Евгения Сафонова

Ваш пароль скомпрометирован

Хакерская группировка OurMine взломала аккаунт Марка Цукерберга и получила доступ к его соцсетям. Но справился бы даже школьник.

Клиентская база одного из наших клиентов ушла к конкурентам. Виновного найти не удалось.

Что в этих событиях общего? Отношение к информационной безопасности.

 

Цукерберг совершил один из худших проступков с точки зрения безопасности в интернете — повторно использовал пароль на нескольких ресурсах. Дело усугубил и сам пароль «dadada» — лучшего подарка хакерам сложно было придумать.

Помогая клиенту разобраться с ситуацией, мы увидели, как много ошибок совершают люди, не относясь серьезно к вопросам доступа к личной или важной для бизнеса информации.

Мы, как разработчики, работаем над безопасностью наших продуктов. В арсенале защита от инъекций постороннего кода, защищенное соединение, хранение паролей в зашифрованном виде и прочие методы. Но мы не способны защитить сайт от человеческого фактора. Тут каждый сам себе цукерберг.

Поделился по-братски

Одна из причин, почему виновного в сливе данных не удалось найти — все сотрудники, ответственные за работу с сайтом, заходили в систему управления сайтом под одним и те же аккаунтом. Т.е. логин и пароль раздали 10 разным людям, все они наполняли сайт, обрабатывали заказы, мониторили информацию о клиентах. Когда возник вопрос, кто конкретно и когда заходил на сайт, ответить на него не удалось — система логирования действий пользователей показала, что работал один пользователь, и да, с одного IP-адреса, т.к. все 10 сотрудников работают в одном офисе.

Еще одно слабое место — общий почтовый ящик, на который приходит информация о новых заказах. Обычно с этого ящика письма пересылаются на личные почтовые ящики сотрудников. Когда сотрудник увольняется, часто забывают удалить его email из списка рассылки. В результате бывший сотрудник продолжает получать информацию о клиентах и может ей воспользоваться во вред компании, особенно, если увольнение прошло с конфликтом.

Как правильно?

Каждый сотрудник, который работает с корпоративной информацией, должен иметь свой доступ в систему. Процедура создания доступа должна исключать ситуацию, когда один сотрудник создает пароль другому сотруднику и пересылает его по email, при помощи мессенджеров, на бумажке, Почтой России и тому подобное. В нашей системе управления сайтом inDynamic, новый пользователь заполняет форму регистрации и самостоятельно создает себе пароль, а администратор сайта только активирует его аккаунт.

Вам не положено

Еще одна проблема — все сотрудники имеют доступ ко всей информации, не зависимо от их обязанностей. Если у вас отдел маркетинга занимается размещением акций на сайте, в панели управления сайтом он должен видеть только их. Ответственный за номенклатуру, не должен иметь доступ к зарегистрированным клиентам или их заказам. Если у вас это не так, то вы рискуете.

Эволюция — главный враг безопасности

После сотрудников компании мы занялись клиентским доступами в личный кабинет сайта. Тут тоже все оказалось не безоблачно. Треть паролей пользователей (а их более пяти тысяч) входили в ТОП-25 самых популярных паролей мира! Оправдать такое безобразие может только теория эволюции. В рамках нее считается, что человек в ходе естественного отбора получил очень большой мозг, требующий много энергетических затрат на поддержку, в связи с чем мы по умолчанию выбираем путь наименьшего сопротивления и экономим силы на мозговой деятельности. Но эволюция не предугадала интернет, и потому мы наблюдаем все эти «12345», «password» и «qwerty», а потом рвем на себе волосы, потеряв доступ к своим почтовым ящикам, скайпам, вконтактами и пр.

Как правильно?

Базовых правил безопасности немного, и о них говорят очень часто, но всё равно их игнорируют.

  • Пароль должен быть длинным (более 8 символов);
  • Пароль должен быть сложным (с буквами, цифрами и спецсимволами);
  • Нельзя использовать один пароль для разных ресурсов;
  • Нельзя передавать пароли по почте, через мессенджеры и пр.

Выводы

Человеку свойственно быть оптимистом. Мы редко задумываемся о последствиях наших действий, полагаясь на везение. Но есть сферы, в которых подобное легкомыслие чревато большими потерями. Безопасность в интернете — одна из них. Безопасное обращение с информацией не требует больших усилий, но сильно снижает финансовые и репутационные риски. В конце концов, уходя из квартиры никто же не оставляет дверь открытой, даже если оттуда нечего украсть.

Rambler's Top100