масштабних та негативних наслідків. Також не варто ігнорувати баги, які на перший погляд можуть здаватись не критичними та неважливими. Пам’ятайте, вони можуть бути лише верхівкою величезного айсберга.