Добрые сутки, уважаемые хабраридеры.
Был случай почти год назад из собственной практики обеспечения безопасности конфиденциальной информации, про который хочу поведать сообществу. Думаю, данный опыт будет полезен многим читателям и предотвратит потенциальные неприятности, которые могут лишить Вас кучи времени, нервов и денег. Хочу сразу заметить, что всё, что вы прочтёте ниже, могло быть всего лишь случайным стечением обстоятельств.
После непродолжительного перелёта на красавце A320 и нахождения старенького ПК уже на новой локации я собрался зайти в личный кабинет Яндекс.Денег, чтобы пополнить баланс мобильного телефона. Успешно провалив задание с первой же попытки, проверил раскладку, регистр и принялся за вторую. Тщетно. Под подозрением оказалась ни в чём не повинная проводная клавиатура родом из начала двухтысячных. После пыток клавиатуры тестами на «адекватность» и серии неудачных попыток залогиниться в системе я наконец-то догадался, с чем столкнулся: у меня взломали аккаунт. Впервые за 6 лет.
«Что ж, будем восстанавливать», — подумал я и ввел запасной адрес электронной почты на странице восстановления доступа системы Яндекс. Сообщение об успешной отправке инструкции по восстановлению доступа гласило, что «обычно доставка письма занимает несколько минут.» Но не для меня. Потому что такая же судьба настигла моего почтового аккаунта: пароли в обеих системах совпадали.
Должен признать, что идея подсмотра моего пароля третьим лицом возникла у меня сразу же. Почему? Потому что:
Вернёмся на несколько часов назад. Аэропорт Домодедово. Для попадания в терминал аэропорта все лица вместе с багажом и ручной кладью подвергаются досмотру уже на входе. Мой рюкзак — не исключение. До того момента, пока он не оказался внутри досмотрового сканера, о нахождении в нём 80-листовой тетради с конфиденциальной информацией внутри знал только я.
Где-то в середине тетради, исписанной обычной шариковой ручкой формулами и графиками, красовались данные платёжных систем, которые я использую — названия платёжных систем, логины, пароли и платёжный пароль Яндекс.Денег. И всю эту прелесть я написал толстым чёрным маркером. Что касается расположения тетради, то она была уложена вертикально, как и сам рюкзак на ленте, и с одной стороны никакими посторонними предметами не перекрывалась внутри рюкзака.
Восстановить доступ к почте, а оттуда — доступ к Яндексу, было не сложно: помог тот же мобильный телефон. С проблемами столкнулся лишь на этапе смены платёжного пароля, когда служба безопасности Яндекс.Денег неожиданно стала утверждать, что отменила мой запрос на восстановление платежного пароля, и что я могу обратиться за комментариями в службу поддержки.
А можно ли технически это сделать — просмотреть и распознать текст, просвечиваемый рентгеном, который написан маркером в толще других исписанных страниц? Буду благодарен увидеть в комментариях мнения просвещенных в этой области людей.
Тут в игру вступают лишь догадки. А совпадение ли? Как получилось, что я лишился доступа к своим аккаунтам именно в день перелета, если за 6 лет их успешной эксплуатации подобных казусов не наблюдалось?
К чему я это всё веду? Одно я усвоил точно и рекомендую всем читателям: не храните пароли и другие конфиденциальные данные на бумажном носителе, особенно, когда собираетесь подвергнуть его досмотру. Ведь, фактически, не будь к моему аккаунту почты привязан номер мобильного телефона, пришлось бы попотеть для благополучного восстановления аккаунтов. Листок с паролями был тщательно и безвозвратно утилизирован. Теперь пароли я храню в зашифрованных контейнерах.
P. S. Еще раз подчеркиваю, что вся вышеописанная ситуация может быть случайным стечением обстоятельств, которым я хотел поделиться с хабра-сообществом. Хоть я и уверен в безопасности своей системы, нельзя исключать вероятность взлома.
P. P. S. Данным постом я никоим образом не пытаюсь обвинить кого-либо в мошенничестве или превышении своих должностных полномочий.
