Первая - человеческий фактор. То есть когда человек от обиды или желания наживы сливает то, к чему у него есть доступ. Проблема в том, что защита от этого - это полноценная организованная система с отдельными безопасниками, дорогими программными инструментами, регламентами и прочим, что малый бизнес просто не потянет. К тому же, даже это не гарант - так как обидится или бабок захотеть может сам безопасник, который за эту систему отвечает. Я как-то работал в компании у которой обязательным этапом найма было пройти детектор лжи, где в том числе были вопросы о сливах данных. Но даже это в итоге не гарант, так как и это обойти не так чтобы сложно. Еще проблема, что с такой системой часто сама разработка выходит медленнее и дороже, если решаются проблемы, которые завязаны на данные, а данных у тебя нет. Стартапы и малый бизнес такого просто не могут себе позволить.
Вторая причина - банально баги и недосмотр. Я когда кодить начинал, мечтал стать тру хакером и развивался в этой теме. В итоге в 15 лет я почти случайно, методом перебора параметров запроса, получил доступ к паспортным данным нескольких тысяч человек, регистрировавшихся на один фестиваль, включая сканы этих паспортов. Помню как стягивал это все несколько часов на модемном интернете. И проблема была в том что именно при определенном наборе параметров была возможна SQL инъекция. Не помню детали, но помню, что проблема была достаточно неочевидна, то есть винить создателей портала мне было сложно. Я тогда очканул, думал, что прям ща ко мне уже выехали и в итоге не стал с этим ничего делать и о баге написал организаторам. Но в целом - вот слив, возникший просто из-за косяка разработчика, который отследить было не так просто, даже если бы такая цель стояла.
И это я не рассматриваю варианты, когда утечка произошла из-за взлома, при чем это может быть взлом даже не самого портала, а хостинга, например. Но отвечать, по сути, будет компания, хотя ее вина только в том, что она выбрала не тот хостинг и не в то время. Да и в принципе возникает проблема человеческого фактора на стороне хранения данных также, на которую ты вообще повлиять никак не можешь. То есть единственный вариант этого избежать - на старте проекта делать свой дата центр, даже если у тебя 10 клиентов, или как? Бред же.
От самого факта сливов я тоже не в восторге, но грести всех под одну гребенку и применять по дефолту кнут за то, что контролировать в целом проблематично - такая себе перспективая для развития проектов.
Выше написал , что лучше рассматривать и оценивать каждый случай индивидуально, что должен суд делать и специальные эксперты консультанты по инжект безопасности в данном случае. И да, это дорого и затратно, но жизнь человека дороже. Прямо сейчас, со слитых данных обманывают какую-то бабулю, которая отдаст последние средства и будет вынуждена плохо питаться, что негативно скажется на ее имеющихся болезнях . Взрослому человеку позвонит мошенник и введёт в ступор, отвлечет от работы или вождения, а что может сделать маньяк я лучше буду молчать. Будет сидеть какой нибудь урод и 24/7 смотреть через экраны на твою жизнь, переписки, оплаты и счета , будет знать где тебя лучше всего найти и прочие последствия, за которые должен заплатить бизнес и обеспечить безопасность пользователей.
По сути, есть две главные причины утечек.
Первая - человеческий фактор. То есть когда человек от обиды или желания наживы сливает то, к чему у него есть доступ. Проблема в том, что защита от этого - это полноценная организованная система с отдельными безопасниками, дорогими программными инструментами, регламентами и прочим, что малый бизнес просто не потянет. К тому же, даже это не гарант - так как обидится или бабок захотеть может сам безопасник, который за эту систему отвечает. Я как-то работал в компании у которой обязательным этапом найма было пройти детектор лжи, где в том числе были вопросы о сливах данных. Но даже это в итоге не гарант, так как и это обойти не так чтобы сложно. Еще проблема, что с такой системой часто сама разработка выходит медленнее и дороже, если решаются проблемы, которые завязаны на данные, а данных у тебя нет. Стартапы и малый бизнес такого просто не могут себе позволить.
Вторая причина - банально баги и недосмотр. Я когда кодить начинал, мечтал стать тру хакером и развивался в этой теме. В итоге в 15 лет я почти случайно, методом перебора параметров запроса, получил доступ к паспортным данным нескольких тысяч человек, регистрировавшихся на один фестиваль, включая сканы этих паспортов. Помню как стягивал это все несколько часов на модемном интернете. И проблема была в том что именно при определенном наборе параметров была возможна SQL инъекция. Не помню детали, но помню, что проблема была достаточно неочевидна, то есть винить создателей портала мне было сложно. Я тогда очканул, думал, что прям ща ко мне уже выехали и в итоге не стал с этим ничего делать и о баге написал организаторам. Но в целом - вот слив, возникший просто из-за косяка разработчика, который отследить было не так просто, даже если бы такая цель стояла.
И это я не рассматриваю варианты, когда утечка произошла из-за взлома, при чем это может быть взлом даже не самого портала, а хостинга, например. Но отвечать, по сути, будет компания, хотя ее вина только в том, что она выбрала не тот хостинг и не в то время. Да и в принципе возникает проблема человеческого фактора на стороне хранения данных также, на которую ты вообще повлиять никак не можешь. То есть единственный вариант этого избежать - на старте проекта делать свой дата центр, даже если у тебя 10 клиентов, или как? Бред же.
От самого факта сливов я тоже не в восторге, но грести всех под одну гребенку и применять по дефолту кнут за то, что контролировать в целом проблематично - такая себе перспективая для развития проектов.
Выше написал , что лучше рассматривать и оценивать каждый случай индивидуально, что должен суд делать и специальные эксперты консультанты по инжект безопасности в данном случае. И да, это дорого и затратно, но жизнь человека дороже. Прямо сейчас, со слитых данных обманывают какую-то бабулю, которая отдаст последние средства и будет вынуждена плохо питаться, что негативно скажется на ее имеющихся болезнях . Взрослому человеку позвонит мошенник и введёт в ступор, отвлечет от работы или вождения, а что может сделать маньяк я лучше буду молчать. Будет сидеть какой нибудь урод и 24/7 смотреть через экраны на твою жизнь, переписки, оплаты и счета , будет знать где тебя лучше всего найти и прочие последствия, за которые должен заплатить бизнес и обеспечить безопасность пользователей.
Интересно, как детектор помогает против сливов. Сейчас ты честный и правильный. А завтра, что-нибудь случилось и все
Комментарий недоступен