Un auditeur de sécurité pour nos serveurs a exigé ce qui suit dans les deux semaines :
- Une liste des noms d'utilisateur et des mots de passe en clair actuels pour tous les comptes d'utilisateur sur tous les serveurs.
- Une liste de tous les changements de mot de passe au cours des six derniers mois, toujours en clair.
- Une liste de "tous les fichiers ajoutés au serveur à partir de périphériques distants" au cours des six derniers mois.
- Les clés publiques et privées de toute clé SSH
- Un courriel envoyé à chaque fois qu'un utilisateur change son mot de passe, contenant le mot de passe en texte clair.
Nous utilisons des boîtes Red Hat Linux 5/6 et CentOS 5 avec une authentification LDAP.
Pour autant que je sache, tout ce qui figure sur cette liste est soit impossible, soit incroyablement difficile à obtenir, mais si je ne fournis pas ces informations, nous risquons de perdre l'accès à notre plateforme de paiement et de perdre des revenus pendant une période de transition vers un nouveau service. Avez-vous des suggestions sur la façon dont je peux résoudre ou falsifier ces informations ?
Le seul moyen auquel je pense pour obtenir tous les mots de passe en texte clair est de demander à chacun de réinitialiser son mot de passe et de noter la valeur qu'il a choisie. Cela ne résout pas le problème des changements de mot de passe au cours des six derniers mois, car je ne peux pas enregistrer rétroactivement ce genre de choses, et il en va de même pour l'enregistrement de tous les fichiers distants.
Obtenir toutes les clés SSH publiques et privées est possible (bien qu'ennuyeux), puisque nous n'avons que quelques utilisateurs et ordinateurs. A moins que je n'aie oublié un moyen plus simple de le faire ?
Je lui ai expliqué à plusieurs reprises que les choses qu'il demande sont impossibles. En réponse à mes préoccupations, il m'a envoyé le courriel suivant :
J'ai plus de 10 ans d'expérience en matière d'audit de sécurité et une compréhension des méthodes de sécurité de redhat, donc je vous suggère de vérifier vos faits sur ce qui est et n'est pas possible. Vous dites qu'aucune entreprise ne pourrait possible d'avoir ces informations, mais j'ai effectué des centaines d'audits. où cette information était facilement disponible. Tous les [génériques de traitement des cartes de crédit] doivent se conformer à nos nouvelles politiques de politiques de sécurité et cet audit est destiné à assurer que ces politiques ont été correctement mises en œuvre*.
*Les "nouvelles politiques de sécurité" ont été introduites deux semaines avant notre audit, et les six mois de journalisation historique n'étaient pas requis avant les changements de politique.
En bref, j'ai besoin ;
- Un moyen de "simuler" six mois de changements de mots de passe et de les faire paraître valides.
- Un moyen de "simuler" six mois de transferts de fichiers entrants.
- Un moyen facile de collecter toutes les clés publiques et privées SSH utilisées.
Si nous échouons à l'audit de sécurité, nous perdons l'accès à notre plateforme de traitement des cartes (une partie essentielle de notre système) et il nous faudrait deux bonnes semaines pour aller ailleurs. A quel point suis-je dans la merde ?
Mise à jour 1 (samedi 23)
Merci pour toutes vos réponses, cela me soulage beaucoup de savoir que ce n'est pas une pratique courante.
Je suis en train de préparer ma réponse par courriel pour lui expliquer la situation. Comme beaucoup d'entre vous l'ont souligné, nous devons nous conformer à la norme PCI, qui stipule explicitement que nous ne devons avoir aucun moyen d'accéder aux mots de passe en texte clair. Je posterai l'e-mail dès que j'aurai fini de le rédiger. Malheureusement, je ne pense pas qu'il se contente de nous tester ; ces éléments figurent désormais dans la politique de sécurité officielle de l'entreprise. J'ai cependant mis en route les démarches pour les abandonner et passer à PayPal pour l'instant.
Mise à jour 2 (samedi 23)
Voici l'e-mail que j'ai rédigé. Des suggestions sur les éléments à ajouter/supprimer/modifier ?
Bonjour [nom],
Malheureusement, il n'y a pas de moyen pour nous de vous fournir un certain nombre d'informations. informations demandées, principalement les mots de passe en clair, l'historique des l'historique des mots de passe, les clés SSH et les journaux des fichiers distants. Non seulement ces choses sont techniquement impossible, mais aussi être capable de fournir ces ces informations serait à la fois une violation des normes PCI et une violation de la loi sur la protection des données.
Pour citer les exigences du PCI,8.4 Rendre tous les mots de passe illisibles pendant la transmission et le stockage sur tous les composants du système en utilisant une cryptographie forte.
