Как забытый на 12 лет сервер может обойтись в 120000 фунтов стерлингов

    Всего за несколько дней до вступления в силу GDPR неприятность постигла Университет Гринвича. Information Commissioner's Office (офис комиссара по информации — независимая организация по надзору за соблюдением законодательства в информационной среде Великобритании) оштрафовал университет на £120 тыс. (на момент написания статьи это порядка 136 тыс. евро, 160 тыс. долларов США, 10 млн. российских рублей, 4,2 млн. украинских гривен) за серьёзную уязвимость в безопасности, приведшую к утечке данных почти 20 тыс. студентов и сотрудников. Как такому серьёзному университету удалось попасть под раздачу ICO и стать первым университетом, оштрафованным за нарушение DPA, и чему это нас учит, читайте под катом.



    Всё началось в далёком 2004 году. Тогда университетом проводилась академическая конференция при Computing and Mathematics School (школа вычислений и математики), в рамках которой одним из студентов был создан микросайт. Одной из его функций была анонимная загрузка документов. Конференция прошла, и о сервере попросту забыли. Никто его не выключил, не отформатировал и не обновлял. Он просто тихо шуршал в уголочке многие годы (завидуем белой завистью бюджетам университета, позволяющим забывать про серверы и потребляемую ими электроэнергию).

    Наконец, в 2013 году, т.е. спустя 9 (!) лет до сервера добрался первый взломщик и успешно использовал функцию анонимной загрузки, чтобы скомпрометировать микросайт. И никто этого успешно не заметил. Что вполне предсказуемо — как можно увидеть взлом на сервере, если на сам сервер не обращали внимания уже 9 лет?..

    Ещё несколько раз хакеры проникали в сеть университета в 2016 году, используя уязвимости SQL и PHP, которые на тот момент не обновлялись уже 12 лет. И опять это заметили далеко не сразу. Узнали о взломе и сливе данных только тогда, когда один из хакеров запостил их целиком на Pastebin.

    А слили немало. В публичном доступе оказались персональные данные примерно 19500 студентов, выпускников и сотрудников университета, включая имена, адреса, телефоны. А также более чувствительные данные 3500 человек, включавшие не только оправдания прогулов, но и данные о сложностях с обучением, заболеваниях и т.п.

    Свою ошибку университет признал и произвёл «генеральную уборку» с целью существенного повышения безопасности своих внутренних ресурсов.

    Чему нас это учит?


    Ситуация вышла курьёзная, но весьма поучительная. И вынести уроки можно с разных позиций.

    С точки зрения GDPR


    Учитывая то, что решение было вынесено всего за несколько дней до вступления в силу GDPR, многие рассматривают ситуацию в том числе и с позиции этой директивы. В данном случае университет рассматривается как контроллер персональных данных и, соответственно, несёт ответственность за обеспечение их безопасности. Даже несмотря на то, что сайт был создан давным давно, в одном из подразделений университета и, по-видимому, без ведома IT отдела.

    Могла быть выше и сумма штрафа, если бы ситуация произошла после вступления в действие нового регламента. Если, согласно старым правилам, ICO может назначать штрафы до 500 тыс. фунтов стерлингов (порядка 560 тыс. евро), GDPR предполагает штрафы до 20 млн. евро или 4% годового всемирного оборота (больший вариант).

    С точки зрения больших организаций


    Чем больше некая структура, тем сложнее вести учёт. Особенно если в структуре есть достаточно автономные подразделения, такие как факультеты или удалённые офисы/производства. Но это ничуть не повод подзабить на учёт.

    Ответственным ИТ отделов стоит ещё раз освежить в памяти пару простых правил, позволивших бы избежать подобной ситуации:

    1. Регулярно обновляйте ПО. На самом деле правило очевидное, даже стыдно писать было. Но во многом именно его несоблюдение привело к описанным выше последствиям.
    2. Своевременно выносите мусор. Как часто мы создаём какие-то временные сайты, файлы, открытые папки, аккаунты с примитивными паролями для выполнения разовых сиюминутных задач? Думаю, многие так порой делают. Но порой мы забываем их удалить сразу после того, как задача выполнена, и тем самым открываем некую брешь в безопасности. Кто знает, как скоро кто-то найдёт Ваш test.php с прямым доступом к базе?..

