Атака на RuTube: в чём опасность для пользователей и разработчиков

Атака на RuTube: в чём опасность для пользователей и разработчиков

В результате атаки на RuTube было поражено более 75% баз и инфраструктуры основной версии и 90% резервных копий и кластеров для восстановления баз данных. Обычно на такой случай предусмотрены бэкапы, но в конкретной ситуации проблема, видимо, в том, что в сервисе до сих пор не понимают, имеет ли по-прежнему хакер доступ к системе или уже нет, писало The Village. Также был удалён весь код и, возможно, украден.

Тот факт, что в команде RuTube отсутствует понимание, есть ли до сих пор доступ к ресурсу у злоумышленника, демонстрирует наличие организационных проблем у персонала. Очевидно, что у них нет четкого перечня лиц, имеющих доступ, а также отсутствует матрица доступа, что не позволяет гарантированно устранить последствия компрометации доступов. Удаление и кража кода представляют собой большую опасность, прежде всего, для репутации сервиса, поскольку ценность самого кода неизмеримо меньше, чем расходы на инфраструктуру и PR площадки. Ну а единственная серьезная угроза состоит в том, что в коде могут присутствовать и другие уязвимости, которыми пока не воспользовались злоумышленники. Ведь полноценный анализ безопасности ресурса (хотя бы по ГОСТ/ISO 15408) наверняка не проводился, публично нет даже информации о проведении его пентестов. Кроме того, если бы подобные работы имели место, то наверняка избавили бы ресурс от наличия таких серьезных проблем безопасности, которыми воспользовались хакеры. Ну а для обычных пользователей опасность взлома чревата утечкой персональных данных и, потенциально, снижением уровня ценности продвижения видео.

Источник: Tproger

Сообщение Атака на RuTube: в чём опасность для пользователей и разработчиков появились сначала на Царев Евгений.

Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации