Wpis użytkownika Kurama w Hydepark
KuramaGwiazdor
10piorunówNo i zdarzył się ten dzień..
Zajmuję się programowaniem, głównie PHP, trochę baz danych czasami liznę front. Mój stały zleceniodawca jako że był zadowolony z jakości mojej pracy i kompleksowego podejścia przekazał kontakt do mnie do pewnej instytucji publicznej, która zajmuje się edukacją.
Szybkie rozpoznanie terenu, sprawdzenie paru rzeczy trochę automatami, trochę ręcznie i zapaliło się wszystko na czerwono
* publicznie dostępne dumpy SQL
* brak aktualizacji od ponad 5 lat
* Lista cve dłuższa, niz niejeden wiersz
* publicznie dostępne configi serwera
* najciekawsza była prośba o implementację integracji pomimo, że była wykonana, więc nie wiadomo, co kto zbieral i po co
* Itd...
W zasadzie każdy mógł zrobić wszystko łącznie z dropem całej bazy danych
W takim przypadku należy:
a) zgłosić sprawę do uodo
b) na policję
c) do prokuratury
D) do każdego z publiczną kopią
A wy jak podchodzicie do security w swoich projektach? Spotkaliście takie kwiatki?
Komentarze (2)
@pescyn admin tak wszystko zrobił dbając o "bezpieczeństwo" , ochrona danych z mojego doświadczenia jest traktowana dość po macoszemu, czego nie rozumiem, ale z drugiej strony co taki pan informatyk za 4k jest w stanie zrobić mając zlecenia od podpięcia myszki a skończywszy na robieniu katalogu w flashu XD
mają jakiegoś swojego jodę albo innego abiego? wiedzą w ogóle co się stanie jak sprawa się rypnie albo dane wrażliwe pójdą w świat a raczej wypłyną