    Если хоть кого-то эта статья сподвигнет провести ревизию своих ресурсов, особенно отслуживших своё, значит, мой день не прошёл даром.

    Для справки


    Information Commissioner’s Office является британской организацией, созданной для защиты и отстаивания информационных прав в общественных интересах. На него возложен ряд обязательств, регламентированных Data Protection Act 1998 (Акт о защите данных), the Freedom of Information Act 2000 (Акт о свободе информации), Environmental Information Regulations 2004 (Регламент об экологической информации) и Privacy and Electronic Communications Regulations 2003 (Регламент о конфиденциальности и электронных коммуникациях).

    Среди задач офиса — корректировка поведения организаций и лиц, собирающих, обрабатывающих и использующих персональные данные. В его распоряжении — широкий арсенал механизмов воздействия, от аудита до штрафов и уголовного преследования. Некоторым случаям из их практики можно удивиться или даже позавидовать.

    • Компания Costelloe and Kelly Limited была оштрафована на £19 тыс. за рассылку более 260 тысяч спам-сообщений с рекламой пакетов похоронных услуг.
    • За рассылку спама отписавшимся пользователям Королевская почтовая служба была оштрафована на 12 тысяч фунтов стерлингов.
    • Королевская прокурорская служба оштрафована на £325 тыс. за утерю незашифрованных DVD-дисков с полицейскими допросами, касающимися дел 15 жертв детского сексуального насилия. И это был уже второй случай утери данных прокурорской службой. Не только у нас в странах бардак...
    • Бывший консультант по трудоустройству расстался более чем с тысячей фунтов стерлингов за слив данных из базы работодателя. А кто из вас сливал репозитории или клиентские базы перед уходом из компании? ;)
    • Библейское сообщество поплатилось сотней тысяч фунтов за уязвимость, из-за которой была слита информация о примерно 417 тысячах человек, поддерживающих организацию. В том числе информация о банковских картах и счетах людей, вносивших пожертвования.
    • Сотрудница отдела образования местного самоуправления была оштрафована на полторы тысячи фунтов стерлингов за пересылку личных данных школьников и их родителей через Snapchat. И ведь ничего плохого не замышляла. Родитель, проживающий отдельно, хотел получить кое-какую информацию о своём чаде. Но т.к. фотоаппарат на телефоне не умеет снимать лишь одну строку таблички, родителю попали личные данные 37 учеников и их родителей, включавшие имена, адреса, даты рождения и номера социального страхования. И, кстати, больше она там не работает.

    Остаётся лишь надеяться, что цивилизованное и уважительное отношение к данным рано или поздно придёт и в наши края.

    Спасибо, что остаетесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

    Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 ТВ от $249 в Нидерландах и США! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?
    ua-hosting.company 713,56
    Хостинг-провайдер: серверы в NL / US до 100 Гбит/с
    Поделиться публикацией
    Комментарии 66
      +2
      С одной стороны — преступная халатность. С другой стороны — пострадавшая от взломщиков сторона еще и сама становится виноватой и оштрафованной.
      А можно немного подробностей про их нормативы по защите данных? Какие меры необходимо принимать следуя их законодательству?
        0
        Думаю, в законах не прописаны конкретные меры. Всё-таки законы пишут юристы, а не программисты с сисадминами. Но в разделе «Для справки» есть отсыл к некоторым основным законам в сфере защиты информации, можете поискать первоисточники.
          +2
          Ну, если отделение банка сделает дополнительную дверь в хранилище с улицы, запирающуюся на простенький китайский замок (для уборщицы), а потом оттуда вынесут ваше имущество — то обидитесь вы в первую очередь на банк.
            +13
            Вот классика, всем советую
              0
              Да-да, именно про этот кейс и говорил )
            +10
            Пострадавшая сторона — не университет, а студенты, чьи данные были слиты из-за халатности.
              0
              На месте студентов имело бы смысл отдельный иск подать. Ведь самое страшное, когда учат делать все хорошо, но сами даже в процессе учебы этот принцип не применяют. «Вы пока делайте лажово, зато потом, когда будете с дипломом, все сделаете как надо» — и сами же в дальнейшем будут плакать, когда эти «специалисты» так же весело их собственные личные данные проэтосамят.

