Hejto.pl
Hejto
/Wpisy
/Dyskusja
Kurama
Kurama
Gwiazdor
w Hydepark

No i zdarzył się ten dzień..


Zajmuję się programowaniem, głównie PHP, trochę baz danych czasami liznę front. Mój stały zleceniodawca jako że był zadowolony z jakości mojej pracy i kompleksowego podejścia przekazał kontakt do mnie do pewnej instytucji publicznej, która zajmuje się edukacją.


Szybkie rozpoznanie terenu, sprawdzenie paru rzeczy trochę automatami, trochę ręcznie i zapaliło się wszystko na czerwono


  • publicznie dostępne dumpy SQL

  • brak aktualizacji od ponad 5 lat

  • Lista cve dłuższa, niz niejeden wiersz

  • publicznie dostępne configi serwera

  • najciekawsza była prośba o implementację integracji pomimo, że była wykonana, więc nie wiadomo, co kto zbieral i po co

  • Itd...


W zasadzie każdy mógł zrobić wszystko łącznie z dropem całej bazy danych


W takim przypadku należy:


a) zgłosić sprawę do uodo


b) na policję


c) do prokuratury


D) do każdego z publiczną kopią


A wy jak podchodzicie do security w swoich projektach? Spotkaliście takie kwiatki?

Komentarze (2)

pescyn
pescyn

mają jakiegoś swojego jodę albo innego abiego? wiedzą w ogóle co się stanie jak sprawa się rypnie albo dane wrażliwe pójdą w świat a raczej wypłyną

Kurama
Kurama

@pescyn admin tak wszystko zrobił dbając o "bezpieczeństwo" , ochrona danych z mojego doświadczenia jest traktowana dość po macoszemu, czego nie rozumiem, ale z drugiej strony co taki pan informatyk za 4k jest w stanie zrobić mając zlecenia od podpięcia myszki a skończywszy na robieniu katalogu w flashu XD

Zaloguj się aby komentować