Ваши маленькие секреты на виду у всех!

Проблемы безопасности сайтов, о которых владельцы не думают...
489
2
Мы давно занимаемся сайтами, и через наши руки прошли сотни проектов, в том числе те, на которых вы бываете ежедневно. Поэтому мы можем давать советы, опираясь на свой опыт.

А опыт говорит о том, что клиенты, к сожалению, не слишком разборчивы в электронно-цифровых связях. Проще говоря, раздают свои пароли от сайта, почты, хостинга налево и направо.

В этой статье расскажу, чем это может быть чревато.

Прочитав статью, вы наверняка подумаете, что речь идет о хакерах. Нет. Всё, что описано здесь, касается только сотрудников вашей компании, существующих и, особенно, бывших - всех, у кого могут быть пароли от сайта, почты, хостинга и пр. Всё, о чем идет речь в этой статье, можно сделать мышкой, без знаний программирования и даже html. Это доступно абсолютно любому школьнику 5 класса, если он будет знать, куда кликать мышкой.

ПРОМЫШЛЕННЫЙ ШПИОНАЖ

Звучит круто, и обычно, когда мы слышим эти слова, представляем, как Том Круз ворует очередную флешку или компакт-диск с секретными чертежами «Звезды смерти», пробравшись через вентиляцию в совершенно неприступное, супер-охраняемое помещение.

Но промышленный шпионаж – не всегда такой зрелищный, как в кино. В жизни все прозаичнее.

Как у вас обстоят дела с паролем к корпоративной почте? Сколько человек его знают? Все менеджеры? А если человек увольняется? Доступ у него к вашей почте остаётся?

Если человек работал у вас и занимался, в том числе сайтом, а потом уволился, вы озаботились о том, чтобы поменять пароль в административной части сайта?

Обычно этими двумя проблемами безопасности страдают небольшие компании, где один пароль на всех, как шприц у наркоманов.

Чем больше сотрудников знает ваши пароли от почты и сайта, тем выше шанс, что заявками, поступившими с сайта, могут воспользоваться в своих целях новые работодатели ваших старых сотрудников. Да, это совсем «некрасиво», и так делать будут далеко не все. Но просто залезть в вашу почту, посмотреть с кем велась переписка — почему бы нет?

Я не говорю о том, что, имея доступ к вашей почте в яндексе или гугле, под которой вы обычно авторизованы, можно, поставив всего одну «галочку» в настройках, видеть все сайты, которые вы искали и посещали. В том числе из дома, главное, чтобы вы были авторизованы в почте и не использовали в браузере режим «инкогнито».

Искали, «как лечить геморрой в домашних условиях», вполне возможно, что ваша секретарша уже в курсе ваших маленьких проблем.

ЗЛОЙ УМЫСЕЛ

Вы, думаете, что в вашем почтовом ящике нет ничего интересного? Ошибаетесь! Имея доступ только к е-мейлу, можно получить доступ к сайтам, при регистрации на которых был указан этот е-мейл. Например, от сайта поставщика продукции, где ваша компания закупает товар, от страницы Вконтакте, от домена сайта, от хостинга.

Представляете, как здорово можно напакостить просто сменив везде пароли? Скорее всего, вы даже не сразу поймете, что это чей-то злой умысел.

Излишне упоминать, что имея доступ к хостингу, можно:
•    удалить весь сайт (придется его заказывать заново, если не было резервных копий, а у вас их точно нет);
•    заразить сайт вирусом (сайт потеряет доверие поисковых систем и перестанет искаться).

Имея доступ к домену, можно поменять в нем контактный е-мейл, и тогда не придет напоминание о необходимости продления домена (есть риск потерять домен).
«Авось» — достаточно надежная штука, но ровно до тех пор, пока не найдется человек, который достаточно зол на вас и который понимает, что можно сделать, имея только доступ к почте.