              В общем, на ком-то этот порочный круг должен был разорваться. Бить, и бить страшно. Вплоть до лишения преподавателей и вуза дипломов и лицензий.
            0
            А что там за сервак если смог отработать 12 лет?
            Без сбоев и перезагрузок? и наверное светил в интернет белым IP к тому же.
              0

              Возможно это только один из на машине был и регулярно переезжал на новое железо, когда переносили всем скопом данные не копаясь, что там есть на самом деле.
              За 10 лет +- вышли из строя все серваки. что самое интересное первыми вышли из строя более новые. Накопители продержались почти все. Так, что думаю там были переносы на другое железо.

                0
                Сходу вспоминаются байки про мрущий годами оспополамный сервер и про замурованный в подсобке…
                  0
                  Пфф
                  16,5 лет не срок. Вырубили (он бы еще поработал, а если бы его чистили регулярно — то поработал бы прилично).
                  habr.com/post/174769
                +2
                Ну, у нас сервер IBM-360 проработал 15 лет не выключаясь. Выключили только по причине морального устаревания.
                  +2
                  Перезагрузки тут ситуацию не изменили бы. Демоны веб-сервера запускаются, как правило, автоматом.
                    –1
                    Многие десктопы того времени могли без проблем проработать 10-15 лет без выключения.
                    В моём распоряжении была парочка машин с древним AMD x64 процом (какой-то дешёвый HP, одно ядро, пару гиг памяти и механические диски).
                    Только недавно выключили просто потому что мне надоело за ним следить, а там уже ничего полезного не осталось.
                    Так же дома был мелкий сервер на AMD Geode для VPN. Работал лет 8-10 точно. Выключил буквально полгода-год назад, так как виртуализировал его.

                    Это всё несерверное железо. С серверным ведь ещё больше можно «забыть».
                    –2
                    С такими законами уважаемые граждане пользователи получат ровно то же самое, что уже получили в остальных отраслях: «черный ящик», с которым ничего незапланированного производителем сделать нельзя, который абсурдно туп в управлении (смарттв двух-трехлетней давности, смартфоны десятилетней давности) и который не перегружает сознание лишней информацией (ну т.е. мессенджеры с бабблами на 50 слов на экране, из них 20 — рекламного контента).

                    Зачем производителю тех же автомобилей оптимизировать технические характеристики под возможность ремонта и настройки, если это ударяет по прибыли, бюджету и приводит к ненужным искам?

                    Зачем заниматься разработкой чего-либо, рассчитанного на откровенно уязвимую аудиторию (т.е. не способную удержать в голове что-то, кроме своей предметной области, и то редко), когда можно абстрагироваться от этого в глубокий кровавый энтерпрайз или в наукоемкие отрасли?

                    Так и получится, что юзерский софт будет писаться 2-3 компаниями, готовыми мириться с абсурдными законами и копирайтом ради прибыли, только тогда потребителям придется мириться с тем, что их позиция и мировоззрение при всем удобстве потребления, оказывается, все равно будут подвергаться критике, пусть даже критикующие и будут вынуждены покупать компы времен PIV на ибее и хостить все свои поделия на локалхосте с убунту 16.
                      +4
                      Насколько я понимаю, если ты не собираешь и не сохраняешь у себя на сервере личные данные пользователей — то и докопаться не до чего. Так что ваш пассаж слегка мимо кассы. Другое дело что сейчас их ттолько ленивый не тянет — но это закон и должен исправить.
                        0

                        А что значит "у себя на сервере"? А если в облаке? На googledocs?

                          0

                          Не личные данные, а данные, которые позволяют явно или не явно идентифицировать пользователя, нпр ip соединений в логах.

                          +7
                          GDPR о персональных данных. А вы о чём?

                          Зачем производителю автомобилей хранить чьи-то ПД? Нужны? Отлично, объясните зачем. Если реально нужно, то храните. Но да, сохранно, и только столько сколько нужно. И защищать их серьёзно. Не хотите? Может они и не нужны, тогда, раз не хотите всерьёз относится к чужим ПД?

                          Ваще не понимаю как кто-то (кроме тех кому реализовывать соответствие GDPR) может GDPR не любить. Нефиг собирать личные данные пользователей если они реально не нужны. И пора отвечать если эти ПД слиты. А то все собирают всё до чего дотянутся, а если дыра, то «ну извините, ваши проблемы».
                            0
                            Ну например в современных автомобилях достаточно сложная процедура прописывания ключа зажигания, притом с разной степенью уязвимости она подразумевает цепочку клиент-дилер-производитель. Даже с магнитолами такое было, а сейчас продвигается с критичными узлами.
                            Самый простой кейс: не дать автосервису в сговоре с угонщиками прописать комплект ключей и потом не огребать негатив в виде «бренд угоняем как детский самокат» — в таком кейсе дилер/сервис пересылает в бренд документы владельца, которые после сверки с теми, что наличествуют с прошлых раз — дают повод отказать или дать сессию прописывания ключей/узла.

                            Ну и из простого: производитель авто кровно заинтересован в удовлетворенности клиентов и поэтому «через голову» дилеров дополнительно интересуется о качестве услуг у конечных клиентов. То есть дилеры/сервисы льют в почти обязательном порядке CSI-отчетность в голову (естественно там четко есть разделение по передаваемым полям в зависимости от наличия письменного согласия на обработку ПД).
                              +1
                              Вот вы объяснили, а значит и дилер может конкретно рассказать какие и зачем ПД нужны, перед тем как пользователь решит давать ли согласие. Если всё выглядит логично, то проблемы со стороны GDPR нет.
                              Я конечно GDPR только поверхносто читал, и то, только выдержки, но вроде выглядело всё нормально. По крайней мере со стороны пользователей.
                                0
                                Ну тут это уровня «почему дверь называется дверью» получается.
                                И по-моему каких-то коллизий при этом не возникает (по крайней мере за последние лет 15 я не слышал).

                                К примеру покупка авто. Это ведь как минимум договор между продавцом или представителем продавца и покупателем или его представителем.
                                То бишь как минимум в начальной части однозначная идентификация сторон + в конце подписи сторон с реквизитами.

                                Ну а с учетом, что чаще всего дилер не является собственником авто (они их не выкупают у импортера, а лишь ответственно хранят) — фигурирует 3 стороны: покупатель, дилер и представительство бренда в стране. Плюс ГИБДД, ФНС, ОФД — как косвенное следствие…

                                p/s/ кстати те же дилеры/сервисы помимо согласия на обработку ПД уже давно хранят еще опциональные согласия на обзвоны, sms, e-mail и соцсети.
                                0
                                Во втором случае всё очевидно: хочет спрашивать о качестве услуг? Пусть обеспечивает безопасность данных.
                                В первом случае всё, опять же, завязывается на производителе, а не дилере.
                                  +1
                                  Там их сложно разорвать производителя (или представительство в конкретной стране) и дилера: по одной цепочке первый реализует автомобиль при посредничестве дилера; по-другой — все-таки продает дилеру, а дилер уже продает покупателю.
                                  Ну и как правило с хранением в стране и обеспечением пристойной сохранности ПД у представительства — вполне прилично. Есть некие коллизии в плане штабквартир, ибо они не в стране покупателя, но и интересуют их скорее данные достаточно абстрагированные от ПД: например связанные с конкретным авто (vin) поломки, пробеги, ремонты, жалобы и профиль эксплуатирующего авто (пол, возраст, регион эксплуатации).

