[Techinfo] kréta

Bugledits Péter bugledits.peter at vasvill.hu
2022. Nov. 11., P, 09:27:29 CET


Sziasztok!

2022. 11. 11. 8:59 keltezéssel, Veres Sándor írta:
> Egy ilyen adatszivárgás estén (ahol nagyon nagy valószínűséggel nem 
> csak a forráskódok, hanem a teljes adatbázisok (remélhetőleg csak 
> jelszó hash-ek) kerültek ki a cégtől), nem kellene legalább a 
> rendszerben lévő vezető beosztású és/vagy adminisztrátor szerepkörű 
> felhasználókat értesíteni, hogy változtassanak jelszót?
>
De, kellene. Illetve: kellett volna már akkor, amikor az incidens 
történt. Sőt, ameddig a megfelelő biztonsági intézkedéseket meg nem 
teszik, az egész rendszert le kellett volna állítani. Tüzetesen át 
kellett volna vizsgálni (erre specializálódott szakemberrekkel át 
kellett volna vizsgáltatni), hogy vannak-e sebezhetőségek a rendszerben, 
és miután ezeket befoltozták, azután szabadott volna csak újraindítani, 
és egyúttal felkérni MINDEN tagot a jelszóváltoztatásra.
Az, hogy a projektvezető simán bedőlt egy kamu e-mailnek, az is egy elég 
érdekes dolog.

Üdvözlettel:
P.




További információk a(z) Techinfo levelezőlistáról