Автомат сработает, но если держаться за монетку и устроить замыкание, прежде чем он сработает пройдёт достаточно времени и можно получить достаточное количество проблем.
В таком сценарии (который описывался для ребёнка) даже УЗО или дифавтомат, могут сработать недостаточно быстро или что-то ещё может пойти не самым неудачным образом.
Возможно использование автоматов типа A или B, как-то поможет, но я не энергетик, точно не скажу. :)
Так это не в британской схемме разводки дело, мне кажется. А в наличии земли и правильно подключённого устройства дифференциального тока ("дифавтомат") или УЗО.
1) Вы просили факт признания. :) я специально нашёл то что Вы попросили, а не подумали/додумали/не озвучили.
2) я не очень понимаю, зачем мы ищем сходство одной организации с другой организацией, пытаясь аппелировать к «а вот эти, тоже так делают».
Тогда уж выбрали-бы сразу Фейсбук с его крупнейшей утечкой, на которую им пофигу или вспомним историю про РЖД+ВТБ и их поведение по отношению к heartbleed? :)
1) На фоне заявлений о том, что тот кто находится у власти врёт, вероятно честность - более выйгрышная стратегия, иначе, если все волки серы, какая разница кто лидер?
2) я рассуждаю исключительно из опыта работы с инцидентами в ИБ в ИТ, а не морали. Как правило, утечка рано или поздно всплывёт. И лучше самому рассказать как обделался и что ты сделал, чтобы это не повторилось, чем потом отбиваться от ежедневных новостей вида: «хакеры опубликовали базу е-мейлов жителей города N из умного голосования».
На всякий случай напишу, что вдруг у нас где-то конфликт определений затесался. Моя позиция: я тоже удивлён и сильно опечален не самим сливом, а реакцией на него со стороны ФБК и полным бездействием по оповещению пострадавших.
Мне кажется, что Фонду пора выпустить новую статью с разоблачением о впустую потраченных финансах спецслужбами (или кем-то там ещё) на подкуп их бывшего сотрудника...
Судя по информации от Bing (смотри скрин в статье), дата индексации: 04.03.2020 для их админки кубернтейтс, уже тогда можно быдло просто погуглить и получить всё бесплатно...
Только этот пост, к этой статье - никакого отношения, не имеет.
Но даже в статье по ссылке, факт того, что уволенный сотрудник всё ещё может авторизоваться в сервисах организации, говорит о многом с точки зрения ИБ в этой организации...
Дыра уровня: наша админка попала в выдачу гугла, всё-таки не требует какого-то сложного понимания, что информация была многократно скомпроментирована.
Про «автора» что «слил базу», в принципе не понял.
Учитывая что всё было уже во всех поисковиках проиндексировано, открыт доступ был оооочень долго, чтобы им могли воспользоваться «толпы», к сожалению. :/
Если бы им зарепортил о проблеме только один человек…
Ну и ниже в комментариях про «поищите правильно», уже указали.
Просто не все писали об этом статьи.
Самое грустное - это не слив, а реакция на него. В итоге ни публичного комментария, ни рассылки пострадавшим. В бизнесе, так уже делает любая шарашкина контора уже, а тут…
А как эта аналогия вяжется с доступом к консоли управления сервиса, которая гуглилась прямо по домену, автор исследования, так и нашёл её.
И чтобы это в поиск попало, нужно было ничего не делать - пару недель.
Ну и оставим за скобками, что кубирнейтс даже из коробки, не даёт тебе так выстрелить себе в ногу, т.е. его ещё и поправили, чтобы допустить данную утечку.
Спасибо! Радует что меняетесь к лучшему и в этих процессах, сегодня попробую.
Первое что полез проверять в своё время после смены интерфейса мобильного приложения — именно это, но тогда, всё ещё было нельзя.
А из опыта про дополнительные проверки, помню что при переводе крупных сумм, дополнительного фактора не было, но была блокировка счетов уже только постфактум (когда уже было сильно поздно, если-бы это были мошеннические действия и весьма бесполезно).
