-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Jak wyciekać dane to w setkach milionów. Zupełnie niezabezpieczone API dostępne przez kilka lat…

17 kwietnia 2019, 10:24 | W biegu | 1 komentarz
Tagi:

Lepiej uczyć się na cudzych błędach… tym razem Hacker News donosi o wycieku danych przeszło 100 milionów użytkowników z największej (natywnie) indyjskiej wyszukiwarki Justdial:

Dlaczego piszemy o takim dość egzotycznym przypadku? Otóż jest tutaj jedna lekcja do zapamiętania – dostępny od 2015 roku endpoint API był starym, obecnie nieużywanym mechanizmem. Jednak był podpięty do aktualnej bazy produkcyjnej i zapomniany. Zapomniany przez wszystkich poza crackerami :)

Warto się zatem zastanowić czy podobnego przypadku nie mamy w naszej infrastrukturze, np. na zasadzie:

obecnie rozwijamy czwartą wersję API mobilnego, nie zajmujemy się już poprzednimi. Poprzednie wersje udostępniamy tak na wszelki wypadek (może ktoś z nich jeszcze korzysta, a przecież stara wersja API to żadne zagrożenie :-)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. root

    Jak się bawić to grubo :)

    Odpowiedz

Odpowiedz