Вот такие вот у нас на Почте России пароли для осуществления финансовых операций. Мало того что хранятся в базе в незашифрованном виде, так еще и представляют собой мега-сложную комбинацию почтового индекса и загадочного слова Gfh***. Круче нас - только "звездочки".
ТС, это как минимум неэтично. "Обычно" такое вначале админам ресурса сливается, а уж ПОТОМ можно и на общедоступные ресурсы идти.
Это не баг и не ошибка. Это умышленное пренебрежение безопасностью данных. В гробу они видали репорты — такое нужно сразу огласке предавать, иначе точно не почешутся.
Да пусть предавал огласке бы. Чисто технические подробности, без инсайда, и принципов генерации паролей. Но он фактически слил пароли в открытый доступ.
Огласка вышеуказанных данных абсолютно бесполезна, с точки зрения обеспечения доступа злоумышленника. Потому что для этого надо знать ещё много чего, в том числе ещё группу адресов и паролей. А зная все, доступ к тому что я написал, злоумышленник может получить без особого труда самостоятельно.
Думаю, Почта России - явно не имеет топовых спецов на рынке, в том числе и безопасников. Т.е., проникновение за защитный периметр - вопрос желания. А, учитывая то, что они мне предлагали должность начальника отдела в МСК, за "гигантские" 57К, это почти наверняка так. При том, что я всего на пару тысяч меньше получал просто админом в своем замкадье.
А уж, если злоумышленник закрепился внутри - собрать необходимую информацию ему труда не составит. И ты - облегчил ему этим задачу.
По мне, так ты нарвался на 274 статью УК РФ.
Тут скорее я хотел ткнуть носом в мысль, что проникновение внутрь защищенного периметра - вопрос всего лишь желания.
Сомневаюсь, что там хоть что-то сделано по уму...
Информационная безопасность IT
1.4K постов25.5K подписчиков
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.