Был случай почти год назад из собственной практики обеспечения безопасности конфиденциальной информации, про который хочу поведать сообществу. Думаю, данный опыт будет полезен многим читателям и предотвратит потенциальные неприятности, которые могут лишить Вас кучи времени, нервов и денег. Хочу сразу заметить, что всё, что вы прочтёте ниже, могло быть всего лишь случайным стечением обстоятельств.
Злополучная тетрадь, сохранившаяся ещё со школьных времен.
После непродолжительного перелёта на красавце A320 и нахождения старенького ПК уже на новой локации я собрался зайти в личный кабинет Яндекс.Денег, чтобы пополнить баланс мобильного телефона. Успешно провалив задание с первой же попытки, проверил раскладку, регистр и принялся за вторую. Тщетно. Под подозрением оказалась ни в чём не повинная проводная клавиатура родом из начала двухтысячных. После пыток клавиатуры тестами на «адекватность» и серии неудачных попыток залогиниться в системе я наконец-то догадался, с чем столкнулся: у меня взломали аккаунт. Впервые за 6 лет.
«Что ж, будем восстанавливать», — подумал я и ввел запасной адрес электронной почты на странице восстановления доступа системы Яндекс. Сообщение об успешной отправке инструкции по восстановлению доступа гласило, что «обычно доставка письма занимает несколько минут.» Но не для меня. Потому что такая же судьба настигла моего почтового аккаунта: пароли в обеих системах совпадали.
Должен признать, что идея подсмотра моего пароля третьим лицом возникла у меня сразу же. Почему? Потому что:
- пароли я использую стойкие — брутфорсу не по зубам;
- ОС всегда под надёжной защитой от троянов и прочей «нечисти» вот уже седьмой год.
Вернёмся на несколько часов назад. Аэропорт Домодедово. Для попадания в терминал аэропорта все лица вместе с багажом и ручной кладью подвергаются досмотру уже на входе. Мой рюкзак — не исключение. До того момента, пока он не оказался внутри досмотрового сканера, о нахождении в нём 80-листовой тетради с конфиденциальной информацией внутри знал только я.
Где-то в середине тетради, исписанной обычной шариковой ручкой формулами и графиками, красовались данные платёжных систем, которые я использую — названия платёжных систем, логины, пароли и платёжный пароль Яндекс.Денег. И всю эту прелесть я написал толстым чёрным маркером. Что касается расположения тетради, то она была уложена вертикально, как и сам рюкзак на ленте, и с одной стороны никакими посторонними предметами не перекрывалась внутри рюкзака.
Восстановить доступ к почте, а оттуда — доступ к Яндексу, было не сложно: помог тот же мобильный телефон. С проблемами столкнулся лишь на этапе смены платёжного пароля, когда служба безопасности Яндекс.Денег неожиданно стала утверждать, что отменила мой запрос на восстановление платежного пароля, и что я могу обратиться за комментариями в службу поддержки.
А можно ли?
А можно ли технически это сделать — просмотреть и распознать текст, просвечиваемый рентгеном, который написан маркером в толще других исписанных страниц? Буду благодарен увидеть в комментариях мнения просвещенных в этой области людей.
Тут в игру вступают лишь догадки. А совпадение ли? Как получилось, что я лишился доступа к своим аккаунтам именно в день перелета, если за 6 лет их успешной эксплуатации подобных казусов не наблюдалось?
К чему я это всё веду? Одно я усвоил точно и рекомендую всем читателям: не храните пароли и другие конфиденциальные данные на бумажном носителе, особенно, когда собираетесь подвергнуть его досмотру. Ведь, фактически, не будь к моему аккаунту почты привязан номер мобильного телефона, пришлось бы попотеть для благополучного восстановления аккаунтов. Листок с паролями был тщательно и безвозвратно утилизирован. Теперь пароли я храню в зашифрованных контейнерах.
P. S. Еще раз подчеркиваю, что вся вышеописанная ситуация может быть случайным стечением обстоятельств, которым я хотел поделиться с хабра-сообществом. Хоть я и уверен в безопасности своей системы, нельзя исключать вероятность взлома.
P. P. S. Данным постом я никоим образом не пытаюсь обвинить кого-либо в мошенничестве или превышении своих должностных полномочий.