Bezpieczeństwo danych to bardzo poważna sprawa – o tym każdy wie, ale nie każdy zdaje sobie sprawę, że pewne działania obarczone są bardzo dużym ryzykiem wycieku poufnych informacji…

Na tropie wyłudzenia danych, czyli krótka historia ku przestrodze

Sprawę zauważyliśmy dzięki modułowi dla SOTE SHOP: Przekierowania w sklepie internetowym, który loguje próby wejścia na strony zwracające błąd 404, czyli strony nieistniejące. Problem ten  może dotyczyć jednak nie tylko platformy SOTE, ale każdego właściciela sklepu – bez względu na to, na jakiej platformie postawiony jest sklep.

Zauważyliśmy, że w rejestrze  stron z błędem 404 jest wiele odwołań, które starają się pobrać pliki, umieszczone w katalogu sklepu, wykorzystujące standardowe nazwy np.: zrzutów bazy danych lub plików archiwum całego sklepu. W tym przypadku były to nazwy takie jak: dump.sql, /mysqldump.sql.bz2, czy /dump.rar. W rzeczywistości kombinacji może być nieskończenie wiele…

Jak może dojść do wycieku danych?

Czasem nieświadomy właściciel sklepu może umieścić bazę danych na „nieistniejącej” stronie. Stronie, której nazwę zna tylko on i która w rzeczywistości nie jest przeznaczona dla osób postronnych. Co się dzieje dalej? Jeśli roboty przeszukujące internet, wpisując adresy stron z użyciem fraz używanych do nazywania zrzutów baz danych, trafią na stronę, która takie pliki zawiera – pobierają dane – bez naszej zgody, a nawet bez naszej wiedzy…

Czego zatem nie robić?

Przede wszystkim NIE UMIESZCZAĆ dostępnych online plików ze zrzutami bazy danych lub z innymi spakowanymi danymi na stronie – licząc na to, że nikt nie zna nazwy takiego pliku. Przeszukujący strony robot wysyłając setki zapytań w końcu trafi na prawidłową nazwę i będzie mógł pobrać plik, np. z danymi klientów. A tego byśmy nie chcieli….

A Ty jak dbasz o swoje dane…🙂

11 grudnia 2019 | Tagi: , , , ,

Szymon

Mistrz w swoim fachu! Nie ma dla niego rzeczy niemożliwych. Ponad 8 lat doświadczenia w programowaniu. Zna SOTE chyba lepiej niż jego twórcy. Jego zadaniem jest wdrażanie sklepów internetowych, tworzenie i rozwijanie narzędzi, wspomagających sprzedaż w Internecie.

Programista