Атака на RuTube: в чём опасность для пользователей и разработчиков
В результате атаки на RuTube было поражено более 75% баз и инфраструктуры основной версии и 90% резервных копий и кластеров для восстановления баз данных.
Обычно на такой случай предусмотрены бэкапы, но в конкретной ситуации проблема, видимо, в том, что в сервисе до сих пор не понимают, имеет ли по-прежнему хакер доступ к системе или уже нет, писало The Village.
Также был удалён весь код и, возможно, украден.
В чём кроется опасность этого взлома для обычных пользователей? В чём ошибка разработчиков, которая смогла привести к взлому? Какие риски несут разработчики RuTube?
Екатерина Старостина
Директор по развитию бизнеса компании «Орлан»
Первичная ошибка свойственна не только команде Рутуба, а практически всем разработчикам нашей страны. Мы с очень большим трудом перенимаем лучшие практики мирового сообщества в сфере разработки, доверия к иностранному ПО всегда было больше, но практически никто не задумывается по какой причине.
Весь секрет заключается в том, что разработка должна включать в себя безопасность, сейчас понемногу набирает популярность именно безопасная разработка, которая в свою очередь включает в себя процессы тестирования на каждом этапе для выявления уязвимостей до начала эксплуатации, что в свою очередь сокращает дальнейшие издержки или полное закрытие продукта.
Так же огромная ошибка отдавать весь процесс безопасности в руки одной организации, без альтернативного мнения риски, пропустить или намеренно закрыть глаза на какую либо ошибку, практически неизбежны.
У пользователей опасности разные, так как угроз раскрытия личных данных может повлечь за собой необратимые последствия.
Естественно доверие к сервису упало до критического уровня, чтобы исправить сложившуюся ситуацию команде Рутуба необходимо приложить все усилия по минимизации последствий и пересмотреть подход к защите данных и своего сервиса.
Управляющий RTM Group, эксперт в области кибербезопасности и права
Тот факт, что в команде RuTube отсутствует понимания, есть ли до сих пор доступ к ресурсу у злоумышленника, демонстрирует наличие организационных проблем у персонала.
Очевидно, что у них нет четкого перечня лиц, имеющих доступ, а также отсутствует матрица доступа, что не позволяет гарантированно устранить последствия компрометации доступов.
Удаление и кража кода представляют собой большую опасность, прежде всего, для репутации сервиса, поскольку ценность самого кода неизмеримо меньше, чем расходы на инфраструктуру и PR площадки.
Ну а единственная серьезная угроза состоит в том, что в коде могут присутствовать и другие уязвимости, которыми пока не воспользовались злоумышленники. Ведь полноценный анализ безопасности ресурса (хотя бы по ГОСТ/ISO 15408) наверняка не проводился, публично нет даже информации о проведении его пентестов.
Кроме того, если бы подобные работы имели место, то наверняка избавили бы ресурс от наличия таких серьезных проблем безопасности, которыми воспользовались хакеры.
Ну а для обычных пользователей опасность взлома чревата утечкой персональных данных и, потенциально, снижением уровня ценности продвижения видео.
Первый рабочий день: инструкция по выживанию — 4 совета, как с комфортом выйти на новую работу
Спасибо! Не знаю, радоваться или огорчаться :D Всё передам.
Pytest-фикстуры на человеческом
Рано выдыхать, сейчас всего лишь 2023г! ИИ своё возьмет. Его обучат и будут использовать вместо кожаных мешков.
Может ли ChatGPT заменить бэкенд разработчиков
Если бы, скажем, радио было бы сделать настолько же просто, как скачать программу, то люди в 1900х жаловались бы, что мол радио и в шкафу и в туалете, а везде одна и та же единственная передача, да и то не всегда. Любой технологии нужно настояться.
Шпаргалка по разновидностям нейронных сетей. Часть первая. Элементарные конфигурации