В «Яндексе» рассказали об утечке данных 5 тысяч почтовых ящиков по вине сисадмина с высоким уровнем доступа Статьи редакции

- с логикой согласен, с оценкой нет: "поругали" - почему смягчаете? в тексте - "уволили"; "починили" - опять смягчаете, в тексте "планируют пересмотреть". Тут вопросы: почему эти процессы раньше никто не анализировал, а если анализировал, то какое наказание положено тому сотруднику ИБ или аналитику который эти процессы разработал? Почему одна из крупнейших на российском рынке IT компаний, которая хорошо знает что такое утечки данных, зашевелилась только тогда когда эта утечка произошла?

Никакое не положено. Делать выводы ретраспективно очень удобно, если ты не тот человек, который все это дело проектировал.

Потому, что предусмотреть все векторы атаки невозможно. Вы думаете, что чувак там сидел и пароли из базы копировал? Тем более как защититься от человека, который по должностным обязанностям администрировать базы? Писать заявление на имя начальника на выполнение каждой команды?

- ой не смешите. Все аспекты невозможно, хотя люди давно над этим работают и кому-то по должностным обязанностям положено знать слова - "инсайдерская (внутренняя) угроза", но то что чувак имеющий доступ может им воспользоваться в дурных целях - это и глупышу понятно.

- да, обычно именно ретроспективно лишают премии тех, кто план не выполнил или еще как то проштрафился. Хотя мы же говорим об IT!, о Яндексе!, о крутых алгоритмах!, об искусственном интеллекте который картины рисует! - тут наверное походы другие, плохишей можно прогнозировать и заранее штрафовать.

- а Вы думаете он их запоминал и как Джони-мнемоник в башке уносил? Как думаете зачем в некоторых конторах USB-порты не работают и трафик сканится? Ну и другие способы контроля существуют (специалисты знают)

Нет, ни в одной области нельзя наказывать людей за то, что они не сделали по причине того, что не смогли предусмотреть все варианты. Это относится и к IT и к заборостроительной компании. Наказание приводит к страху потери зарплаты/премии/работы, что в целом ведет к консервации компании и последующему затуханию вообще всех процессов. Хотите второй Сбер - пожалуйста.
Премий нельзя лишать. Премию нужно выдавать в зависимости от результатов. Опять же, человек не будет стермиться сделать что-то лучше, если премия у него и так в кармане.

Пароли никто не хранит в открытом виде, тем более помимо пароля есть еще 2FA. Это самый бессмысленный способ атаки. Скорее всего человек уводил какие-то идентификаторы, которые идентифицировали текущую авторизованную сессию, либо генерировал новые сессии.

Потому, что они не осили условный osquery? Уже даже самый ленивый после релиза от FB себе внедрил его. Ну и DPI не отменяет факта передачи, он используется как мониторинг активности.

Видимо вы вообще никогда с ИБ не сталкивались и не понимаете что используется для обнаружения атак, а что для предотвращения. И что риски для разных групп по-разному оцениваются.

Простите, что вмешиваюсь в беседы взрослых о высоком, но мне вот прям вчера домру при подключении припёр данные для входа в лк на листочке. А я автоматически сгенерированный пароль меняла при первом входе в лк, до подключения. Вот они мне мной установленный типа постоянный пароль на листочке и выдали. Мне показалось это дичь, а поддержка ответила, что всё норм, все безопасно, это для удобства. 
Если не затруднит, дайте профессиональный комментарий, пожалуйста. 

Ну, если конечно идеализировать весь процесс вкратце, потому что ручаться мы не можем, как там всё на самом деле - есть определенный сервер, который хранит очередь адресов на подключение, где пароли хранятся в незашифрованном виде, откуда потом данные удаляются после подключения. А есть уже сервер с базой данных, где пароль хранится в зашифрованном виде, для проверки данных во время авторизации в ЛК. 

При восстановлении пароля они шлют старый пароль, а не генерируют новый. Значит хранятся постоянные пароли в лучшем случае обратимо зашифрованными, не хэшами. 
Да и описанный "идеальный" вариант чёт не выглядит нормальным, пока хранит и тащит на листочке в руках техника установленный юзером, а не только автоматически сгенерированный временный пароль. 
В моих представлениях, система это как-то все же различать должна. Хз, может мои представления слишком идеальны? Но мне б почему-то хотелось, чтоб установленный мной пароль нельзя было восстановить из значения, хранящегося в базе, про "притащить на листочке и обвести заботливой ручкой техника" вообще молчу.