Atacul asupra Equifax

 romio79, on 21 septembrie 2017 - 07:38, said:

Sint si ceva probleme pe struts 1. Nu le poti rezolva pentru ca nu stii exact care e problema, nu e ca si cum exista o descriere detaliata, e doar mentionat ca e posibil sa blabla, fara sa spuna cind si cum, ceea ce e oarecum logic. De asemenea "sursele" Struts 1 dracu stie pe unde sint, proiectul e mort , apoi tre sa fii sigur ca ai exact sursele de la versiunea folosita de tine, altfel orice poate pusca oricind. Efortul nu e mare, e foarte mare, pentru ceva ce nu vei fi niciodata sigur ca e fixat

 dexterash, on 21 septembrie 2017 - 13:48, said:

Am citit si tot nu spune ca ar fi fost trepadusi indieni pe undeva. Evident ca aia o sa subcontracteze pe cineva sa le faca un site, nu sint firma de facut saituri... Nu stiu de ce ai impresia ca ditamai firma ar umbla dupa indieni ieftini, la firmele mari nu prea se gindeste asa. Noua ne-au pus niste panouri fonice intre birouri de 1000 de lei bucata, cind puteau sa le faca oricind la Nea Vasile in atelieru din garaj cu 100 de lei bucata...

Probabil au platit o gramada de bani pentru site-ul ala si mai mult aia care se ocupau de twiter n-au fost instruiti deloc cu privire la problemele astea. Tre sa tii cont de faptul ca aia angajati sa se ocupe de comunicare, sint pregatiti in domeniul comunicarii, nu in al programarii si securitatii pe internet. La fel cum majoritatea programatorilor se exprima ca o amiba retardata cind e vorba de comunicare, tot asa cineva care se ocupa de comunicare habar n-are care e treaba cu IT-ul, decit daca cineva i-a facut niste traininguri.

E clar ca a existat un management complet debil in domeniul securitatii, probabil aia care se ocupau cu asta acolo au fost angajati pe pile, s-au cunoscut la golf cu CEO-ul. Upper managementul este ala care traseaza directia si dispune masuri la nivel de corporatie, asta include restrictii cu privire la subcontractori, la soft-ul folosit, la trainingurile de securitate necesare pentru fiecare pozitie

 shiva, on 22 septembrie 2017 - 09:19, said:

btw: Cam la ce procent din proiectele la care ati lucrat ati facut si audit de securitate?

Cam la 15% - 20%

 romio79, on 23 septembrie 2017 - 11:28, said:

Cam asa zic si eu. Costa. Toata lumea e de acord cu proiectare with security in mind, pana cand vine vorba de bani.
O solutie ar fi (evident): amendarea celor care calca stramb sau procese class action, cum sigur se vor face aici. In SUA daca scapi date personale (cel putin in anumite domenii - date medicale de exemplu), raportarea este obligatorie; ai de platit amenda sau poti face chiar puscarie.

Eu le spun clientilor de la inceput ca nu recomand ca applicatiile care lucreaza cu date personale sa fie web based (sa aiba expunere externa). Mai ales daca vor rula a la long si nu sunt siguri ca vor avea timp, bani de mentenanta (patchuri etc), reevaluare, auditare etc.

Edited by aaaa4567, 23 September 2017 - 12:58.