В «Яндексе» рассказали об утечке данных 5 тысяч почтовых ящиков по вине сисадмина с высоким уровнем доступа Статьи редакции
Владельцам ящиков направили уведомление о смене пароля.
Во время внутреннего расследования «Яндекс» обнаружил, что сотрудник компании предоставлял несанкционированный доступ в почтовые ящики пользователей.
Это был один из трёх системных администраторов, обладавших правами доступа, необходимыми для выполнения рабочих задач по обеспечению технической поддержки сервиса, говорят в компании.
В результате действий сисадмина было скомпрометировано 4887 почтовых ящиков. Неавторизованный доступ в них уже заблокирован, а сотрудника уволят из компании, рассказали vc.ru в «Яндексе».
Компания планирует пересмотреть процессы работы сотрудников, обладающих административными правами такого уровня доступа. «Яндекс» также обратилась в правоохранительные органы, детали обращения в компании не раскрывают.
Вот это да..."Лучшие работают с нами" - говорили они)
Комментарий недоступен
Чтобы таких ошибок не случалось, человечество придумало бюрократию и поэтапное внедрение. Несколько согласований, CI/CD во всей красе, распределённые уровни доступа и прочие вещи для безопасности
...и всё это всё равно никогда не обеспечит стопроцентную защиту от разного рода инцидентов
Каков шанс, что компания, основанная в 2000 году (21 год назад), с обратом в 175 миллиардов, с почти 10 000 сотрудников в штате, смогла допустить такую оплошность?
1 к 1000? 1 к 20000?
Я поясню свою мысль: ошибки случаются даже у больших компаний, вопрос в том как на это реагирует компания. Яндекс не извинялся, не делал пресс-релиз, не объявлял расследование или аудит. Яндекс сказал: мы нашли проблему, мы ее исправили а виноватого уволили, ну и что, что у вас в почте реклама выглядит как непрочитанное письмо. Компания такого масштаба и уровня должна по-другому реагировать на такие проблемы. «Должна» потому что она позиционирует себя как главный IT-гигант СНГ, при этом когда дело доходит до ответственности, то Яндекс это один из трёх сисадминов с рут-доступом, которого мы уволили и проблема решилась и больше не будем так
Эпичный комментарий) Вот так трижды соврать, не моргнув глазом, на серьёзных щщах — это нужно еще постараться.
Читаем пресс-релиз Яндекса и загибаем пальцы:
https://yandex.ru/company/press_releases/2021/2021-02-12
1. Яндекс сделал пресс-релиз
2. Яндекс извинился
3. Яндекс не только "объявил" расследование, но уже и провел это расследование
4. Бонусом: рассказал, какие шаги будут предприняты, чтобы избежать таких случаев в будущем
Не соврал, а обосрался :)
Приношу извинения