Szigorúan szakmai alapon, akkor tudnánk nem önkényes módon meghúzni egy határt, ha pontosan ismernénk a "fejlesztési szakasz" és az "üzemeltetési szakasz" között a contract-ot (technikai és szervezési értelemben is). Pl az autentikációs provider mennyire konfigolható, mennyire választható le az admin felülethez hozzáférés stb.* Ha ezekhez az alapvető hardening lépésekhez fejlesztés kell (forráskódba bele kell nyúlni, új buildet kell csinálni) akkor bizony a legszűkebb értelmezésben is a "rendszer" része a sebezhetőség. Tapasztalatból mondom, a kifejezetten "as a service"-re fejlesztett szoftver esetén _nagyon gyakori_, hogy hardkódolva van egy csomó minden és csak akkor kerül konfigba kivezetésre, ha már nagyon muszáj.
Az eddig kiderült információk sajnos arra engednek következtetni, hogy semmiféle technikai szétválasztás nem volt a fejlesztés és az üzemeltetés között. Innentől kezdve, hogy mi tekintesz a "rendszer" határának, szubjektív vélemény. Az erről folytatott vitának maximum mellékhatásként lehet értelme, mivel pontosan ugyanaz a hanyagság (separation of duties hiánya) ami miatt nem tudjuk objektíven meghúzni a rendszer határát, egyben kulcsszerepet is játszott a rendszer feltörésében.
* Az a ritka eset van, hogy lehet, hogy pár órán belül a forráskód elérhető lesz, és akkor ez már nemcsak találgatás. Ugyanakkor én most kijelentem, hogy bármennyire is kíváncsi lennék, bűntetőjogi megfontolásból nem fogom letölteni.