                                  Во всем этом есть, правда классика из серии «знают двое — знает и свинья» )
                                  То бишь зачастую выявить конкретную точку утечки данных сложновато — то ли сотрудник-продавец слил налево, то ли кто-то из дилера, то ли через обработчика-консолидатора по пути к штабквартире утекло…

                                  А если учесть, что информационные цепочки владелец-автомобиль-салон-сервис в реалиях несколько поширше… Тут и возникают на горизонте всяческие сервисы «пробей б/у авто перед покупкой» )

                                  чего далеко ходить? за месяц до истечения ОСАГО на авто — летит куча звонков от разных клоунов с предложением продлить у них… иногда в подробностях фигурирует много чего интимно-ПДшного…
                                    0
                                    хочет спрашивать о качестве услуг?

                                    Он может и не спрашивать… И дилеры/сервисные центры будут творить беспредел. Кто от этого больше пострадает, производитель или покупатели?

                                  0
                                  Зачем производителю автомобилей хранить чьи-то ПД? Нужны? Отлично, объясните зачем.

                                  Ну например чтобы отправить уведомление об отзыве автомобиля в случае выявления заводских дефектов?

                                +3

                                Похоже, типичное время жизни сайта в Клирнете теперь сократится ещё больше. Вместе с мусором будет всё больше исчезать и полезной информации.


                                Кстати, а не нарушают ли GDPR Web-архив и кеши поисковиков?

                                  –4
                                  Вместе с мусором будет всё больше исчезать и полезной информации.

                                  Вы под полезной информацией имеете в виду что? Базы кардеров? Спам-базы? Ну, я, например, двумя руками за, чтобы такая "полезная информация" исчезла.

                                    0
                                    Ну, для вас, получается, не существует никакой другой «полезной информации», кроме как баз кардеров и спамеров? Как насчёт архивов научных публикаций?
                                      0
                                      Как насчёт архивов научных публикаций?

                                      В научных публикациях данные о добровольцах принято анонимизировать. А в той же математике персональных данных, в общем-то, и вовсе нет.


                                      Разве что речь об исторических документах.

                                        0
                                        Не только исторические документы. Генеалогия, например.
                                        0
                                        А что конкретно в архивах научных публикаций по вашему попадает под GDPR? Ну чтобы было понятно о чём идёт речь.
                                          0
                                          Ответил выше — генеалогия, например.
                                            +1
                                            А вы и до GDPR не могли просто так в своей научной работе опубликовать чью-то генеалогию. Вообще-то если вы упоминаете в своей научной работе чьё-то имя, то это должно быть либо имя общественной или исторической персоны, либо вы должны взять у человека его согласие.
                                            Я не вижу что здесь пpинципиально изменилось с принятием GDPR.
                                              0

                                              А не 75 лет защиты на личные данные? Полагал, что после этого их не защищают.

                                                0
                                                75 лет — точно касается авторских прав. А вот насчёт личных данных не знаю, увы.
                                                0
                                                Где грань между общественной персоной и необщественной?
                                                  0
                                                  Ну обычно если есть расхождения во мнениях по данному вопросу, то их решает суд :)
                                              +3

                                              Миллиарды страниц Веб-архива просто не могут не содержать массы случайно захваченных персональных данных. Как и кеши поисковиков. Найти их там и автоматически или вручную зачистить — невозможно. Значит, все они автоматически становятся нарушителями GDPR.

                                                +2
                                                Да не важно, попадает или нет. Есть заброшенный форум, скажем. Активности ноль, история огромная. В движке дыра на дыре. Юзверям предлагалось вводить имя и мыло, как это всю жизнь на форумах делали.
                                                То он лежал себе и никому не мешал. Если надо было что-то, можно заглянуть. Теперь точно удалят. Не чинить же мёртвый форум.
                                                  0
                                                  Я не спорю что позакрывается куча полумертвых или вообще мёртвых сервисов, форумов и страничек. И даже могу себе представить что для кого-то это будет неприятно, потому что он всё ещё заходил в какой-то тёплый мягкий уголок на одном из таких форумов и общался там с десятком человек. И возможно этим людям даже было наплевать что происходило с их персональнымни данными, которые они там оставляли когда регистрировались. Но это не отменяет того факта что в целом для обычного пользователя от GDPR болъше пользы чем вреда.

