10:49
16/2/2010

Sam nie wiem co gorsze ;-) Niedawno informowaliśmy o tym, że dane Polaków korzystających z Moneybookers w niewyjaśniony dotąd sposób wyciekły do spamerów. Dziś podobny problem ma paliwowy potentat, firma Shell. Dane 170 000 pracowników Shella właśnie zostały przekazane zaglorzałym przeciwnikom tej firmy. Za wyciekiem najprawdopodobniej stoi były, niezadowolony pracownik firmy.

Hej ho, hej ho, bazę by się przekazało

Przekazana m.in. Greenpeace’owi baza zwiera nazwiska, numery telefonów i szczegóły umów. Shell twierdzi, że wyciek nie stanowi żadnego ryzyka, ale pomimo to, rozpoczął śledztwo.

A dlaczego o tym piszemy, skoro na Shellu nie tankujemy? Bo zauważyliśmy pewien trend. Coraz więcej danych wycieka, coraz częściej dzięki byłym pracownikom. Firmy mają dwa wyjścia — albo zwiększyć bezpieczeństwo przechowywania informacji w wewnętrznych systemach i ograniczyć do nich dostęp zwykłym pracownikom albo lepiej płacić, by na pokuszenie nie wodzić…

Komu płacić?

Policzmy, 100 tys. dolarów podniesie bezpieczeństwo składowania danych w bazie. To samo 100 tys. jednorazowo zamknie usta tylko 10 pracownikom, którzy najprawdopodobniej, zgodnie z ludzką naturą, po pół roku przyjdą po więcej. Plus bazy danych: ona nie poprosi.

P.S. Zwracajcie uwagę na to co i jak składujecie w swojej bazie. Bądźcie lepsi od serwisu Gratka.pl i wielu innych, które trzymają hasła w plaintekście. Dzisiejszą przerwę na lunch wykorzystajcie na wizualizacje kataklizmu pt. “co by było, gdyby baza danych, którą się opiekuje wyciekła”. Jeśli uważacie, że nic — podeślijcie mi dumpa :>

Przeczytaj także:



8 komentarzy

Dodaj komentarz
  1. + opcji z pracownikiem? Może to TOBIE będą kiedyś zamykać usta kasa ;P

    A z pracownikami majacymi dostep do wrażych danych robi się tak, że w razie zwolnienia przychodzi szef i daje 10min na spakowanie biurka. Pracownik na takim stanowisku powinien się z tym liczyć. Potem można oczywiscie takiego pracownika zaprosić na pożegnalną kolację, jak szef jest człowiekiem, a nie taboretem, ale sama procedura ew zwolnienia/przeniesienia z takie stanowiska powinna tak wyglądać.

    Nie będę wspominał (o! a jednak wspominam ;), że żaden pracownik nie powinien przechowywać wiedzy operacyjnej tylko w swojej głowie ;)

  2. Zastanawiam sie, czy opisac cala procedure “bezpiecznego” zwalaniania pracownika, ale zawsze w takich chwilach nawiedza mnie ten jeden, jakze istotny argument:

    Prawdziwie zle charakterki sa zawsze krok przed toba

    Smuta prawda jest taka, ze wiekszosc obecnie pracujacych i niezagrozonych zwolnieniem pracownikow trzyma w zanadrzu kopie baz klientow i inne krytyczne informacje. On juz sa skopiowane. Cos jak polisa ubezpieczeniowa…

  3. Niestety, widziałem przypadki, że w pewnej firmie nie odcinano nawet uprawnień dostępu do firmowej sieci (po WiFi) zwalnianym pracownikom. Nawet takim z którymi rozstawano się w gniewie i z pogróżkami. A w sumie to był dostęp zarazem do sieci drugiej firmy tego samego właściciela…

  4. 1) Zawsze jest szansa, że pracownik jest idealistą w pełni oddanym firmie i nie ma takiej kopii :)
    2) Nawet jesli ją ma to nie dajemu mu czasu na kolejne nieporządane działania.

    Prawdziwym problemem jest to, jak zabezpieczyć się przed pracownikiem który jest tak nieszczęśliwy, że w najbliższym czasie i tak sam się zwolni. Zwykle nikt nic nie podejrzewa, a człowiek może działać…

    Chyba najlepszym wyjściem jest po prostu utrzymywanie dobrej atmosfery w pracy i nie przeginanie z procedurami świadczącymi o braku zaufania do pracowników. W takiej można pracować, a nie myśleć jak się zabezpieczyć przed pracodawcą ;)

  5. Jest jeszcze inna możliwość.Każdy odczyt danych a przede wszystkim ich kopiowane powinno być odnotowane w systemie.W przypadku wycieku łatwo dojść co osoba odpowiedzialna za bezpieczeństwo robiła z danymi.W razie wątpliwości wzywa się delikwenta i niech spowiada się po co kopiował tego i tego dnia informacje.Na całkowitą lojalność bym raczej nie liczył:)

  6. Ostatnio wszyscy mają problemy z wyciekiem danych ;)
    http://tnij.org/fv6q

  7. Gadu-Gadu (po stronie serwera) też trzyma hasła w plaintekście.

  8. To może inaczej: kto nie trzyma? Bo z informacji na przestrzeni ostatnich paru miesięcy to połowa kont na znanych serwisach powinna zostać zhakowana.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: