No i zdarzył się ten dzień..
Zajmuję się programowaniem, głównie PHP, trochę baz danych czasami liznę front. Mój stały zleceniodawca jako że był zadowolony z jakości mojej pracy i kompleksowego podejścia przekazał kontakt do mnie do pewnej instytucji publicznej, która zajmuje się edukacją.
Szybkie rozpoznanie terenu, sprawdzenie paru rzeczy trochę automatami, trochę ręcznie i zapaliło się wszystko na czerwono
  • publicznie dostępne dumpy SQL
  • brak aktualizacji od ponad 5 lat
  • Lista cve dłuższa, niz niejeden wiersz
  • publicznie dostępne configi serwera
  • najciekawsza była prośba o implementację integracji pomimo, że była wykonana, więc nie wiadomo, co kto zbieral i po co
  • Itd...
W zasadzie każdy mógł zrobić wszystko łącznie z dropem całej bazy danych
W takim przypadku należy:
a) zgłosić sprawę do uodo
b) na policję
c) do prokuratury
D) do każdego z publiczną kopią
A wy jak podchodzicie do security w swoich projektach? Spotkaliście takie kwiatki?
pescyn

mają jakiegoś swojego jodę albo innego abiego? wiedzą w ogóle co się stanie jak sprawa się rypnie albo dane wrażliwe pójdą w świat a raczej wypłyną

Kurama

@pescyn admin tak wszystko zrobił dbając o "bezpieczeństwo" , ochrona danych z mojego doświadczenia jest traktowana dość po macoszemu, czego nie rozumiem, ale z drugiej strony co taki pan informatyk za 4k jest w stanie zrobić mając zlecenia od podpięcia myszki a skończywszy na robieniu katalogu w flashu XD

Zaloguj się aby komentować