Je peux vous fournir une liste des noms d'utilisateurs et des mots de passe hachés utilisés sur notre système, des copies des clés publiques SSH et du fichier d'hôtes autorisés. Cela vous donnera assez d'informations pour déterminer le nombre d'utilisateurs uniques peuvent se connecter à nos serveurs, et les méthodes de cryptage utilisées), des informations sur nos exigences en matière de sécurité des mots de passe et sur notre serveur LDAP. mais ces informations ne doivent pas être emportées hors du site. Je vous Je vous suggère fortement de revoir vos exigences d'audit car il n'y a actuellement aucun moyen pour nous de passer cet audit tout en restant sur le marché. de passer cet audit tout en restant en conformité avec PCI et la loi sur la protection des données. loi sur la protection des données.
Regards,
[moi]
Je vais demander au directeur technique de l'entreprise et à notre gestionnaire de compte de m'envoyer une copie des documents. J'espère que le directeur technique pourra confirmer que ces informations ne sont pas disponibles. Je vais également contacter le Conseil des normes de sécurité PCI pour expliquer ce qu'il exige de nous.
Mise à jour 3 (26ème)
Voici quelques courriels que nous avons échangés ;
RE : mon premier courriel ;
Comme expliqué, cette information devrait être facilement disponible sur tout puits. système bien entretenu, par tout administrateur compétent. Votre incapacité à pas été en mesure de fournir cette information me pousse à croire que vous êtes conscient des des failles de sécurité dans votre système et que vous n'êtes pas prêt à les révéler. Nos demandes à demandes s'alignent sur les directives PCI et les deux peuvent être satisfaites. Une forte cryptographie forte signifie seulement que les mots de passe doivent être cryptés pendant que l'utilisateur les saisit, mais ensuite ils doivent être déplacés vers un format récupérable pour une utilisation ultérieure.
Je ne vois pas de problème de protection des données pour ces demandes, la protection des données uniquement. s'applique uniquement aux consommateurs et non aux entreprises, donc il ne devrait y avoir aucun problème avec cette informations.
Juste, quoi, je, ne peux pas, même...
"La cryptographie forte signifie seulement que les mots de passe doivent être cryptés pendant que l'utilisateur les saisit, mais ensuite ils doivent être déplacés vers un format récupérable pour une utilisation ultérieure."
Je vais l'encadrer et le mettre sur mon mur.
J'en ai eu assez d'être diplomate et je l'ai dirigé vers ce fil pour lui montrer la réponse que j'ai obtenue :
Fournir cette information contredit DIRECTEMENT plusieurs exigences des directives PCI. La section que j'ai citée dit même
storage
(Ce qui implique l'endroit où nous stockons les données sur le disque). J'ai lancé une discussion sur ServerFault.com (communauté en ligne pour les professionnels de l'administration professionnels de l'administration système) qui a suscité une réponse énorme, tous suggérant que cette informations ne peuvent pas être fournies. N'hésitez pas à lire vous-mêmehttps://serverfault.com/questions/293217/
Nous avons terminé la migration de notre système vers une nouvelle plateforme et nous allons être annuler notre compte avec vous d'ici un jour ou deux mais je veux que que vous réalisiez à quel point ces demandes sont ridicules, et qu'aucune société n'applique correctement les directives PCI ne sera, ou ne devrait, être en mesure de fournir ces informations. Je vous suggère fortement de repenser vos exigences de sécurité car aucun de vos clients ne devrait être en mesure de se se conformer à cela.
(J'avais en fait oublié que je l'avais traité d'idiot dans le titre, mais comme mentionné, nous nous étions déjà éloignés de leur plateforme, donc pas de réelle perte).
Et dans sa réponse, il déclare qu'apparemment aucun d'entre vous ne sait de quoi il parle :
J'ai lu en détail ces réponses et votre message original, le Les personnes qui ont répondu ont besoin de connaître les faits. Je suis dans cette industrie depuis plus longtemps que quiconque sur ce site, obtenir une liste de mots de passe mots de passe des comptes utilisateurs est incroyablement basique, ça devrait être une des premières premières choses que vous faites lorsque vous apprenez à sécuriser votre système et c'est essentiel. au fonctionnement de tout serveur sécurisé. Si vous n'avez vraiment pas les compétences pour faire quelque chose d'aussi simple, je vais supposer que vous n'avez pas installé PCI sur vos serveurs. PCI sur vos serveurs, car vous ne pouvez pas récupérer cette information. informations est une exigence de base du logiciel. Lorsque vous traitez avec quelque chose comme la sécurité, vous ne devriez pas poser ces questions sur un sur un forum public si vous n'avez aucune connaissance de base de son fonctionnement.
