[Techinfo] kréta
Bugledits Péter
bugledits.peter at vasvill.hu
2022. Nov. 11., P, 09:27:29 CET
Sziasztok!
2022. 11. 11. 8:59 keltezéssel, Veres Sándor írta:
> Egy ilyen adatszivárgás estén (ahol nagyon nagy valószínűséggel nem
> csak a forráskódok, hanem a teljes adatbázisok (remélhetőleg csak
> jelszó hash-ek) kerültek ki a cégtől), nem kellene legalább a
> rendszerben lévő vezető beosztású és/vagy adminisztrátor szerepkörű
> felhasználókat értesíteni, hogy változtassanak jelszót?
>
De, kellene. Illetve: kellett volna már akkor, amikor az incidens
történt. Sőt, ameddig a megfelelő biztonsági intézkedéseket meg nem
teszik, az egész rendszert le kellett volna állítani. Tüzetesen át
kellett volna vizsgálni (erre specializálódott szakemberrekkel át
kellett volna vizsgáltatni), hogy vannak-e sebezhetőségek a rendszerben,
és miután ezeket befoltozták, azután szabadott volna csak újraindítani,
és egyúttal felkérni MINDEN tagot a jelszóváltoztatásra.
Az, hogy a projektvezető simán bedőlt egy kamu e-mailnek, az is egy elég
érdekes dolog.
Üdvözlettel:
P.
További információk a(z) Techinfo levelezőlistáról