как взломали гмыло

[madkoder]

Все твиттеровские бизнес-документы своровали с почты и гугл-календаря следующим образом. Некоторые твиттеровцы указали в Гмыле свой второй email-адрес Хотмейла (куда высылать пароль если что). У Хотмейла такие правила, что через некоторое время старые, неиспользуемые аккаунты удаляются и кто угодно может их зарегистрировать заново. Хакер заново

Comments

[xpelled]

ну какбэ сами идиоты.

[madkoder]

Не совсем. Проблема глубже каких-то конкретных идиотов. Раньше, когда всё добро хранилось у каждой конторы в своём интранете, от чужаков это всё охранялось профессиональными сисадминами и спецами по безопасности.

Теперь, когда доки всё больше и больше хранят на гугле и подобных сервисах, каждый сам себе вроде как сисадмин и достаточно одного лоха с дырявым паролем на всю контору, чтобы вот такое произошло.

[xpelled]

ну моё такое мнение, что это в общем должен быть предмет договора между заказчиком (твиттер-тусой) и подрядчиком (гуголем). поскольку гуголь - подрядчик, он должен выполнять обязанности исключительно согласно договорённости. и поскольку, как я понимаю, договор не был нарушен - заказчик не учёл свои требования в полной мере. или, другими словами, ну какбэ сами идиоты.
хотя в целом конечно проблема глобальна и интересна, имхо это очень старые грабли, переехавшие на новый виток развития технологий.

[poputchik_ru]

такой договор подписывается при регистрации сервиса Google Apps даже в стандарт эдишене

[bizya]

Это насколько глубоко надо обосноваться в тупиковой ветви развития чтобы для работы с секретными доками использовать все эти ваши веб-приложения :)

По-моему это фейк. В совете директоров бывают конечно идиоты, но они обычно там специально и под контролем :)

[poputchik_ru]

интересно, в чем же тупиковость SaaS?

[poputchik_ru]

Тут есть одно "но". Сервис гугля никто не ломал, если уж тут и воспринимать слово "взломали", то только как по отношению к хотмэйлу. Именно их идиотское правило делает возможным такие фишки. Этому ходу - 100 лет в обед.

Так что тут скорее разъебайство сотрудников.
Ну а как возьми тот же сотрудник используй MS Exchange с доступом через owa. Ну и не используя доксов - они пересылают по почту друг другу доки для согласования. Ну и взяли, предположим сперли КПК где настроен пас на доступ, и все привет, вся информация открыта. Хотя и охраняется одминами и секьюрити.

В общем, тут вопрос культуры. Именно поэтому у меня все "вторые мылы" смотрят на мыло на моих доменах )

[madkoder]

Да, какого-то супер-взлома действительно не было. Но опять, проблема куда больше, чем случайное разъебайство

[poputchik_ru]

да несомненно, придумать можно много чего, но сколько компаний все это использует?
все о чем ты говоришь, удел контор EPG сегмента, а Google Apps как не крути покупают более мелкие, те кто хотят сэкономить на инфраструктуре

естественно любой сервис проигрывает перед обычным решением, но ведь народ который работает в вебе не будет держать все на винтах, я не удивлюсь, если твиттеры не откажутся от гуглаппсов

кстати! мысль в голову пришла, взломали не корпоративный аккаунт "стандард" или "премиум", сломали просто аккаунт на @gmail.com

у премиума и стандарта есть всего один путь восстановления пароля - попросить админа его восстановить, а у админа - верификация путем файла на ФТП или CNAME. А значит... пиздюлей надо тому, кто с простого аккаунта работает корпоративными доками

я например очень разделяю корпдоки и свои персональные темы

[madkoder]

>придумать можно много чего

Ну, тут не совсем придумано, а перечислено то, что своими глазами вижу в своей и куче других контор, больниц, где угодно. Свою инфраструктуру ты всегда очень хорошо контролируешь, и независимо от твоего размера, есть куча инструментов.

Например, за счёт чего держится Blackberry? За счёт корпоративной безопасности. Почему продаётся дерьмовый Lotus Notes? Потому что зашифрован и требует пароль каждый раз. В магазинах здесь чуть ли не половина бытовых ноутов уже (!) идёт с биометрикой. Для всего этого необязательно быть Газпромом.

> твиттеры не откажутся от гуглаппсов

А вот здесь поясни. Может, и не откажутся, хотя я очень сильно сомневаюсь, что будут по-прежнему выкладывать все планы топ-менеджмента туда. Но вопрос такой: как они могут на чужой (гугло-хостовой) инфраструктуре стопудово убедиться, что каждый пидарас ежемесячно обновляет свой сложный пароль и во всём остальном также безупречно следует политике безопасности компании?

А при чём тут Google Docs вообще?

[alkor_]

В кривых руках (а тут ркуи определённо были кривые) ЛЮБОЕ предложение опасно. Можно подумать, что было бы не то же самое, если бы рекомые твиттеровцы просто написали свои пароли на заборе...

Что, однако, не отменяет того факта, что хранить важные и/или конфиденциальные вещи на Google Docs -- мягко говоря, неосмотрительн. Даже если руки НЕ кривые.

Re: А при чём тут Google Docs вообще?

[madkoder]

Именно при том, что сейчас Google Docs и подобные сервисы продвигают как решение всех мировых проблем. Но, оказывается, с ними легче допустить вот такую оплошность, для интранета в общем-то совсем нетипичную.

А если важные и/или конфиденциальные вещи на Google Docs и подобных сервисах хранить, мягко говоря, неосмотрительно. То что там хранить? Всякую чушь? Зачем тогда они вообще нужны?

* пожатие плечами *

[alkor_]

Повторю вопрос: при чём тут Google Docs? Принципиально важно то, чтобы у человека была выработана культура охраны своей сетевой identity -- паролями не разбрасываться, одинаковые пароли на все сервисы подряд не лепить, следить за актуальностью контактных даных, при помощи которых пароли восстанавливаются.

Ну да, в интранете есть очень хорошая защита от дурака -- хранить всё локально и закрыть вход в интренет снаружи, чтобы расхлябанность пользователй приводила только ко внутренним утечкам. Но при таком подходе должно быть хорошо налажено архивирование информации. Чем у нас почему-то озабочиваются достаточно редко.