Статьи :
Безопасность клиентской базы
30 декабря 2016, 11:20 |
В данной статье мы рассмотрим ситуацию кражи клиентской базы из организации, точнее, с ее сайта. Предположим, у нас есть некоторая фирма, у которой на сайте (в базе данных) за все время работы накопились тысячи (десятки тысяч) регистраций пользователей. Безусловно, это представляет лакомый кусок для хакеров или тех же конкурентов, особенно такие поля, как имена, мейлы и телефоны. Имея их, можно делать фишинговые рассылки или просто переманивать пользователей к себе. Чтобы получить подобную базу, даже, в принципе, не нужно ничего взламывать. Как правило, сотрудники организации имеют доступ в некую административную панель, где доступны карточки клиентов с необходимой информацией. Поэтому для "слива" базы достаточно трудоустроиться в организацию и запустить на рабочем компьютере программу-качалку страниц. Как защититься от подобных "засланных казачков"? Во-первых, разграничить права доступа: сотрудники-новички не видят критически важные поля. Доступ появляется только спустя определенное время или после проверки лояльности. Во-вторых, слежение за активностью сотрудников: о чрезмерно "интересующихся" идет автоматическое уведомление в службу безопасности. В-третьих, установка лимитов на выдачу списков пользователей. В-четвертых, запрет на обращение в карточки по прямому id (в таком варианте легко реализовать последовательный перебор). Вместо этого, id заменяется на некий случайный хеш, который невозможно подобрать. Перечисленные меры позволяют защитить клиентскую базу от "утечки". |