На месте хакера может оказаться каждый
Вот вам очередная история, подтверждающая, что выместить зло могут не на том, кто виноват, а на том, кто обнаружил непорядок. В данном случае - утечку персональных данных. Информация о заказчиках, оформлявших через сайт kohinoorpassion.com заказы на продукцию компании Durex, оказалась ничем не защищена. Обнаружил этот факт не хакер, не айтишник, не безопасник, а простой клиент. Информировал владельца и получил в качестве благодарности букет обвинений.
В гневе начал он чудесить
И гонца хотел повесить... Как правильно поступать, обнаружив уязвимость или утечку? Кого известить сначала, кого потом? Когда можно обнародовать сведения об утечке? Можно ли просить денег за информацию об уязвимости? Как проверить, действительно ли уязвимость имеет место? Можно ли хранить чужую конфиденциальную информацию, полученную в ходе этой проверки? Как уберечься от несправедливых обвинений во взломе?
Эти вопросы ныне волнуют не только нашего брата-хакера. Обнаружить утечку (тех же персональных данных) может самый обычный человек. А он-то не в курсе относительно "хакерской этики" и " правил безопасности пентестера".
Например, мы, если обнаруживаем утечку на сетевом ресурсе какого-либо российского государственного ведомства или влиятельного банка, то не спешим ни обнародовать её, ни извещать владельца ресурса. Потому что при этом легче лёгкого оказаться крайним. Чинуша из службы безопасности первым делом думает не как остановить утечку и загладить её последствия, а как оправдаться в глазах начальства. Самый простой способ - свалить вину на принесшего дурную весть: «Вот он, злобный хакер! Это он нас сломал. И теперь деньги вымогает. Вот мы его сейчас!..»
Так что об обнаруженной собственными силами утечке мы помалкиваем. И ждём, когда о ней узнают другие. В крайнем случае - организуем утечку об утечке через неболтливого журналиста или вовсе анонимно.
Не пора ли включать соответствующую главу в базовый курс компьютерной грамотности?
В гневе начал он чудесить
И гонца хотел повесить... Как правильно поступать, обнаружив уязвимость или утечку? Кого известить сначала, кого потом? Когда можно обнародовать сведения об утечке? Можно ли просить денег за информацию об уязвимости? Как проверить, действительно ли уязвимость имеет место? Можно ли хранить чужую конфиденциальную информацию, полученную в ходе этой проверки? Как уберечься от несправедливых обвинений во взломе?
Эти вопросы ныне волнуют не только нашего брата-хакера. Обнаружить утечку (тех же персональных данных) может самый обычный человек. А он-то не в курсе относительно "хакерской этики" и " правил безопасности пентестера".
Например, мы, если обнаруживаем утечку на сетевом ресурсе какого-либо российского государственного ведомства или влиятельного банка, то не спешим ни обнародовать её, ни извещать владельца ресурса. Потому что при этом легче лёгкого оказаться крайним. Чинуша из службы безопасности первым делом думает не как остановить утечку и загладить её последствия, а как оправдаться в глазах начальства. Самый простой способ - свалить вину на принесшего дурную весть: «Вот он, злобный хакер! Это он нас сломал. И теперь деньги вымогает. Вот мы его сейчас!..»
Так что об обнаруженной собственными силами утечке мы помалкиваем. И ждём, когда о ней узнают другие. В крайнем случае - организуем утечку об утечке через неболтливого журналиста или вовсе анонимно.
Не пора ли включать соответствующую главу в базовый курс компьютерной грамотности?