                                                  П.С. А если на форуме лежат какие-то очень важные дискуссии, которые надо сохранить для потомков, то не так уж и сложно пройтись по базе данных и анонимизировать персональные данные в том или ином виде. Дискуссии останутся, персональные данные нет. Cкрипт для этого вам любой студент сможет написать за десять минут.
                                                    0
                                                    Интересно, почему этот GDPR имеет обратную силу?
                                                      +1
                                                      Он не то чтобы её имеет. Но получается так, что если вы даже уже собрали чьи-то персональные данные до вступления GDPR в силу, то после вступления вы должны позаботиться чтобы с этого момента их хранение и обработка соответствовали GPDR.

                                                  0

                                                  Да, всё нормально насчёт архивов научных публикаций. Я, в принципе, допускаю, что вы являетесь таким специальным человеком, что видите какую-то разницу, между тем будут данные ваших банковских карт лежать в базе кардеров или в научной публикации и во втором случае вы выдохните и скажите, — а, ну, это же научная публикация, пусть лежат! — но большинство людей всё-таки нормальные и разницы не видят. Поэтому, насчёт архивов научных публикаций всё абсолютно так же — если архив научных публикаций содержит мои персональные данные, то я двумя руками за то, чтобы эти данные исчезли.
                                                  PS. Генеалогия — это не наука, это прикладной раздел истории. Примерно как бухгалтерия — это не наука, а прикладной раздел экономики.
                                                  PPS. Для меня полезная информация как раз отличается от спам-баз, поэтому я не рыдаю как местные спамомрази от того, что их "корм" исчезнет, поскольку нет ни каких причин и поводов к исчезновению дейстительно полезной информации. А вот со спамомразями сейчас стало просто сказочно — лёгким движением руки они оправляются ровно туда, куда и заслуживают. Viva GDPR!

                                                    0
                                                    Вы не поверите, они никуда не отправляются, к сожалению. Как названивали из Индии, предлагая всякую чушь, так и дальше названивают, их там невозможно наказать.
                                                      0
                                                      А вы уже пробовали написать жалобу? Ну то есть указать с какого номера вам звонили и какую конкретно чушь вам предлагали?
                                                  +3

                                                  Хостеры не будут под риском таких наказаний разбираться, что там за старый контент у них храниться. И будут тереть всё. Выплескивая с водой и младенцев.


                                                  А вот всякая кардерская инфо как раз будет замечательно храниться в даркнете, которому пофиг нам новые запреты.

                                                  –1
                                                  Да, именно так. Похоже, борьба со спамерами приведёт к худшим последствиям, чем сам спам.
                                                  +9
                                                  Это напомнило случай на моем первом месте работы. На 4-м курсе устроился приходящим админом в одну конторку.
                                                  Задачей было убрать клубки из свичей/роутеров/кабелей/и еще бог знает чего из каждого кабинета и построить нормальную СКС с бодро жужжащим сетевым шкафом в коморке.
                                                  Уничтожая старую сеть я наткнулся на непонятный мне кабель идущий во внешнюю стену и идущий через 5 этажей на чердак. Местный завхоз прознав про такую находку вручил ключи от чердака и дал команду демонтировать.
                                                  Самое интересное обнаружилось на чердаке — кабель как оказалось вел не к свичу провайдера, а к бодро жужащему серверу Supermicro с 2-мя вторыми пнями! Не знаю работал ли он на тот момент но после отключения он больше не завелся, а проверить на наличие инфы старые SCSI диски было не на чем и вообще директор той конторы быстро погрузил сервак в багажник и увез.
                                                  После разговора с местными я узнал что это был старый сервак с 1С (теперь понятно почему он был на чердаке), который перестали использовать лет 5 назад. Т.к тех персонал был в остновном приходящим все о данном серваке забыли.
                                                    +3
                                                    История была, решили почистить серваки 15-летней давности. Термопасту поменять, от пыли продуть… после чистки материнка ОТКАЗАЛАСЬ запускаться. финита ля… снимаешь радиатор — всё работает на голом проце но он понятное дело за секунды нагревается. От 15-летней деформации, после снятия радиатора порвались какие-то внутренние дорожки на материнке.
                                                      0
                                                      Не зря значит существует правило. И вот так всегда когда решил «потрогать».
                                                        0
                                                        Это «правило» работает только если потрогали после длительного периода без поддержки.
                                                        Если поддерживать нормально, то будет эффективнее, чем с этим «правилом».
                                                    +1
                                                    Я не понял из статьи, как была получена конфиденциальная информация-то? Ну получили взломщики доступ к никому не нужному серверу 12 летней давности. Дальше-то что? Это все прямо там и хранилось? Я конечно понимаю, что доступ к внутренней сети это уже пол дела, но там у тысяч студентов есть точно такой же доступ в эту сеть. Или сервер был какой-то привилегированный?
                                                      0
                                                      Подробностей по вектору атаки я не встречал. Возможно, в самом решении ICO (длинная PDF-ка) было что-то. Возможно, сама идея микросайта подразумевала доступ к общей базе, и он там был зашит. Возможно, был ещё ряд завтыков со стороны университета. У него была ещё независимая утечка данных ранее, по совершенно другим причинам. Но тогда обошлось предупреждением.
                                                        0
                                                        Там загрузка файлов реализована. Может как раз в файлах данные были..
                                                          0
                                                          Кто-то из прежних работников, зная фичу, залил на сервер ПД, потом «взломал» и выложил? :)
                                                        0
                                                        А кто из вас сливал репозитории или клиентские базы перед уходом из компании? ;)

