В «Яндексе» рассказали об утечке данных 5 тысяч почтовых ящиков по вине сисадмина с высоким уровнем доступа Статьи редакции
Владельцам ящиков направили уведомление о смене пароля.
Во время внутреннего расследования «Яндекс» обнаружил, что сотрудник компании предоставлял несанкционированный доступ в почтовые ящики пользователей.
Это был один из трёх системных администраторов, обладавших правами доступа, необходимыми для выполнения рабочих задач по обеспечению технической поддержки сервиса, говорят в компании.
В результате действий сисадмина было скомпрометировано 4887 почтовых ящиков. Неавторизованный доступ в них уже заблокирован, а сотрудника уволят из компании, рассказали vc.ru в «Яндексе».
Компания планирует пересмотреть процессы работы сотрудников, обладающих административными правами такого уровня доступа. «Яндекс» также обратилась в правоохранительные органы, детали обращения в компании не раскрывают.
Вот это да..."Лучшие работают с нами" - говорили они)
Комментарий недоступен
Чтобы таких ошибок не случалось, человечество придумало бюрократию и поэтапное внедрение. Несколько согласований, CI/CD во всей красе, распределённые уровни доступа и прочие вещи для безопасности
...и всё это всё равно никогда не обеспечит стопроцентную защиту от разного рода инцидентов
Каков шанс, что компания, основанная в 2000 году (21 год назад), с обратом в 175 миллиардов, с почти 10 000 сотрудников в штате, смогла допустить такую оплошность?
1 к 1000? 1 к 20000?
Я поясню свою мысль: ошибки случаются даже у больших компаний, вопрос в том как на это реагирует компания. Яндекс не извинялся, не делал пресс-релиз, не объявлял расследование или аудит. Яндекс сказал: мы нашли проблему, мы ее исправили а виноватого уволили, ну и что, что у вас в почте реклама выглядит как непрочитанное письмо. Компания такого масштаба и уровня должна по-другому реагировать на такие проблемы. «Должна» потому что она позиционирует себя как главный IT-гигант СНГ, при этом когда дело доходит до ответственности, то Яндекс это один из трёх сисадминов с рут-доступом, которого мы уволили и проблема решилась и больше не будем так
Эпичный комментарий) Вот так трижды соврать, не моргнув глазом, на серьёзных щщах — это нужно еще постараться.
Читаем пресс-релиз Яндекса и загибаем пальцы:
https://yandex.ru/company/press_releases/2021/2021-02-12
1. Яндекс сделал пресс-релиз
2. Яндекс извинился
3. Яндекс не только "объявил" расследование, но уже и провел это расследование
4. Бонусом: рассказал, какие шаги будут предприняты, чтобы избежать таких случаев в будущем
Не соврал, а обосрался :)
Приношу извинения
За такое надо платить или дать какие-то льготы пользователям за моральный ущерб.
)) ты мне напомнил малообразованных негров в штатах, которые на фоне всей этой BLMщины абсолютно искренне ждут что вот-вот белые люди начнут им платить "контрибуцию" за то, что их пра-пра-пра-пра-деды были рабами. Это очень смешно, почти так же смешно как твой наивный комментируй про "плотите мне за моральный ущерб, я очень разолвновался"
Хоть к 1 к миллиарду, рано или поздно произойдёт с любой компанией
Получается, что важную информацию не надо хранить в ящике.
И затраты на внедрение всех этих прекрасных практик могут или не отбить возможный ущерб или привезти к невозможности разработки продукта за ограниченное время. Конкуренты не будут ждать пока вы все протестируете и согласуете.
Комментарий недоступен
Не может при правильной организации процесса и шифровании. А так получается кто угодно в яндексе имеет доступ
Вы ведь можете привести примеры глобальных организаций где такого быть «не может»?
Центробанк например
https://www.google.ru/amp/s/m.lenta.ru/news/2005/03/30/pirates/amp/
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Не думаю что бы именно под запрос судейской системы был доступ у человека. Зачем держать именно для этого? Были свои задачи по организации работы ящиков и доступ думаю как раз и был у него
Не со всеми. Даже у мейла таких сливов не было, насколько я помню.