Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 22
Причиной утечки стало нарушение правил информационной безопасности одним из сотрудников компании
Хакеры, кругом одни хакеры.. А на деле свой же сотрудник компании сливает данные, надо же, никогда такого не было, и вот опять.
Причиной утечки стало нарушение правил информационной безопасности одним из сотрудников компании
Хакеры, кругом одни хакеры.. А на деле свой же сотрудник компании сливает данные, надо же, никогда такого не было, и вот опять.
Не всегда. Такая формулировка может быть и при незакрытой БД (MongoDB, к примеру), торчащей в интернет.
Так социнженерия это же один из классических векторов хакерской атаки.
На самом деле это болезнь сегодня общемировая. Куча компаний и тренинги делают, некоторые даже прикольные видео делают с обыгрыванием ситуаций для обучения сотрудников. Но в конечном итоге все зависит от конкретных людей и что они делают. И даже после кучи просмотров и обсуждений могут, например, при миграции базы данных для упрощения поставить пустой пароль для root на базе, которая доступна через интернет. У них просто в голове ничего не срабатывает ничего, к сожалению.
Сотрудники вообще не должны видеть данные, тогда они их не передадут хакерам. Как сотрудник получил доступ к данным пользователей, кто ему разрешил? Почему сервис предоставляет данные пользователей своим сотрудникам, есть ли в этом большая необходимость. Человек не должен иметь доступа к данным, он их потеряет...
Смотря на все сливы, задумываешься, а не пора ли сократить сбор данных компаниями? Вот зачем подобному сервису имя, номер телефона и адрес электронной почты? Для антифрод системы? Достаточно убрать акции и промокоды для новых пользователей и антифрод уже не понадобится.
Сейчас слишком много компаний стали запрашивать личную информацию, что на мой взгляд совершенно излишне.
зачем подобному сервису имя, номер телефона и адрес электронной почты?
Доставать рекламой.
Создать много новых номеров телефона таки сложнее создания кучи новых адресов электронной почты, так что не совсем от балды.
в случае любого мошенничества со стороны клиента, дтп и т.д. где требуется идентификация пользователя однозначная, в случае если даже номера телефона подтвержденного нет (а вроде как в РФ симки без паспорта продавать нельзя) компания остается крайней.
Телефон, как и реквизиты карты не дают возможность однозначно идентифицировать пользователя.
В подобных компаниях для предотвращения мошенничества достаточно убрать акции. Тогда смысл в мошенничестве исчезнет. Или дать выбор пользователям. Ты не вносишь свои данные, но тебе не доступны акции или ты вносишь данные и тебе доступны акции.
Как раз с помощью промокодов новые юзеры в основном и появляются. Сначала это "хммм, бесплатно, от чего же не попробовать", а потом уже "хмм, удобнее было бы до парка в 2х км добраться, и прогулка, считай сразу начнется".
Я как-то хотел посмотреть просто стоимость поездки, скачал приложение и оно тут же стало заставлять оставить свой телефон. Получается чтобы посмотреть цену, уже попадаешь в сети и рискуешь со временем снова получать новую порцию рекламных звонков от стоматологий, театров, и прочего... Ах да, еще и про "банки" забыл
Никогда такого не было и вот опять.
Hidden text
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Хакеры выставили на продажу данные пользователей Whoosh