Из того же опыта помню как телефон компании где я работаю (а не мой личный телефон) из договора попал в системы как телефон для СМС-оповещения и несмотря на смену его в мобильном приложении, из-за этого не работали быстрые платежи по номеру телефона (два звонка в колл-центр, два визита в офис, чтобы разобраться и починит, возможно две или три внутренние заявки, уже не помню деталей) и вероятно не отработал в системах как нужно внутри. :)
Исходя из всего этого опыта (и не только с ВТБ, а практически с любым банком из топ-10), пока полагаюсь на старые добрые надёжные пару: логин/пароль и второй фактор в виде пуш-уведомления (в идеале).
Коллеги, я понимаю, что немного не в тему статьи…
Но когда можно в качестве пароля можно будет указать не только цифры?
И когда можно будет отказаться от авторизации по номеру карты в качестве логина?
Хотя-бы что-то из этого.
В мире, где перехватит SMS стоит X рублей, сводить всю авторизацию к одному фактору — SMS подтверждения…
Очень больно каждый раз вспоминать это при использовании сервисов от ВТБ.
Пожарное узо в щитке и узо или диф-автомат на вводе, на сколько я помню уже обязательны для новых домов сдаваемых в эксплуатацию.
А вот старый фонд и злостные переделки от владельцев - это уже отдельная боль, увы...
Автомат сработает, но если держаться за монетку и устроить замыкание, прежде чем он сработает пройдёт достаточно времени и можно получить достаточное количество проблем.
В таком сценарии (который описывался для ребёнка) даже УЗО или дифавтомат, могут сработать недостаточно быстро или что-то ещё может пойти не самым неудачным образом.
Возможно использование автоматов типа A или B, как-то поможет, но я не энергетик, точно не скажу. :)
Так это не в британской схемме разводки дело, мне кажется.
А в наличии земли и правильно подключённого устройства дифференциального тока ("дифавтомат") или УЗО.
1) Вы просили факт признания. :) я специально нашёл то что Вы попросили, а не подумали/додумали/не озвучили.
2) я не очень понимаю, зачем мы ищем сходство одной организации с другой организацией, пытаясь аппелировать к «а вот эти, тоже так делают».
Тогда уж выбрали-бы сразу Фейсбук с его крупнейшей утечкой, на которую им пофигу или вспомним историю про РЖД+ВТБ и их поведение по отношению к heartbleed? :)
Какая-то тупиковая дискуссия.
В чём ваш тезис?
ФБК молодцы и все правильно делают или что?
Оу, неверно интерпретировал, спасибо!
Не пользуюсь этим поиском совсем, неправильно понял его интерфейс.
https://www.rbc.ru/finances/03/10/2019/5d961b359a794728753d4820
https://www.rbc.ru/finances/24/07/2020/5f1b07f89a79478656194739
https://habr.com/ru/news/t/475460/
Я думаю, вы можете всё легко найти в интернете, подставив нужное название в поиск: "компания X признала утечку данных".
1) На фоне заявлений о том, что тот кто находится у власти врёт, вероятно честность - более выйгрышная стратегия, иначе, если все волки серы, какая разница кто лидер?
2) я рассуждаю исключительно из опыта работы с инцидентами в ИБ в ИТ, а не морали. Как правило, утечка рано или поздно всплывёт. И лучше самому рассказать как обделался и что ты сделал, чтобы это не повторилось, чем потом отбиваться от ежедневных новостей вида: «хакеры опубликовали базу е-мейлов жителей города N из умного голосования».
На всякий случай напишу, что вдруг у нас где-то конфликт определений затесался.
Моя позиция: я тоже удивлён и сильно опечален не самим сливом, а реакцией на него со стороны ФБК и полным бездействием по оповещению пострадавших.
Мне кажется, что Фонду пора выпустить новую статью с разоблачением о впустую потраченных финансах спецслужбами (или кем-то там ещё) на подкуп их бывшего сотрудника...
Судя по информации от Bing (смотри скрин в статье), дата индексации: 04.03.2020 для их админки кубернтейтс, уже тогда можно быдло просто погуглить и получить всё бесплатно...