Даже если не делать «ничего такого», то, имея доступ к почте, можно:
•    проще простого настроить в почтовом ящике фильтр, чтобы новые заявки, поступившие с сайта автоматически удалялись (вы даже не увидите, что письмо было, и будете удивляться, почему перестали приходить новые заявки с сайта), то же самое можно сделать с выборочными адресами, например, вип-клиентов или поставщиков (они будут вам писать, а письма вы видеть не будете).
•    стереть всю почту и адресную книгу (вы потеряете все адреса, которые были запомнены в почтовом ящике).

В обоих случаях высока вероятность, что вы даже не поймете, что произошедшее - это не случайность, а кто-то специально это сделал.

СЛУЧАЙНОЕ ЗАРАЖЕНИЕ ВИРУСОМ

Не всегда проблемы случаются по чьему-то злому умыслу. Иногда по неосторожности. Вы дали доступ к сайту (в том числе по FTP) разным людям, кто-то из тех, кому вы дали пароль, подхватил компьютерный вирус. А вирус «увидев», что есть доступ к сайту, заразил сайт.

Нужно отметить, что сайты, зараженные вирусами, поисковые системы стараются не показывать в результатах поисковой выдачи, чтобы не распространять вирусы дальше. Поэтому сайт вашей компании очень скоро перестанут находить те, кто его ищут.

Лечение вируса будет стоить денег. Но даже после исцеления сайта, его еще минимум месяц поисковые системы не будут показывать пользователям.

То есть, если сайт приносил вам заказы, то минимум на месяц-два вы лишитесь этого источника клиентов.

ЗАРАБОТОК НА ВАШЕМ САЙТЕ

Кроме вредительства, есть более элегантные способы использовать доступ к вашему сайту. Например, на нем можно зарабатывать. А если сайт «трастовый» (популярный в своей нише, создан давно, люди и поисковые системы считают его хорошим, имеет хорошую посещаемость), то ушлый сотрудник может зарабатывать на нем себе «прибавку к зарплате» вплоть до 100%.

Обычно заработок состоит в продаже через специальные сайты-посредники арендных и вечных ссылок. Чтобы этим заниматься, не нужно быть программистом — справится любой.

Стоит ли говорить, что такой «заработок» вредит сайту. Поисковые системы запрещают на сайте продавать ссылки и сайты, которые нарушают это правило, могут быть исключены из индекса поисковых систем. То есть потенциальные клиенты перестанут находить сайт в Яндексе или Гугле. В отличие от заражения сайта вирусом, про который говорилось выше, эту проблему устранить намного сложнее.

К слову, то же самое касается и группы в соцсетях. Если у вас популярная группа, администратор может продавать на ней рекламу, класть прибавку к зарплате в свой карман, а вы и знать не будете.

ВЫВОДЫ

В начале статьи я уже говорил, но нужно повторить еще раз. В этой статье нет ни слова про хакеров и взлом. Тут говорится только о ваших сотрудниках, бывших и тех, которые работают у вас сейчас — про тех, кому «по долгу службы» вы сами дали «ключ от квартиры, где деньги лежат» — пароли к почте, сайту, хостингу, странице компании в соцсетях и т.д.

Не стоит недооценивать ваших сотрудников, думать, что им не хватит ума, чтобы сделать все перечисленное выше.

Все о чем идет речь в этой статье, можно сделать мышкой за 5 минут. Просто нужно знать куда кликать.

Итоговые выводы, советы с минимальными мерами предосторожности:
•    Всегда меняйте пароль от почты, когда из компании уходит очередной сотрудник, который имел к ней доступ.
•    При регистрации на любых сайтах, сервисах используйте только такой е-мейл, к которому нет доступа у третьих лиц. Т.е. если у вас есть корпоративная почта reception@hotel.ru, то при регистрации для компании страницы Вконтакте, хостинга, еще одного домена и т.п. не используйте этот е-мейл. Потому что те люди, которые имеют доступ к этому е-мейлу, смогут получить доступ ко всем сайтам и сервисам, на которых вы регистрировались, указав этот е-мейл.
•    Не давайте администраторский пароль от сайта (от хостинга и админки) первому встречному. Обычно этим грешат, те, кто работают с фрилансерами. Недобросовестный программист всегда может оставить на сайте «черный ход», через который сможет заходить, даже если вы поменяете все пароли. Найти черный ход и закрыть его очень трудно. Защититься от этого можно только работая с проверенными людьми.
•    Не используйте одну почту на всех, используйте почту для домена. Вы обращали внимание, что в некоторых компаниях электронный ящик не один на всех, а у каждого сотрудника свой, например, vera-lepestkova@firma.ru?

Вы думаете, это сделано для крутизны и понтов? Нет. Это, среди прочего, вопрос безопасности. Новому сотруднику выдают почтовый ящик, с которого он ведет рабочую переписку. Для пущей безопасности, можно настроить так, чтобы копия всей переписки автоматически попадала в еще какой-то ящик (а можно этого и не делать). Таким образом, если сотрудник увольняется, вся почта с его ящика перенаправляется на ящик нового сотрудника, который занимается этой же работой (пароль, конечно, меняется).

При такой организации работы с электронной почтой никакой утечки данных не произойдет. Сделать почту для домена проще простого. Никакие серверы и даже хостинг для этого не нужны, если что, обращайтесь — поможем.

•    Если даете своим сотрудникам доступ к сайту, старайтесь разграничивать права доступа. Обычно на это никто не заморачивается, даже разработчики часто отдают клиенту один лишь администраторский пароль, не настраивая группы пользователей с меньшими правами. Я понимаю, что этот пункт самый трудный к выполнению, и вряд ли получится сделать его самостоятельно. Но, если вы всерьез относитесь к безопасности сайта, то попросите настроить доступ только к контенту, чтобы доступ был только к работе с контентом, без возможности изменять настройки сайта и загружать на сайт скрипты.
Поделитесь с друзьями:

Комментарии2

Авторизуйтесь, чтобы оценивать комментарии
и получать уведомления об ответах
Войти на сайт
Ваш комментарий
Аноним
22.05.2017 15:26
вы на каком основании мой рабочий емайл опубликовали?
Аноним
22.05.2017 18:02
Вера, это уже не ваш емейл. Вы же были уволены за пьянство и прогулы. :-)

