И - Информационная безопасность.

Вот такие вот у нас на Почте России пароли для осуществления финансовых операций. Мало того что хранятся в базе в незашифрованном виде, так еще и представляют собой мега-сложную комбинацию почтового индекса и  загадочного слова Gfh***. Круче нас - только "звездочки".

И - Информационная безопасность. Почта России, Информационная безопасность, База данных, Юмор

Информационная безопасность IT

1.4K постов25.5K подписчиков

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.


Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

Вы смотрите срез комментариев. Показать все
1
Автор поста оценил этот комментарий

И зачем ты это выкладываешь, с указанием буквенной комбинации?))

раскрыть ветку (55)
11
Автор поста оценил этот комментарий

Может быть я хочу чтобы кое-кто огреб за свою некомпетентность? И это будет явно не рядовой почтальон Посылкин.

раскрыть ветку (54)
6
Автор поста оценил этот комментарий
А не боитесь, что огребете вы?

Сисадмин - может быть за некомпетентность, а вы - за злой умысел.

4
Автор поста оценил этот комментарий

ЭТО так не делается. ЭТО прямой пусть в тюрьма. Щас кто нить чухнется из компетентных органов и "владимирский централ, ветер серверный"

раскрыть ветку (49)
2
Автор поста оценил этот комментарий

За что? Информация, которая может представлять ценность для злоумышленников, замазана.

раскрыть ветку (48)
4
Автор поста оценил этот комментарий

"Мало того что хранятся в базе в незашифрованном виде, так еще и представляют собой мега-сложную комбинацию почтового индекса и загадочного слова Gfhjkm. "

Смысл замазывать, если текстом написал ключ?

На месте руководства, я за такую публикацию уволил бы с формулировкой "в связи с утратой доверия".

раскрыть ветку (47)
2
Автор поста оценил этот комментарий

Ключ - не проблема. Проблема найти замок, открываемый ключом.

раскрыть ветку (45)
6
Автор поста оценил этот комментарий

Обычно несколько наоборот. Вряд ли Ваши отделения прошли процедуры легендирования при создании и сопровождении своей деятельности.

Намеренная компрометация ключей сотрудником, который получил к ним доступ - это адский залет. Людей серьезно карают за то, что они создали предпосылки к компрометации ключей. А за такое реально надо гнать взашей. Либо обрубать все доступы и сажать на должность, где ничего сокрытого не доверяется. Это уже на усмотрение начальства.

раскрыть ветку (44)
Автор поста оценил этот комментарий

Я бы с вами согласился будь это серьёзная организация.
Но это почта, поэтому меня сопровождает ощущение, что об ИБ там не слышали.

3
Автор поста оценил этот комментарий

Посылкиных - целая армия. 250 тысяч человек. Проще надавать по шапке сотне-другой ответственных лиц, чем пытаться победить 250-тысячную армию.

раскрыть ветку (41)
5
Автор поста оценил этот комментарий

Проще показательно с шумом одного разглашающего "расстрелять" из всех орудий и потом приводить в пример на каждом брифинге. Если не дошло, повторить. Пары/тройки раз обычно хватает. Формулировка об утрате доверия позволяет сотруднику начать жизнь с нового листа. Такую трудовую можно смело выбрасывать.

Конкретно в данном случае, косяков других людей нет. Разве что тех, кто, давая допуск к базе не заставил расписаться в персональной ответственности за разглашение содержащихся в ней сведений.

раскрыть ветку (40)
Автор поста оценил этот комментарий

Вся так называемая "почтовая безопасность" - это один сплошной косяк. У почтовых СБшников можно золотые зубы прямо изо рта воровать - они даже этого не заметят.

2
Автор поста оценил этот комментарий

Нет косяков? Хранить пароли в 21 веке в незашифрованном виде - это не косяк? Пароль "пароль" - это не косяк? Любой желающий может подойти, и просто посмотреть какой пароль. Или изменить его на новый, не зная предыдущего. Это не косяки вы хотите сказать?

раскрыть ветку (38)
2
Автор поста оценил этот комментарий

Это косяк (уязвимость) только потому, что может найтись сотрудник, который может этим воспользоваться или слить третьим лицам. И вот он нашелся...

раскрыть ветку (1)
5
Автор поста оценил этот комментарий

Начнем с того, что не "пароль", а "пароль и комбинация", ключ к которой слил в открытый доступ один не шибко умный сотрудник.

Само по себе хранение паролей в незашифрованном виде- это уязвимость. Но не косяк. Таких уязвимостей может быть тьма. Особенно, когда этим занимаются разного рода эникеи и полуадмины, а не профильные специалисты/безопасники. И при их обнаружении полагается донести свое мнение профильным службам/начальству, путем подачи докладной/служебной, а не публиковать в открытом доступе.

Что значит "любой желающий"? У вас доступ к рабочим местам свободный для всех или все таки существует какая то система защиты рабочих мест? Пароли, инструкции, ключи?

И у Вас "кто угодно" может спокойно шляться по всему отделению или таки имеется разграничение зон доступа посетителей/сотрудников?

Что же касается шифрования, у меня часть паролей вообще лежит в архинезашифрованном виде: журнал выдачи паролей. Там прописано когда, кому и какой пароль выдан. Под роспись. И это не моя прихоть, Требование к нам такое. Вот только лежит он в сейфе в кабинете, куда доступ ограничен. И за разглашение сведений из журнала секир башка будет тому, кто имел к нему доступ. Аналогия понятна?

Однако, в очередной раз убеждаюсь, что самое суровое- это все же не злобные хакеры, которые что- то там ломают и подбирают, а банальный инсайд. Сами с радостью все разболтают.

раскрыть ветку (35)
1
Автор поста оценил этот комментарий

Причем, если ТСа просто выгонят с волчьим билетом - можно сказать - повезло...

Автор поста оценил этот комментарий
Виноват не тот, кто ключ под ковриком оставляет, а тот, кто об этом рассказал.
Автор поста оценил этот комментарий

Ну назначат крайним местечкового сисадмина Картриджеменяева.

раскрыть ветку (2)
1
Автор поста оценил этот комментарий

Не местного а областного, это его рук дело.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Ну в целом, я имел в виду что крайним может оказаться эникей, который теоретически мог бы иметь доступ к БД, но по факту занят профилактикой и ремонтом парка ПК. Хотя может я и не прав, знакомые в IT почты работали, потому мои представления с их слов и по их впечатлениям.

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку