Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 173
Логично же, что в состоянии аффекта было совершено. Чего не делают скидку на это?
а зачем?
Ну так может это уже со скидкой)
Сначала могло быть 450 плюс 1.2 млн раз по 3 года
Аффект длится несколько минут. Обсуждать и действовать час уже не аффект.
В США вроде как нет такого варианта. Личная ответственность и все такое
примерными семьянинами с родителями на иждивении
Стоп, я может чего неправильно понял.. двух братьев уголовников, сидевших по статье за взлом Госдепа США приняли на работу в айти компанию, обслуживающую федералов? При этом при приеме на работу даже не пробили их на наличие судимости? А потом, когда узнали - уволили их "по скайпу" и обоим отрубили доступ ПОСЛЕ извещения об увольнении, причем второму явно не сразу если они потом целый час базы дропали? Я конечно всякое в своей жизни видал по инфобезу, но это прям на Гран-при тянет, причем с огромным запасом.
Именно, причём на работу с правами на DROP DATABASE в министерстве.
я вообще не понимаю, как можно добраться до сервера, если процессы более-менее выстроены. А тут не просто добрались, а еще и оунером.
Э, не. Если бы специально они бы это делали из другой страны за сутки до увольнения.
Не вижу связи. Специально дрожать базы лучше находясь в стране откуда вас не выдадут.
Я на месте прокурора над таким долго бы смеялся.
Представьте что вас коллега попросит дропнуть пяток продакшен баз. Вы бы сделали это без письменного подтверждения минимум СТО?
Это так не работает. Постфактум или устно можно оформить задачу иди там почини или вот тут галочку добавь. И тому подобное.
А явно разрушительные действия никогда потсфактум не оформляются.
Выключение БД != уничтожение. Заоофлайнить что-то в критической ситуации можно, это более-менее нормально.
Я вообще предпочитаю чтобы крупные удаления делались кодом и кнопку мерджа/выкатки жал лично СТО. ПР я подготовлю и за процессом пригляжу. А вот команду пусть большой человек отдаст.
Даже если "дрожать базы" -- просто опечатка, это всё равно достойно остаться в культурном слое. Айтишный эквивалент "труба шатал"
Читайте ответы на ваши вопросы в книге братьев которую они напишут в тюрьме! :)
Выстроенные процессы это миф, в больших компаниях всегда бардак и лишние права есть у многих сотрудников.
Утверждения со словами "всегда" и/или "везде" - бессмысленны, так как вы не работали во всех крупных компаниях. Там, где я работал, доступ к базам у пользователей осуществляется через суперсет, где в принципе ничего деструктивного сделать нельзя. Изменения производятся через запуск заапрувленых скриптов, оформленных в задачах. Ну, и часть данных вообще в NoSQL-базах хранится, там только если доступ к файловой системе есть.
Есть пользователи, а есть администраторы БД, есть администраторы вычислительной инфраструктуры, есть ответственные за сторадж, есть сетевые инженеры в конце концов. У всех них так или иначе есть доступ к БД мимо официального одного окна superset. Также есть нерадивые программисты сохраняющие пароли (или ключи для доступа к системе хранения паролей) в корпоративной VCS. И т.д. и т.п.
Простите мне мои утверждения, но я твердо уверен, что крупные компании удерживаются от саморазрушения или утечек только благодаря адекватности и лояльности сотрудников, а не системами защиты или стараниями ИБ.
Безусловно, на каком-то уровне появится привилегированный доступ, но это не уровень рядового служащего, а разработчика любого уровня его вообще никогда не будет. И такого бардака, как в конторе этих братьев - мало где можно найти. Тут речь не о одной компании, а системная проблема. Цитирую:
On Feb. 1, 2025, Muneeb Akhter asked Sohaib Akhter for the plaintext password of an individual who submitted a complaint to the Equal Employment Opportunity Commission’s Public Portal, which was maintained by the Akhters’ employer. Sohaib Akhter conducted a database query on the EEOC database and then provided the password to Muneeb Akhter. That password was subsequently used to access that individual’s email account without authorization.
То есть, даже пароли хранились простым текстом рядом. Вы меня не убедите в том, что такой проблемы нельзя было избежать.
И такого бардака, как в конторе этих братьев - мало где можно найти.
Ха-ха. Ха-ха-ха. А-ха-ха-ха.
Собеседник выше абсолютно корректно заметил:
Простите мне мои утверждения, но я твердо уверен, что крупные компании удерживаются от саморазрушения или утечек только благодаря адекватности и лояльности сотрудников, а не системами защиты или стараниями ИБ.
Я, чем дольше работаю, тем больше согласен с этим утверждением. Безопасники выполняют лишь одну функцию (по крайней мере, на уровне локальных нормативных актов), чтобы:
Исполнитель: ПНЕВМОСЛОН
Альбом: Зуб известного человека.
Трек #7, длительность (2:14)
Т.е. защита сугубо бумажная, а ответственность, если что, ни в коем случае не на ИБ, а не конечном исполнителе.
Ну, либо есть практики ИБ, но они настолько топорные, что работают все мимо этих практик.
Единственное исключение: AppSec - у этих ребят мозгов хватает, что безопасность должна быть встроена в рабочий процесс, а не топором по яйцам.
Бардак есть везде, просто в нормальных местах последствия бардака локализованы. Возможность дропнуть базу без второго апрувера - это уже за гранью добра и зла
А вы часто видели эти процессы, где нельзя добраться до сервера? Работал в компаниях от старатапа на 10 человек до компаний с количеством поголовья в тысячи айтишников и везде был доступ к серверам или как минимум к БД - в самом лучшем случае только на read-only, хотя для моих задач это не было нужно.
Такого нет разве может быть в каких-то банках или биржах, но если честно уже сомневаюсь
Любой проект, где используется кубернетис и/или любая другая облачная инфраструктура.
Что касается процессов, то в рабочем проекте все обновления базы будут идти только через DBA или админов, и скорее всего через запуск скриптов, которые привязаны к заапрувленой задаче. То есть, у разработчика вообще не будет доступа к данным, максимум - логи стейджа. О суперсете уже говорили выше.
Я работал в компании, где разработчик грохнул колонку на проде, потому что спутал с тестовой базой. А сейчас работаю в компании, где прод видел только на расшаренном экране админа. И админ туда попадает только через заявку. И прямо сейчас, когда я всё-таки сумел развалить кусок БД, мы его восстановили из бэкапа за сутки.
Я их не просто видел? Я их выстраивал.
Простейшие парадигмы - сервера не имеют ценности, а данные имеют
Разработчикам абсолютно нечего делать на сервере, всё необходимое должно быть им предоставлено
Никаких манипуляций, всё через декларативные скрипты с единым источником истины
По факту у вас должно быть так, что и добираться не до чего
Доступ к серверу так или иначе у кого-то есть
A также есть DROP (и их младшие братья DELETE / UPDATE), поскольку immutable databases <~> append only databases <~> Event Sourcing databases -- ОЧЕНЬ дорогое удовольствие.
Дальше вопрос только в том - как доступы и права к "Васе Ахтеру" попали.
И почему бы этому "Вася Ахтеру" - и не быть тем доверенным человеком, которому как раз сервер и DROP на нём разрешили - если уж процессы доступа и проверки пролюбили?
не Вам лично, но заипало это НЛО, вся цепочка диалога порвана.
и мы ещё на ркн жалуемся за цензуру?
Причем учитывая озвученные сроки, которые им грозят, судя по всему и к бекапам доступ тоже был..
С учетом того что это по факту рецидив и есть еще обвинение в хранении оружия я бы сказал что это даже немного.
Да, и они бэкапы тоже грохнули. Уже прочитал, спасибо.
Убиться веником! Это как надо забить на сохранность данных, чтобы у одного человека был доступ и к проду на запись и к бэкапам? 8-[ ]
Нет, ну работал я в паре мест, где не было разделения по ролям, но это были сравнительно небольшие частные компании, но начиная со среднего масштаба, столь тотально "грохнуть всё и сразу" мог только персонал, имеющий физический доступ к серверному оборудованию, а буквально уровнем выше - уже требовался бы физический доступ и в резервный ЦОД...
Не в министерстве а у подрядчика. Министры не знали. А вот подрядчик и система в целом — это да😩
Типичный бодишоп
У вас в профиле не написано - поэтому спрошу: вы в СА в господрядчике хотя бы раз работали? Хорошо, понижу запрос: у вас кто-нибудь из знакомых в СА господрядчике на Госдеп работал? Полагаю, что нет, потому как представления у вас немножко неверные.
Какой "бодишоп"!? Там фирмы сплошь обклеенные всевозможными сертификатами и лицензиями на соответствие так, что названия из под них не видно! Посмотрели бы Сноудена "Citizen Four" для начала хотя бы для ознакомления с матчастью, прежде чем такое писать.
ну обклеились они сертификатами, как хиппи марками - а потом что?
а потом скорее всего знаменитый "рынок лимонов": контракт получает кто угодно, кто окажется дешевле.
и поэтому не может не возникнуть рынок по обклейке зиц-председателей Фунтов любыми сертификатами занедорого.
Компания Netcracker, в период с 2008 по 2013 работала по контракту с Defense Information Systems Agency, USA, в рамках которого разработчики, находившиеся в России имели удаленный доступ до сети заказчика. Когда вскрылось, был огромный скандал и миллионный штраф. Все сертификаты для работы у компании были.
И ещё в анкетах должна быть запись о родственных отношениях.
Правильнее было бы спросить, а работодатель вообще вправе отказывать на основании предыдущей судимости?
Вообще-то, в уголовном праве есть такой принцип: Non bis in idem («никто не должен дважды нести наказание за одно преступление»). Если суд запретил после отсидки 10 лет работать сисадмином, это часть одного наказания. А если нет — с какого перепугу работодатель отказывает? Это называется дискриминация!
На месте братьев я бы просто пошёл в суд после этого:
компания узнала о тюремных сроках братьев в феврале 2025 года и немедленно инициировала увольнение
И потребовал компенсацию. Но они, видимо, реально идиоты, лишённые хоть какого-то правосознания.
Очень печально видеть, что никто это не написал. Я сам не сидел (тьфу-тьфу-тьфу!), но знаю много случаев, когда людей реально подставили. Вот им, наверно, прикольно, отсидев без вины, потом ещё и получать отказы.
Предположу что ряд должностей на госслужбе требует отсутствия судимостей, и это прописано в каких-нибудь законах.
У нас вон в университет чтобы трудоустроиться - надо справки о несудимости получать. Может и в США что-то такое есть.
Универ это, условно, «дети». Это известная категория. В Штатах, например, есть т.н. «закон Меган», по которому осуждённый за педофилию вообще обязан при переезде обходить своих соседей со словами: “I just came from Denver, I’m a sex offender” ))). Как я слышал, для этого замечательного статуса может быть достаточно спьяну пописать там, где шли дети (и увидели прибор). И тоже люди спорят, нарушает ли этот закон упомянутый принцип («дважды за одно не спрашивают») или нет. Пока сторонники «безопасности детей» выигрывают.
В России есть и другая категория, куда входит работа в прокуратуре и ФСБ (не просто абстрактная «госслужба»). Про аналоги этой категории в других странах я не слышал.
А в остальных случаях (безопасность на транспорте, например), насколько я знаю, брать нельзя только гражданина с непогашенной или неснятой судимостью. То есть, когда он ещё продолжает оставаться наказанным.
В статье же речь идёт о [предположительно] «вашингтонском IT‑подрядчике». Правосознание подсказывает, что им надо было сходить в суд, и прошевелить вопрос законности увольнения и вероятной компенсации, а не дропать базу.
странно что их вообще судить собрались
Нет, никого из сотрудников CrowdStrike не осудили.
В России если дети увидят как ты ссышь - ещё и сядешь.
принцип: Non bis in idem
Так никто дважды и не наказывает. Этот отказ в работе — это частное решение этой частной фирмы.
отказ в работе — это частное решение этой частной фирмы
Тогда более общий вопрос - насколько законно подобное "частное решение" в принципе. Разве трудовое законодательство допускает это? Няп, отказать в трудоустройстве могут по определённым причинам, а не просто потому что "решение".
FYI: В Штатах как правило трудоустройство at will, т.е. в любой момент любого без объяснения причин…
Я вот тоже кстати не понимаю.
Я работадатель. Нанял условного рабочего. Через пол года решил что не подходит, или скажем через четыре года пришел к этому выводу. Так и что? Я теперь его не могу уволить?
Странные законы.
Если ты пришёл к этому выводу через 4 года, то как ты можешь доказать то, что понижение квалификации работника - не следствие твоего руководства.
Например, в своём "стриме" не раз наблюдал ситуацию:
Берут архитектора Инфомационной Системы;
Заставляют его исполнять лишь 1/5 работы архитектора, строго ограниченную, но зато "за все ИС в стриме";
Т.е. архитектор превращается в "оформитель вот такого типа бумажек" - т.е. теряет квалификацию на 4/5 своей должности;
Через полгода человек выгорает к хренам и от него начинают всячески избавляться.
А, ну и как следствие: нет архитектора, к которому можно было бы подойти и посоветоваться по поводу своей ИС. А те, кто есть: вечно на взводе (чуть ли ни на грани истерики) и загружены по самое небалуй. В результате, когда к тебе приходит непроработанная задача (т.е. у тебя не хватает части работы архитектора, ты приходишь к нему, просишь о помощи, а в результате получаешь отлуп: а чё это вы раньше не подходили, хотя без его фильтра вообще задача до меня дойти не должна была). Нормальные архитекторы были. Но... Были.
Учитывая, что три месяца - серьёзный срок, непонятно, чего ты ждал раньше, расстался бы полюбовно в рамках испытательного срока.
А если тебе требуется 4 года, чтобы осознать, что человек не подходит своей должности - то вопросы не к человеку, а к тебе. Т.е. совершенно всё пустил на самотёк, а потом: ну, я им попользовался, как презервативом, теперь выкинуть хочу.
Если он успешно прошёл испытательный срок (для рядовых сотрудников - не более 3 месяцев, для руководящих - не более 6 месяцев), значит, работодатель признал, что он подходит. На испытательном сроке, конечно, можно уволить одним днём.
В принципе, если сотрудник тебе очень-очень не нужен, ты можешь уволить его по соглашению сторон. Стандартное (законное) требование для этого - 3 месячных зарплаты в качестве выходного пособия. Это справедливо, поскольку примерно соответствует времени на поиск новой работы.
Слушайте ну делается же это совсем просто.
Вы заполняете анкету (да заранее) в которой пишите "не судим".
Потом выясняется, что вы соврали в анкете - за это вас увольняют.
Можно ли такую строчку в анкету вставлять - уже другой вопрос.
Фильтр на цвет кожи, знаете ли, тоже частное решение частной фирмы.
Правильнее было бы спросить, а работодатель вообще вправе отказывать на основании предыдущей судимости?
Это США, в некоторых штатах там даже магазин может отказать в обслуживании на основании "моя левая нога захотела", если оформлен соответствующим образом. Несмотря на всю публичную лгбт истерику - правила приема на работу могут быть достаточно дискриминационными, а уж госслужба связанная с секретами - так там вообще веттинг может быть любым.
Кроме того, формально могут отказать не на основании судимости как таковой, а на основании предыдущего нерелевантного опыта работы, как вариант.
Честно говоря, странно слышать, после того, как я много читал про то, что “a public provider cannot discriminate”. Есть, типа, деление на contract providers и public providers, и магазин явно относится ко второй категории. А вообще это всё произошло из такой хрени как https://en.wikipedia.org/wiki/Common_carrier, и как раз на этой основе боролись с расизмом. А то там тоже левая нога хотела чёрных не обслуживать. Надо доказать, что отказ разумно обусловлен. Например, не брать безногого на должность грузчика (если у него нет экзоскелета). Я даже читал про такие тонкости: один хитрый расист-парикмахер заявлял, что афроволосы он стричь не умеет, у них, якобы, другая фактура. Суд счёл, что это не похоже на разумно обусловленный отказ. Я думаю, трудно было бы доказать, что работник с судимостью за взлом не может справиться с работой сисадмина.
Это очень многогранная тема.
Самое проблемное тут то, что часто называют сегрегацию дискриминацией.
Даже если взять классику "дискриминации", места "только для белых" в автобусе - классика. Но по факту автобус был просто разделен на 3 зоны - места для белых, черных, смешанный сектор. При этом никого не смущает, что в сша можно найти бары только для черных, отели только для женщин, в японии и где-то на востоке вагоны метро только для женщин.
Но возвращаясь к дискриминации. Категорически запрещено отказывать только по возрасту, полу и расе вроде как, казалось бы. Но по законам некоторых штатов (а может и глобально) насильникам запрещено работать в школах, мужчинам запрещено работать в "убежищах для женщин", молодым избираться в органы госслужбы и т.д.. Про affirmative action и DEI hiring можно тоже вспомнить. В общем всё сложно:)
Я думаю, трудно было бы доказать, что работник с судимостью за взлом не может справиться с работой сисадмина.
Вот именно тут всё нормально даже по официальным гайдлайнам. Там есть оговорка вида "лису не нанимают смотреть за курятником".
Если преступление в той же области, а должность предоставляет возможность злоупотребления, то соображения безопасности вполне причина для отказа. Взлом - ИТ, кража - финансы и т.д..
Дизайнером может и наймут, может фронтэндщиком если уж на то пошло, а вот сисадмином вряд ли.
- какие ваши главные достижения на предыдущем месте работы?
- два года тюрьмы.
- вы приняты.
Кроме того, формально могут отказать не на основании судимости как таковой, а на основании предыдущего нерелевантного опыта работы, как вариант.
Так их уволили уже с текущей работы
работодатель вообще вправе отказывать на основании предыдущей судимости?
Для некоторых профессий (например, работа с детьми, государственная служба, полиция, финансы или аэропорты) действуют строгие федеральные и штатные законы, которые требуют обязательного отсутствия судимостей за определенные виды преступлений , отвечает нам ИИ, и дает ссылку на https://www.eeoc.gov/laws/guidance/background-checks-what-employers-need-know
Вообще-то, в уголовном праве есть такой принцип: Non bis in idem («никто не должен дважды нести наказание за одно преступление»). Если суд запретил после отсидки 10 лет работать сисадмином, это часть одного наказания. А если нет — с какого перепугу работодатель отказывает? Это называется дискриминация!
Вы сейчас подтасовываете понятия. Non bis in idem - это исключительно про государственную судебную систему и систему исполнения наказаний. Нельзя два раза посадить в тюрьму по одному эпизоду, да. Но коммерческая компания не является судом или органом исполнения наказания, и отказ в приеме на работу это не наказание, потому к ней это не применимо. Отказывая осужденному в прошлом педофилу в повторном трудоустройстве в детский сад, компания защищает свои интересы, и защищает интересы клиентов, а не наказывает того, кому отказала. Вот если бы компания отказала негру, потому что директор их не любит - это была бы дискриминация: рационального обьяснения отказу нет, зато просматривается расизм. Отказ инвалиду в приеме его на работу грузчиком - не дискриминация. Отказ должнику в выдаче нового кредита - не дискриминация. Отказ в трудоустройстве тому, кто на этой же должности ранее совершил умышленное преступление - не дискриминация.
Отказ на основании судимости это не двойное наказание. В США есть гражданский акт, который запрещает отказ, на основании судимости, тем не менее он не только не запрещает работодателю принимать её во внимание, но и есть отдельные акты и законы, прямо говорящие, что в отдельных местах и учреждениях судимость должна быть основанием для ограничений или отказа, так как существуют минимальные требования.