                                                        Частенько сливаем, потому что после нашего ухода проект обычно больше 1-2 лет не живёт, а в портфолио что-то показывать надо. :) Разумеется, имена, пароли, ключи для расшифровки в слитом дампе подменяются на случайные строки.
                                                          +2
                                                          Королевская прокурорская служба оштрафована на £325 тыс. за утерю незашифрованных DVD-дисков с полицейскими допросами, касающимися дел 15 жертв детского сексуального насилия. И это был уже второй случай утери данных прокурорской службой. Не только у нас в странах бардак...


                                                          Я хочу, чтобы в СНГ тоже можно было бы оштрафовать полицию за подобные проколы. Можно?
                                                            0
                                                            Деньги из одного госкармана переложат в другой. Это же штраф, а не компенсация пострадашим.
                                                              +1
                                                              Дело в том, что госкарманы принадлежат разным людям, поэтому подобные штрафы могут отлично работать даже если пострадавшие не получат компенсацию.
                                                                0
                                                                А теперь представьте что из-за этого штрафа полицейские не получат свои премии и бонусы. Что случится в Англии с тем начальником по чьей вине это произошло? :)
                                                                  0
                                                                  Он тоже не получит свою премию и бонусы?
                                                                    0
                                                                    Это как минимум. А учитывая всевозможные профсоюзы и их «злопамятность», то это скорее всего очень сильно повлияет и на его дальнейшую карьеру. А уж если он ещё мечтал когда-то пойти в политику… ;)
                                                                      0
                                                                      Чрезмерная текучка кадров плохо влияет на профессионализм, если каждого проштрафившегося полицейского и начальника отправлять в отставку.
                                                                      На первый раз — лишить премии, востребовав размер штрафа, второй раз сами не захотят лажать. Хотя да, вышеописанный прокол достаточно серьезный.
                                                                        0
                                                                        Чрезмерная текучка кадров плохо влияет на профессионализм, если каждого проштрафившегося полицейского и начальника отправлять в отставку.

                                                                        Ну зачем сразу в отставку. Перевод на менее значимую должность или просто никаких повышений в будущем.

                                                                        P.S. Плюс если брать наш конкретный пример, то королевская прокурорская служба это не просто полицейский участок и её глава это должность уровня министра. Поэтому во главе там скорее всего сидит какой-нибудь политик.
                                                              0
                                                              Правило номер 0: учёт и периодическая инвентаризация

                                                              Если вы не знаете где какие сервера или сервисы подняты вы не сможете ни обновлять их, ни вовремя удалять.

                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                              Самое читаемое