Очередной скандал с "ВКонтакте".
Наверное, сегодня социальные сети уже вполне можно назвать средоточием мирового зла с точки зрения безопасника. Дня не проходит без того, чтобы какая-нибудь новая информация об их уязвимостях, распространяемых через них вирусах и прочих "радостях" не появилась на нашем с вами горизонте. Сентябрь тоже начался с одного из подобных эпизодов, думаю, весьма показательных, поскольку сама социальная сеть (крупнейшая в России, да-да) всё-таки прямого отношения к этому, пожалуй, не имеет.
Для того, чтобы посмотреть чужие паспортные данные и другую конфиденциальную инфу в ВК, нужно перейти на vk.com/docs и ввести ключевое слово, по которому хотим искать файлы ( в нашем случае это паспорт) и тут нашему взору открывается множество документов. Просто качай - не хочу! Сваливать вину на Контакт тут глупо, так как их вина только в отсутствии предупреждающих сообщений пользователю при загрузке документов, остальное - вина пользователя. В кругах специалистов по ИБ ( информационной безопасности ) это называется социальная инженерия. Идея хранить документы в ВК была хорошей, а вот идея поиска по ним при безответственном отношении рядового пользователя к своим данным привела к очень печальным последствиям.
Отсюда
Справедливости ради, стоит сказать, что слово "паспорт" уже не дает столь ошеломляющих результатов, то есть, администрация социальной сети уже успела реагировать на появившееся в интернете сообщение. Но, тем не менее, надо сказать, что пример весьма показателен. То есть, дай человеку возможность раскрыть свою персональную информацию - и он обязательно это сделает. Этакий закон Мерфи в сфере инфобеза.
Конечно, необходимо отдавать себе отчет в том, что социальная сеть - не совсем подходящее место для хранения файлов, особенно таких, как сканы паспорта. Но как объяснить это пользователям, которые увидели удобную возможность в привычном для себя социальном сервисе? Этот пример показывает, насколько всё-таки низка культура информационной безопасности в современном обществе. Видимо, нужно, чтобы сменилось не одно поколение, чтобы люди поняли, насколько это важно и актуально. Наверное, так же с боем внедрялись и такие прописные истины, как "переходить дорогу нужно на зеленый"...
Что ж, мотаем на ус и ждем новых веселых новостей от наших (и не только наших, в принципе) социальных сетей - к счастью, с ними точно не сможешь соскучиться...
Р. Идов,
аналитик компании SearchInform
Оригинал взят у securityinform в Очередной скандал с "ВКонтакте"
Про "переходить дорогу на зеленый"... Истина, конечно, прописная, но следуют ей далеко не все, о чем свидетельствует печальная статистика.
А сколько интересного можно получить, если в поиске по документам вконтакте написать "пароль" "password" "email" и так далее :) Для рядового злоумышленника, по-моему, куда больше маневров для злодеяний с такой информацией :)
Для того, чтобы посмотреть чужие паспортные данные и другую конфиденциальную инфу в ВК, нужно перейти на vk.com/docs и ввести ключевое слово, по которому хотим искать файлы ( в нашем случае это паспорт) и тут нашему взору открывается множество документов. Просто качай - не хочу! Сваливать вину на Контакт тут глупо, так как их вина только в отсутствии предупреждающих сообщений пользователю при загрузке документов, остальное - вина пользователя. В кругах специалистов по ИБ ( информационной безопасности ) это называется социальная инженерия. Идея хранить документы в ВК была хорошей, а вот идея поиска по ним при безответственном отношении рядового пользователя к своим данным привела к очень печальным последствиям.
Отсюда
Справедливости ради, стоит сказать, что слово "паспорт" уже не дает столь ошеломляющих результатов, то есть, администрация социальной сети уже успела реагировать на появившееся в интернете сообщение. Но, тем не менее, надо сказать, что пример весьма показателен. То есть, дай человеку возможность раскрыть свою персональную информацию - и он обязательно это сделает. Этакий закон Мерфи в сфере инфобеза.
Конечно, необходимо отдавать себе отчет в том, что социальная сеть - не совсем подходящее место для хранения файлов, особенно таких, как сканы паспорта. Но как объяснить это пользователям, которые увидели удобную возможность в привычном для себя социальном сервисе? Этот пример показывает, насколько всё-таки низка культура информационной безопасности в современном обществе. Видимо, нужно, чтобы сменилось не одно поколение, чтобы люди поняли, насколько это важно и актуально. Наверное, так же с боем внедрялись и такие прописные истины, как "переходить дорогу нужно на зеленый"...
Что ж, мотаем на ус и ждем новых веселых новостей от наших (и не только наших, в принципе) социальных сетей - к счастью, с ними точно не сможешь соскучиться...
Р. Идов,
аналитик компании SearchInform
Оригинал взят у securityinform в Очередной скандал с "ВКонтакте"
Про "переходить дорогу на зеленый"... Истина, конечно, прописная, но следуют ей далеко не все, о чем свидетельствует печальная статистика.
А сколько интересного можно получить, если в поиске по документам вконтакте написать "пароль" "password" "email" и так далее :) Для рядового злоумышленника, по-моему, куда больше маневров для злодеяний с такой информацией :)