Иначе отказ, на основании отсутствия документа о высшем образовании или на основании состояния здоровья
Просто ограничение не на всё учреждение, а на отдельные должности
а работодатель вообще вправе отказывать на основании предыдущей судимости?
Боже, насколько же на Хабре в середине XXI века процветает ignorance!! Вот вам матчасти в ленту:
Criminal record (и criminal record check) - кошмар летящий на ужасах ночи к без без малейшего преувеличения сотням миллионов современных сотрудников в западных странах. Если такой у вас имеется - то вам не светит (хотя обсуждаемый случай и является почти невероятным, лично для меня) работа ни на government, ни в big-tech, ни в какой крупной корпорации типа Coca-Cola или Adidas, ни в более-менее публичной компании. On top of that вас не пустят в США, если вы канадец. И много других "прелестей".
А получить его можно за .......... Ох-хо-хо!... За что его только нельзя получить! До утра перечислять можно.
Ну мы то обсуждаем не теории, а факты из статьи.. В статье написано:
" Братья нарушали закон и ранее. В 2015 году оба отбыли реальные сроки за взлом систем Госдепартамента США и кражу персональных данных. Муниб получил 39 месяцев, Сохайб — 24. Именно это и стало причиной увольнения Ахтеров — компания узнала о тюремных сроках братьев в феврале 2025 года и немедленно инициировала увольнение. "
То есть уволили их именно за наличие судимостей и логично предположить что если их немедленно уволили по факту получения информации об оной - зная об этом при приеме на работу они автоматически получили бы отказ.
Сто раз в сериалах такое видел
Я конечно всякое в своей жизни видал по инфобезу, но это прям на Гран-при тянет, причем с огромным запасом.
Обратная бритва хэнлона:)
Может они 96 страниц списка клиентов эпштейна грохнули ну или типа того.
"Если звезды зажигают значит это кому-то нужно"©
Возможно это доступ всего лишь к зеркалам, кэш-серверам или просто локальное хранилище для тестирования. Но все равно да, доступ к конфиденциальной инфе они фактически имели
Зато это даже без экранизации намного лучше чем Mortal Kombat II
При этом при приеме на работу даже не пробили их на наличие судимости?
Их пробили. Только там по каким-то правилам для федеральных подрядчиков проверять нужно как минимум на последние семь лет, вот их на семь лет и проверили, а судимости были более старые (8 лет). Забавность в том, что предыдущие преступления братьев были тоже в инфобезе, соответственно, они попали в кучку новостей в свое время. Их достаточно было просто погуглить.
Знаете как отреагировала компания, где это все произошло. Они сделали проверку более строгой и теперь будут проверять аж до 10 лет! Я не шучу.
Совершенно не удивлен, поскольку речь идет о федеральном правительстве США. Здесь в заметке не написано, но есть в статье на ArsTechnica. У братьев на их работе были доступы к незашифрованным паролям. Соответственно, они собрали какую-то коллекцию логинов и паролей, которую они потом использовали для проверки переиспользования паролей на других сайтах. Попалось как минимум пять человек (pdf-file). Использовалось для билетов на самолет. Для одного человека собранной информации оказалось достаточным для перенаправления двухфакторной аутентификации. Что они собирались с этим делать, не рассказывают.
Вы думаете в других компаниях процесс работает как швейцарские часы?) это жизнь и человечий фактор, когда одни думаю ют что они слишком умны и делают все правильно, но это не так
Pато наверняка заставили подписать десяток NDA и пройти психологический тест на полиграфе. Безопасность уровня Форт-Нокс))
Приз зрительских симпатий я бы отдал🤣
Вы даже не представляете, что бывает в компаниях США. В одной достаточно крупной компании из Сент-Льюиса я с удивлением обнаружил, что для некоторого сервиса использовался не доменный(!) аккаунт с правами администратора MS SQL Server и пароль хранился открытым текстом. А в качестве вишенки на торт, доменный аккаунт, под которым был запущен этот MS SQL Server, имел административные права в домене!
Надо ли объяснять, что такое xp_cmdshell?
В одной достаточно крупной российской компании все пользователи (бухгалтерии) обладают правами администратора домена.
Несколько банков продают списанное оборудование, не произведя очистку носителей информации.
Крупный завод отказался от бекапов потому, что производительность сети и СХД сильно снижается. Про дифференциальные бекапы и ionice там не слышали. Ночного окна нет, производство непрерывное.
Сеть стоматологических клиник... Впрочем, по этому случаю мне нужно выждать ещё пару лет.
продают списанное оборудование, не произведя очистку носителей информации.
"подержи пиво", как говорится
админы одного российского банка отгрузили коробку DVD-R с полной копией рабочей БД. Зачем? а они заказали на стороне одну хитрую проверку в рамках KYC, перекрестную сверку с другими некоторыми БД.
И их попросили описание структуры их БД (в релевантной задаче части) с какими-нибудь простенькими синтетическими или анонимизированными данными, по пару тысяч записей в таблицу, чтобы наглядно видеть связи и форматы.
В ответ от сисадмином и CTO прозвучало почти пацанкское "чо? это ты на каком сейчас со мной разговаривал", а на второй встрече "вот возьми, и перестань клевать мозг себе и людям. Купишь ещё Оракл вот такой версии и сам все посмотришь"
Пока тащили коробку себе в микроофис без охраны с картонными дверями (на такую щедрость вот никак никто не рассчитывать) - руки тряслись и в глазах прыгали счётчики сроков и статей при разных вариантах утери/утечки
Если договор доступ к данным в БД предусматривал, то остальное уже ваши проблемы. На проектах внедрения нам ещё не к таким данным доступ предоставляли. Я порой бекапы продуктивных БД на HDD и LTO возил в командировках. Но зашифрованные, во избежание проблем при их пропаже.
наши?
то есть если бы я (или условный Sir Cam) весь этот дамп залили бы на ру-трекер, то у банка бы никаких проблем не было, только у меня одного в мире???
эм... ПерсДанных у нашей конторы точно не было, тем более в масштабах тысяч и тысяч клиентов банка. Не думаю, что банк имел право нам хоть одну реальную строчку сливать.
> ещё не к таким данным доступ предоставляли
Это не так называется.
Доступ...
Если бы меня там за терминал с Ораклом впустили...
В отдельной экранированной комнате...
После просвечивания на рентгене на предмет флэшек в анусе...
И у терминала был бы доступ к отдельному namespace, в котором были бы только те таблицы, которые для задачи нужны (и, желательно, ещё и строчки не все, а только выборка пары тысяч клиентов)...
Вот это был бы доступ
А когда полная копия всех БД отдаётся практически случайному человеку, бери и неси куда угодно, подальше от нас... Это наверно как-то иначе называть надо, чем доступ.
то есть если бы я (или условный Sir Cam) весь этот дамп залили бы на ру-трекер, то у банка бы никаких проблем не было, только у меня одного в мире???
Если договор предусматривал передачу этого дампа - то именно так. Для примера, если данные Сбера, полученные у него при проведении аудита PWC в 2021 году, где-то опубликует сотрудник этого же PWC, то в первую очередь PWC будет отвечать за это в суде. А любые иски клиентов к Сберу будут автоматически порождать регресс к PWC (№ 152-ФЗ ст.6 п.5).
Это очевидная постанова чтобы замести следы, подтереть в базах "кого надо".
Но, ведь есть бэкапы, правда?
Имеются только скриншоты баз данных. Может быть снапшоты? Нет, скриншоты.
Когда взял подписку на безлимитное хранилище фотографий
Юмор не актуален, нормальные нейронки могут и по скриншотам список воссоздать, лол, если там все строки
О да... Они воссоздадут...
А вычитывать за ними потом эти миллионы записей кто будет?
Контекстное-то окно у нейронок не бесконечное :-)
Вспоминается какой-то драматург, который свою мини-оперу на 80 страниц хотел перевести на английский. Если бы сильно хотел - перевел бы сам, но было лень - скормил нейронке. Прочитал первые три страницы - хорошо! Стиль, конечно, нейроночный, но для ознакомления сойдет. Уже почти пустил в публикацию, но что-то его дёрнуло, и он в конец заглянул... А там его герои почему-то уехали в Питер, почему-то кого-то убили-расчленили, кого-то толпой изнасиловали и подсадили на вещества, в общем всё, кроме зомби-людоедов. И кроме оригинального сюжета.
Изумлённому автору, который просил просто перевести без фантазий, нейронка доброжелательно пояснила, что его повесть была скучной и невыразительной и ей трудно бы было найти себе читателя, зато теперь, после небольших, но огромных улучшений...
Ой, переводы — это больное место.
В очередной раз напоминаю свою историю. Я как-то попробовал с помощью ИИ перевести фантастический рассказ. Читаю перевод (я отлично говорю на обоих языках), и офигеваю: в какой-то момент оно полностью забило на оригинал и написало полную отсебятину: в исходнике герой попадает в опасную ситуацию, а в переводе герой на белом коне уезжает в закат. После чего мне пришлось вернуться к самому началу и тщательно вычитывать фразу за фразой — мало ли что ещё оно там переврало. Мог бы не заморачиваться, а с самого начала сам перевести.
Не так давно повторил опыт с другим рассказом — так из трёх глав оно сделало восемь, а в конце герой не совершил самопожертвование, а излечился и вернулся к мирной жизни.
Запомните золотое правило: Перед объявлением взыскания - разоружить и накормить!
Нам нужно завозить в страну больше индусов =)
Голлливуду срочно приступить к написанию сценария нового блокбастера в стиле "Тупой и еще тупее".
Странно, специально упор сделали на то что близнецы, а сроки разные...
В США братья‑близнецы удалили 96 правительственных баз данных через несколько минут после увольнения
фи! Я уж думал там какой-нить сложный race, какой-нить WHERE пошёл rogue, а тут банальный malice-вылез. Тьфу-на-вас-ещё-раз ©
ну одному учетку поблочили, фактически он ничего не мог делать, только обсуждал с братом, логично что за подготовку преступления срок меньше чем за его исполнение
“At 4:59 pm, he asked an AI tool, “How do i clear system logs from SQL servers after deleting databases?”” Перевожу: В 4:59, он спросил ИИ, как подчистить системные логи SQL сервера после удаления баз данных.
То есть, имея полный административный доступ к продакшн базам данных самой крутой американской спецслужбы… он спрашивает у ИИ, как подтереть логи.
Я стесняюсь спросить:
В этой фирме, кроме полотёра и вахтёра, есть ещё кто-нибудь, у кого коэффициент интеллекта выше хотя бы 80-ти?
Кто им там всем - бедолагам - шнурки-то завязывает?..
Справедливости ради, логи могут уходить в какой-нибудь Logstash/Loki/… , и если это настраивал кто-то другой, то прямо с ходу не сразу разберёшься, как всё это зачистить.
Я стесняюсь спросить: ..
Вы их нынешнего директора ФБР видели? )))
вот то же самое, пока читал статью в голове навязчиво вертелось "это КТО ЖЕ умудрился вам в отдел подъочистки взять???"
В этой фирме, кроме полотёра и вахтёра, есть ещё кто-нибудь, у кого коэффициент интеллекта выше хотя бы 80-ти?
У вас, как у многих других здесь, просто манямирок на тему того как вещи работают в реальном мире. Я столько ахтунга видел в крупных компаниях что если начну перечислять, то мне просто неповерят лол. Продукты на сотни тысяч и миллионы пользователей, а внутри всё не просто построено на дендро-фекальной архитектуре, но и работает только потому что на систему никто не чихнул. И работает оно так не просто годами, а порой десятилетиями.
Благодетель, просветите нас - колхозников немыто-небритых - о том, как обстоят дела в крупных компаниях.
А то ведь мы в своих манямирках только и знаем, как коров пасти и коровьи лепёшки собирать.
Заранее спасибо за науку.
Без шуток, но вот лишь парочка моментов которые я видел:
- плэйнтекст пароли в БД, как для пользователей так и для админов;
- одинаковые стандартные пароли у всех менеджеров/админов;
- захардкоженные креденшиалы в исходниках (апи ключи, пароли, дампы SSH ключей и т.д.);
- отсутствие репозиториев как класса, хранят просто папку с исходниками в сторадже, ни истории, ни версионирования, ни распределённости;
- отсутствие CI/CD как класса, деплои путём аплоуда папки по FTP (да, да, как диды 20 лет назад), даже не SSH;
- автоматические оффсайт бэкапы? ахаха, нет, повезёт если кто-то раз в квартал дампы сделает руками и сохранит на внешний USB жесткий диск;
- собирание SQL запросов в виде строки из входящих параметров, без фильтрации и санитайзинга, SQL инъекции прямо из 2005 года;
- самопальные капчи со статическим вопросом «Сколько будет 5 + 20», который не меняется;
Это как в 2015 так и в 2025 годах, да. И это не аналоги условного ООО Вектор, а крупные серьезные компании. В том числе публичные, да. И это не единичные случаи. На фоне такого зашквара про шедевры архитектуры и технические решения внутри кода даже заикаться как-то стыдно.
"... Я всю жизнь сидел за других. Такая моя профессия — страдать за других." © Золотой телёнок. Как бы комична ситуация не была ( сообщить об увольнении и потом обрубить доступы ), в данном решении крайний(ие) найдены.
Биба и Боба - два... гения.
Впрочем, практика показывает, что абсолютное большинство преступлений, в т.ч. особо тяжких, совершается примерно такими же гениями, напрочь лишёнными разумного мышления и делающими что им в голову ударило. Прямо под камерами, при свидетелях, без подготовки и т.д. Это и обеспечивает их оперативный отлов. А как же разумные люди? А они и не совершают преступлений (обычно).
начало абзаца явно про американо-израильскую политику
Говорят, криминалистика - это наука о преступниках-неудачниках, потому что остальные в учебники не попадают. В каждой шутке есть доля штуки
Сложилось впечатление, что им намекали на увольнение, они морально готовились услышать это, но не подготовились в остальном, и поэтому ПАНИКА решила все за них😩🤣👋🏻
Другое большинство преступлений, совершенных не Бибой и Бобой, легализуется через длинные схемы или их никогда не находят, чтобы разнообразить фольклор статьей или книгой о них.
Весь мир театр, а Муниб и Сохайб в нем Ахтеры. Они перешли в начало цикла. Сейчас отсидят и по новой на гос. подряд.
На Хабре как то спрашивали, почему сначала убирают все доступы и сразу выставляют на улицу без всяких отработок в США. Вот отличный пример, где не поступили как в Тесле и что из этого получилось
Да в целом никто не мешает просто отобрать доступы, и выдать уведомление о сокращении. Перед этом можно оперативно скорректировать штатное расписание, где их должности будут отсутствовать (вместо них напишут что-то похожее). Пусть они эти 2 месяца просто бездельничают, и по закону не докопаешься. Это готовый сценарий для РФ, который даже используется. У них конечно всë иначе, но можно было бы всë умнее сделать (со стороны работодателя).
А может они и не близнецы вовсе, а и параллельного мира. И тогда всё становиться на места - в параллельном мире никто не делает зла и об инфобезе никто не слышал. И когда нашмирский брат о таком узнал. Это была просто ошибка - он хотел на параллельном сервеаке базы дропнуть, но перепутал.
Компания OPEXUS отказалась комментировать, проводила ли она проверку биографических данных братьев перед их наймом. Преступное прошлое братьев всплыло на поверхность только тогда, когда FDIC (Федеральная корпорация страхования депозитов) в ходе проверки биографических данных для получения дополнительного допуска к секретной информации отметила их как представляющих внутреннюю угрозу. Это привело к их увольнению 18 февраля 2025 года
https://www.adminbyrequest.com/en/blogs/government-data-wiped-by-insider-hackers-in-opexus-security-breach
Гении криминального мира)
Устроить саботаж под запись в Teams - это уровень, к которому нужно стремиться каждому уважающему себя джуну
Шутка из "Бедной Саши" про "забыл свой паспорт на месте преступления" перестанет ощущается такой уж натянутой
а вы это шуткой считали?
вроде где-то был сайтик типа башорга и дарвина, но про тупых преступников. Там через раз соседей грабят, даже не сменив одежды, в которой их тысячу раз видели, только балаклавы натянув.
да и насчёт паспорта... Один гений ножа и пистолета придумал гениальный способ не привлекая внимания охраны ограбить банк - он туда пришёл, спокойно отстоял очередь, оплатил коммуналку, а потом достал пистолет и потребовал денег...
Даже как-то рука не поднимается их осуждать...
Серьёзно? И что же такого неэтичного по-вашему совершил их работодатель, что заслужил такую подлянку?
Судимость была старая. Как я понял, какое время они нормально работали в этой компании без нареканий. Потом увольнение по скайпу одним днем.
Рабство давно отменено, и работник может уволиться в любой момент.
Но права и обязанности должны быть симметричны. Так что и работодатель может уволить работника в любой момент, пока это согласуется с законодательством и трудовым контрактом.
Да вы погуглите эту историю, они на протяжении всего это времени чудили по страшному.
Принял их на работу)
С работой сейчас сложно, жить на что то и где-то надо. Волевым решением переехали на полное соцобеспечение. Крутанулись как смогли, тем более с их прошлым им только посуду мыть или в такси дорога.
Индусы в руководстве https://www.casepoint.com/leadership/ тянут в компанию своих и получают неожиданные результаты.
Во-первых, никакой он не Сохайб, а 100% Сахиб.
Во-вторых гораздо интереснее:
Братья нарушали закон и ранее. ... оба отбыли реальные сроки за взлом систем Госдепартамента США
и при этом их повторно взяли на работу в господрядчике??? Или я что-то не понимаю, или что-то совсем стало плохо в Госдепе с criminal records check.....
А как в суде определят, кого сажать на 45 лет, а кого на 21?
незаконном обороте паролей
А законный оборот паролей бывает?
Когда я заказываю виртуалку или железный сервер под Linux не в AD, то мне при завершении работ совершенно законно сообщают пароль sudo пользователя. Естественно, я его сразу же меняю и создаю уже аккаунты для себя, своего руководителя и того, кто меня будет заменять, законно сообщая им сгенерированные мной пароли.
Это вполне можно считать законным оборотом паролей.
(c) "Уходя - гасите всех" :)
Все не могу понять "зачем". Понимаю что "можно, но зачем"
Они ж не совсем дебилы (вот в IT работают), должны понимать, что им это аукнется и их найдут даже если затереть логи, просто по таймингу удаления
Я сталкивался лично с похожим случаем в 2016, и тоже в компании из США. Только мы в команде успели поймать похожего мутного типа с огромным "послужным списком" до момента, когда он успел устроить дестрой... Проверки ИБ? Проверявшие сотрудники тупо халявили, генерируя отчеты скриптом вместо реальной проверки - это выяснилось уже после расследования по инциденту.
а начальство их это как пропустило?..
например, "тайных покупателей" не вчера придумали
По факту уволено оказалось человек 15, в том числе пару начальников - они, скорее всего, догадывались о схеме сотрудников-халявщиков, но не хотели привлекать к себе внимания. Зарепорченый инцидент безопасности, тем более с подтасовкой документов, это почти всегда минус премия/бонусы руководителю, даже если он "не в деле"...
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
В США братья‑близнецы удалили 96 правительственных баз данных через несколько минут после увольнения