Архив метки: Leakage

Прочитал пост Бизонов по поводу утечки

Добавить комментарий

Прочитал пост Бизонов по поводу утечки. Познавательно. Есть такой популярный слоган социальной рекламы: "А вы знаете где сейчас ваши дети?" В том смысле, что не оставляйте детей без присмотра, а иначе быть беде. Перефразируя, можно сказать: "А вы знаете где сейчас ваши бекапы с чувствительными данными?" Уж не на внешнем ли ftp-сервере, доступ к которому можно получить через админку хостинг-правайдера. 🙂 Т.е. от слива и скандала отделяет только логин-пароль к этой админке (видимо без второго фактора), который пока непонятно как получили злоумышленники. Да это уже и не так важно, очевидно что с базовым ИБ/IT-процессом, с бэкапами, случилась беда.

Хотя через уязвимость Битрикса было бы интереснее конечно. 😇

Про утечки и Терминатора

Добавить комментарий

Про утечки и Терминатора

Про утечки и Терминатора. На персональном уровне я, конечно, отлично понимаю почему у многих подгорает из-за этих утечек. У меня тоже подгорает будь здоров. 🙂🔥

Вспоминается первый Терминатор, который искал Сару Коннор по адресам из телефонного справочника. С намерениями совершенно не дружественными. Однако у Терминатора была только связка имени/фамилии и города, по которой он получил список возможных адресов для визитов. Хоть он и не знал какая Сара Коннор та самая, данных для решения задачи ему вполне хватило. А у современных злоумышленников, благодаря множеству утечек и таких удобных ключевых полей как номер мобильного телефона и личный email, есть очень подробное досье на очень многих людей. А теперь, возможно, это досье ещё и с доп. флажком "российский безопасник". Если телефонный справочник с фактическим адресом проживания в свободном доступе выглядит как сомнительная идея, то результаты утечек последних лет создали публичный набор данных на несколько порядков опаснее. Дело только за удобной агрегацией, а она, естественно, уже давно есть у тех, кому это надо.

Самое главное, что с этим ничего особенно не поделаешь. Однажды утекшее конфиденциальным больше не станет. И никакой штраф наложенный на организацию допустившую утечку, компенсация от неё или даже полная ликвидация этой организации этого не изменят. Остаётся только учесть возросшие риски и жить дальше. 🌝

Про наказания за утечки

2 комментария

Про наказания за утечки. Каждый раз, когда происходит громкая утечка персональных данных поднимается волна возмущения и призывов ужесточить наказание за это. Я не сторонник ужесточения наказания и вот почему.

1. Какие ваши доказательства? Возьмём последний кейс с Бизонами. Что мы видим? Пара скриншотов, на которых фрагменты ~50 записей. Само по себе ни о чем не говорит. Можно за пару часов по открытым данным нарисовать такие скрины и будет вполне убедительно. Даже если выложат полный дамп, где доказательства, что это не генеренка по данным из других утечек? Даже если доказано, что утечка имела место, где доказательства, что утечка произошла из конкретной организации, а не от партнёров? В общем, доказательство факта утечки это сложная процедура, это не "в одном анонимном телеграмм-канале написали". Если жёстко наказывать по сообщениям в телеге, то подставить можно будет любую организацию.

2. Вы точно хотите жёсткого наказания? Допустим доказали факт утечки из конкретной организации. В качестве наказания предлагается использовать оборотные штрафы, которые должны существенно повлиять на работу компании. Дескать тогда будут бояться и до утечек не доводить. Ну были, например, масштабные утечки из Яндекса (Еды) или СДЕКа. Вот вы правда считаете, что нам, как российскому обществу, будет лучше, если загнётся Яндекс или СДЕК? У нас много таких компаний? Нам без них лучше будет? Или если забрать у этих компаний значительную часть кэша, там уровень безопасности повысится? Вряд ли. Или, возвращаясь к Бизонам, это одна из ТОП5 ИБ компаний в РФ, если по ней ударят оборотными штрафами, значит злоумышленники, которые выполнили атаку, добились своего. Мы прям точно-точно этого хотим?

3. За каждой утечкой кроется проблема в базовых ИБ процессах, например забыли обновить уязвимый плагин в CMS-ке (и это наш любимый Vul­ner­a­bil­i­ty Man­age­ment) или DLP не поймал инсайдера. Не стоит ли в таком случае вместо угроз мега-штрафами уделять больше усилий регуляторному контролю за этими базовыми ИБ процессами в организациях? Да, это сложнее, но цель ведь не в том, чтобы посильнее и без того пострадавшие российские компании наказать, а чтобы таких утечек стало меньше.

Я обычно утечки не комментирую, но последняя бизоновская забавная

Добавить комментарий

Я обычно утечки не комментирую, но последняя бизоновская забавная. Судя по скриншотам, можно предположить, что были слиты данные специалистов-безопасников, которые ходили на оффлайн и онлайн мероприятия организованные BI.ZONE. В частности на "Q&A‑сессия: указ № 250 о дополнительных мерах кибербезопасности". 🤷‍♂️ Видно имя, фамилию, место работы, рабочий email, телефон, хеш пароля.

Яндекс проведет Yet Another Security Meetup на следующей неделе в четверг

1 комментарий

Яндекс проведет Yet Another Security Meetup на следующей неделе в четверг

Яндекс проведет Yet Anoth­er Secu­ri­ty Meet­up на следующей неделе в четверг. Мероприятие похоже планировалось заранее, но на фоне недавних новостей получилось иронично. 🙂

"После докладов мы проведём круглый стол про фокусы и вызовы для информационной безопасности в 2023 году."

Фокус с 44.7 ГБ слитых исходников в среду был и правда эффектный. 🙂 Хотя разумеется от такого никто на 100% не застрахован. Нужно делать выводы, учиться на ошибках. Причем желательно чужих.

Про борьбу с утечками в программе мероприятия ничего не видно, но вряд ли эту тему проигнорируют. Из заявленных наиболее интересным кажется доклад "Организация привилегированного доступа к Lin­ux-инфраструктуре" от команды Wild­ber­ries.

Есть смысл зарегаться и послушать.

upd. 30.01 Программу мероприятия подкрутили, круглый стол убрали. А жаль. 🙂 Но остальные доклады на месте.