Мне кажется, что некоторые комментарии к этой статье - основаны уже исключительно на вере, а вера - часто отметает факты и мешает включить голову.
Возможно, кто-то прямо сейчас теряет какие-то ориентиры в жизни на примере этой истории.
Приношу извинения, не распознал иронию в вашем комментарии, когда он пришёл мне в почту отдельно от всей ветки. :)
Только этот пост, к этой статье - никакого отношения, не имеет.
Но даже в статье по ссылке, факт того, что уволенный сотрудник всё ещё может авторизоваться в сервисах организации, говорит о многом с точки зрения ИБ в этой организации...
Дыра уровня: наша админка попала в выдачу гугла, всё-таки не требует какого-то сложного понимания, что информация была многократно скомпроментирована.
Про «автора» что «слил базу», в принципе не понял.
Учитывая что всё было уже во всех поисковиках проиндексировано, открыт доступ был оооочень долго, чтобы им могли воспользоваться «толпы», к сожалению. :/
Да все ошибаются…
Если нет офицера безопасности, что тестирует приложение или кого-то, кто выполняет эту роль, рано или поздно, будет специфический выстрел в ногу.
Может быть, ещё, что временно давали доступ, но забыли закрыть…
Старая добрая классика, что один админ настроил что-то неожиданным образом для другого…
Может быть, сломали при каком-нибудь переезде инфраструктуры…
Если бы был умысел и план, мы новость обсуждали не на профильном ресурсе, но может, я и не прав, это ИМХО.
Почему, те, кто борется за убеждения не нашли в себе смелости:
рассказать о проблеме?
хотя-бы предупредить пострадавших (есть контакты, можно было по ним сделать рассылку)?
Если бы им зарепортил о проблеме только один человек…
Ну и ниже в комментариях про «поищите правильно», уже указали.
Просто не все писали об этом статьи.
Самое грустное - это не слив, а реакция на него. В итоге ни публичного комментария, ни рассылки пострадавшим. В бизнесе, так уже делает любая шарашкина контора уже, а тут…
Короче, грустно. :/
Не факт.
Такие настройки могли сделать специально для внутренней сети, а контур «защитить» иным способом, а потом кто-то ошибся в другом месте.
А как эта аналогия вяжется с доступом к консоли управления сервиса, которая гуглилась прямо по домену, автор исследования, так и нашёл её.
И чтобы это в поиск попало, нужно было ничего не делать - пару недель.
Ну и оставим за скобками, что кубирнейтс даже из коробки, не даёт тебе так выстрелить себе в ногу, т.е. его ещё и поправили, чтобы допустить данную утечку.
Первое что полез проверять в своё время после смены интерфейса мобильного приложения — именно это, но тогда, всё ещё было нельзя.
А из опыта про дополнительные проверки, помню что при переводе крупных сумм, дополнительного фактора не было, но была блокировка счетов уже только постфактум (когда уже было сильно поздно, если-бы это были мошеннические действия и весьма бесполезно).
Из того же опыта помню как телефон компании где я работаю (а не мой личный телефон) из договора попал в системы как телефон для СМС-оповещения и несмотря на смену его в мобильном приложении, из-за этого не работали быстрые платежи по номеру телефона (два звонка в колл-центр, два визита в офис, чтобы разобраться и починит, возможно две или три внутренние заявки, уже не помню деталей) и вероятно не отработал в системах как нужно внутри. :)
Исходя из всего этого опыта (и не только с ВТБ, а практически с любым банком из топ-10), пока полагаюсь на старые добрые надёжные пару: логин/пароль и второй фактор в виде пуш-уведомления (в идеале).
В любом случае, рад, что меняетесь к лучшему!
Но когда можно в качестве пароля можно будет указать не только цифры?
И когда можно будет отказаться от авторизации по номеру карты в качестве логина?
Хотя-бы что-то из этого.
В мире, где перехватит SMS стоит X рублей, сводить всю авторизацию к одному фактору — SMS подтверждения…
Очень больно каждый раз вспоминать это при использовании сервисов от ВТБ.