Еще из раздела Бизнес

Последние записи

17 октября
21:11
Обзор международной мебельной выставки IsaloniWorldWide
В конце прошлой недели я посетила ежегодную мебельную выставку IsaloniWorldWide в Москве - главное событие года для российских дизайнеров. Международные бренды представили свои новинки мебели, света и декора
17 октября
21:06
Оёоргүй далайһаа субад удхаһандал...
Поэт хүн  ондоо зон, поэт хүнэй зүрхэн онсо ондоохон сохидолтой, засаг түрын урдаһаа хэлэхэ үгэтэй, айхаяа мэдэхэгүй, арад түмэнэйнгөө түлөө харюусалгатайб гэжэ мэдэрдэг Цырендулма Цыреновна Дондогой нээрээл нэрэ түрэтэй поэт хүн, томо хүн байгаал даа.
17 октября
21:00
4
Кабанско-Оймурский «сыр-бор»
Страна и Бурятия взяли курс, но про импортозамещение и санкции, видимо, и не слыхивали в администрации Кабанского района. А иначе чем объяснить нежелание руководства помочь мне как предпринимателю, который выпускал Оймурский сыр?
17 октября
09:27
67
1
Хорошие времена?
Недавно разговаривали с мамой, пока шли пешком куда-то - я далеко припарковался, а она была не против прогуляться. Говорили о том, прошли или настали хорошие времена...
13 октября
17:26
1085
3
#19.Суровые монголы || Бурятские воины
Всем привет! Это новый выпуск "Дневника Хитрого Бурята".
Осень для меня - это любимое время года, время творческих идей и побед...
12 октября
14:21
267
Проекты Союза дорожников Республики Бурятия
Друзья, хочу рассказать про деятельность и предложения недавно созданного при поддержке главы Бурятии Союза дорожников республики
12 октября
10:29
148
Абьяас бэлигээ арад зондоо
Агын тойрогой Догой нютаг тоонтотой Цыпелма Батурова урма зоригоороо, хүсэл эрмэлзэлээрээ, тэнигэр сэдьхэлээрээ олониие дахуулжа, арад зондоо гоё һайханиие дамжуулжа, соёл болбосоролой дээжэ хүртөөхэ хэрэгтэ эсэшэ сусашагүй ажалаа ябуулна. Арадай дуунуудта, ёохор хатарнуудта, уран үгэдэ хилэ гэжэ байхагүй. Итали, Испани
12 октября
10:21
232
Стильный дизайн: счастье быть дома
В процессе создания интерьера ключевым моментом для меня является не столько стиль в его общепринятом понимании, сколько атмосфера создаваемого пространства. Начиная проект, я всегда думаю о том, насколько комфортно будет жильцам в этом пространстве, будут ли они счастливы в новой обстановке?
11 октября
17:20
291
3
Повторное заседание должно поставить точку в этой истории
Определение Верховного суда России было недавно опубликовано и создало прецедент в судебной практике. Вскоре состоится повторное заседание в Верховном суде Бурятии, которое, надеемся, поставит точку в этой затянувшейся истории
5 октября
12:57
669
О просрочке платежа по кредиту и защите персональных данных
Если платеж был сделан 29 числа, и есть документы, которые это подтверждают, то ответственность за сроки поступления денежных средств банку заемщик не несет
4 октября
14:57
535
1
Как не принести домой «психологический вирус»?
Он может разрушить даже самые крепкие отношения и развеять лучшее впечатление о вас…
3 октября
14:39
333
ҮХИБҮҮД УГ УДАМАА УУДАЛНА
Буряад Уласай соелой яаманай сайд Тимур Гомбожапович Цыбиков "Минии уг гарбал ном хэблэлгэдэ мүнгэ һомололгодо гараа табижа тон ехэ туһалаа юм
2 октября
17:27
364
1
Поможем маме шестерых детей!
Хочу найти дом и начать сбор средств на оплату аренды!
2 октября
11:42
553
А вы были в Сан-Тропе?
Подписывайтесь на меня в инстаграм @erdenimun и на мой канал den mun в youtube. Где я выкладываю больше видео и веду прямые трансляции
2 октября
11:05
325
Как развивать ребёнка, несмотря на занятость и нехватку времени?
Школьная пора - это самое удачное время, когда надо не упустить момент формирования мышления. Не упустить шанс, научить ребёнка думать, мыслить и дать ему чёткое понимание, как это делать
22 сентября
10:00
1066
2
Евротур. Женева. Швейцария
В данный момент я в Европе. Планирую посетить здесь более 10 стран. Подписывайтесь на меня в инстаграм @erdenimun и на мой канал den mun в youtube. Где я выкладываю больше видео и веду прямые трансляции!
21 сентября
13:05
306
4
"ZAM" нээгдэһээр жэл болобо
Домбо” эблэлэй үйлэдбэрилһэн буряад угалзаар шэмэглээтэй шаазан домбонууд, аяганууд нюдэ хужарлуулна. Ханаар зохидхоноор зураатай уран зурагууд үлгөөтэй харагдана.
15 сентября
11:54
3462
4
Виктор Балдоржиев Наброски конца августа. Между жерновами
Полезных и деятельных результатов, вкупе с защитой интересов Востока страны, правители России могут ожидать только от монголоязычного мира внутри страны со множеством естественных русских элементов, включая русскую культуру и 400-летнюю русскую историю Сибири, ибо ничего другого на Восточной окраине страны уже нет. Процессы обезлюживания территории становятся очевидными и безостановочными.
15 сентября
10:25
760
2
Осторожно! Охота из кустов
Хочу предостеречь жителей 40-х кварталов. Когда стемнеет, не садитесь на скамейку возле памятника Строителям на улице Мокрова! За семь секунд я лишилась сумки с паспортом и всеми картами.
11 сентября
18:39
406
5
Зачем нам нужен «церковный» праздник 11 сентября - день трезвости?
О трезвости сегодня говорят не так уж часто. Конечно, она подразумевается и официально приветствуется, но на самом деле, не всегда понимается и принимается в истинном виде
Показать больше
Богатая Бурятия Общественный проект, направленный на реализацию богатого потенциала нашей республики
Наверх