Je voudrais également suggérer que toute tentative de me révéler, ou [nom de la société] sera considérée comme de la diffamation et une action légale appropriée seront prises
Points clés idiots si vous les avez manqués :
- Il est auditeur de sécurité depuis plus longtemps que n'importe qui d'autre ici. (Soit il devine, soit il vous traque).
- Être capable d'obtenir une liste de mots de passe sur un système UNIX est "basique".
- Le PCI est désormais un logiciel
- Les gens ne devraient pas utiliser les forums lorsqu'ils ne sont pas sûrs de la sécurité.
- Mettre en ligne des informations factuelles (dont j'ai la preuve par courriel) est de la diffamation.
Excellent.
Le PCI SSC a réagi et enquête sur lui et sur l'entreprise. Notre logiciel a maintenant été transféré sur PayPal, nous savons donc qu'il est en sécurité. Je vais d'abord attendre que PCI me réponde, mais je commence à m'inquiéter du fait qu'ils aient pu utiliser ces pratiques de sécurité en interne. Si c'est le cas, je pense que c'est une préoccupation majeure pour nous, car tout notre traitement des cartes passait par eux. S'ils utilisaient ces pratiques en interne, je pense que la seule chose responsable à faire serait d'informer nos clients.
J'espère que lorsque le PCI se rendra compte de la gravité de la situation, il enquêtera sur l'ensemble de la société et du système, mais je n'en suis pas sûr.
Maintenant que nous nous sommes éloignés de leur plateforme, et en supposant qu'il faudra au moins quelques jours avant que PCI ne revienne vers moi, avez-vous des suggestions inventives pour le troller un peu ? =)
Une fois que j'aurai obtenu l'autorisation de mon conseiller juridique (je doute fort qu'il s'agisse de diffamation, mais je voulais vérifier), je publierai le nom de la société, son nom et son adresse électronique, et si vous le souhaitez, vous pourrez le contacter et lui expliquer pourquoi vous ne comprenez pas les bases de la sécurité sous Linux, comme par exemple comment obtenir une liste de tous les mots de passe des utilisateurs LDAP.
Petite mise à jour :
Mon "juriste" a suggéré que révéler l'entreprise causerait probablement plus de problèmes que nécessaire. Je peux dire cependant qu'il ne s'agit pas d'un grand fournisseur, ils ont moins de 100 clients qui utilisent ce service. Nous avons commencé à les utiliser lorsque le site était minuscule et fonctionnait sur un petit VPS, et nous ne voulions pas passer par tous les efforts pour obtenir la norme PCI (nous avions l'habitude de rediriger vers leur front-end, comme PayPal Standard). Mais lorsque nous sommes passés au traitement direct des cartes (y compris l'obtention de la norme PCI et le bon sens), les développeurs ont décidé de continuer à utiliser la même société, mais avec une API différente. La société est basée dans la région de Birmingham, au Royaume-Uni, donc je doute fortement que quiconque ici soit affecté.
529 votes
Vous avez deux semaines pour lui fournir les informations, et il faut deux semaines pour passer à un autre endroit qui peut traiter les cartes de crédit. Ne vous donnez pas la peine - prenez la décision de déménager maintenant et abandonnez l'audit.
2 votes
@Scrivener Pas si simple, le propriétaire de la société pour laquelle je travaille veut que nous restions avec ce fournisseur parce qu'il est bon marché. Je lui ai déjà parlé de déménager, même dans un endroit comme PayPal qui ferait l'affaire en attendant de trouver une meilleure solution, mais il dit qu'il ne veut l'utiliser qu'en dernier recours. Je n'aurais jamais choisi personnellement ce fournisseur, mais la décision a été prise avant mon arrivée :( De plus, notre programmeur n'est pas disponible et nous devons donc faire appel à quelqu'un d'autre.
182 votes
S'il vous plaît, tenez-nous au courant de ce qui se passe avec ça. Je l'ai mis en favori pour voir comment l'auditeur se fait fesser. =) Si je vous connais, envoyez-moi un courriel à l'adresse indiquée dans mon profil.
5 votes
@A. Jetable : Un "dernier recours" est exactement ce que vous utilisez lorsque vous échouez honnêtement à ce soi-disant "audit", non ? Expliquez au propriétaire que vous allez tout simplement échouer à cet audit, et que vous devrez vous préparer à déménager.
167 votes
Il doit te tester pour voir si tu es vraiment aussi stupide. Pas vrai ? Je l'espère...
62 votes
Je trouve incroyablement suspect que tout ce qu'il a demandé soit conçu pour être impossible ou se situe quelque part sur l'échelle de sécurité entre les deux.
telnet
et un Post-It avec un mot de passe collé sur le moniteur.216 votes
J'aimerais connaître des références d'autres entreprises qu'il a auditées. Si ce n'est pour une autre raison que pour savoir qui éviter . Des mots de passe en clair... vraiment ? Êtes-vous sûr que ce type n'est pas vraiment un chapeau noir et qu'il ne fait pas de l'ingénierie sociale pour que des entreprises stupides lui remettent leurs mots de passe d'utilisateur pendant des mois ? Parce que s'il y a des entreprises qui font cela avec lui, c'est un excellent moyen de remettre les clés...
12 votes
@A. Throwaway : Je suis si heureux que des gens comme vous fassent l'effort de questionner les demandes. Cela me rassure sur le fait que le raisonnement logique prévaudra !
9 votes
Fin de la diatribe : S'il vous plaît, s'il vous plaît, faites-nous savoir comment cela se passe. Je suis intriguée, tout comme les 20 autres personnes qui ont mis cette question en favoris.
11 votes
J'aimerais savoir quel processeur de paiement vous envoie cet auditeur afin que je puisse les éviter dans mes futurs projets.
23 votes
DUh. Envoie-lui les mots de passe cryptés. Dites-lui juste que tous vos utilisateurs suivent la politique de mot de passe très, très soigneusement, et choisissent des mots de passe aléatoires :)
15 votes
Comme le laisse entendre @bacon bits, je me demande s'il n'est pas intentionnellement obtus juste pour voir comment vous vous en sortez, et la façon dont vous échouez à cet audit est la suivante no en le montrant du doigt et en riant jusqu'à ce que tu t'évanouisses. Sérieusement, je suggère de lui dire qu'il peut soit revoir sa demande pour quelque chose de sensé, soit aller se faire voir ailleurs. De toute façon, à ce moment-là, soit vous passez son premier "test", soit vous "virez" un fou dangereux. Je suis pour le gagnant-gagnant.
4 votes
Cela ressemble à la façon dont mtgox a été piraté. cela a donné à un consultant en sécurité un tas de mots de passe hachés et il les a perdus et quelqu'un a pu casser les mots de passe et compromettre le système. donner à quelqu'un des mots de passe en texte clair et des clés privées SSH est incroyablement irresponsable.
11 votes
Comme certains l'ont dit, les mots de passe en texte clair = stupide. Envoyer un courriel à QUICONQUE avec des mots de passe en texte clair = stupide. Leur envoyer des clefs privées !? Corrigez-moi si je me trompe, mais les clés privées devraient rester JUSTE CELLES-CI !?
15 votes
Ne donnez jamais à tout le monde votre/vos clé(s) privée(s) SSH.
13 votes
Il n'y a pas de problème à donner à quelqu'un votre clé privée SSH ; collez simplement une chaîne aléatoire de la longueur de Guerre et paix sur comme la phrase de passe d'abord. <grin>
72 votes
Ce type est dangereux et devrait être écarté de l'industrie. Veuillez le nommer et lui faire honte pour que personne d'autre ne se retrouve dans cette situation. Dites-lui que c'est impossible parce que cela DEVRAIT être impossible. Les mots de passe en texte clair ne devraient pas exister en dehors de la matière grise. Les clés privées SSH appartiennent à l'utilisateur et non au serveur. Toute entreprise qui peut satisfaire ses demandes n'est pas sûre. Toute entreprise qui échoue à son audit est sécurisée.
5 votes
Vous avez manifestement fait le bon choix en publiant cette information sur un site de questions-réponses bien connu. Nous ne pouvons qu'espérer que l'auditeur et/ou ses pairs voient cela. Maintenant, vous devez obtenir un deuxième avis - vérifier l'ensemble des exigences avec un autre cabinet d'audit.
56 votes
Si votre histoire est vraie, je suis favorable à ce que cet individu et l'entreprise pour laquelle il travaille soient désignés comme tels.
14 votes
D'autres ont apporté des commentaires et des réponses bien plus intelligents que les miens, mais je vous suggère d'abandonner votre tentative d'anonymat et de montrer ce message à votre patron pour qu'il puisse voir par lui-même ce que de vrais professionnels de l'informatique pensent des demandes de l'auditeur. Vous avez obtenu de très bonnes réponses ici de la part de personnes qui sont les meilleures de la profession.
18 votes
En outre, chacune des choses demandées par l'auditeur constitue en soi une violation de la sécurité. Vous ne devriez pas divulguer les informations qu'il demande à qui que ce soit et j'ai du mal à comprendre la raison technique ou juridique pour laquelle il veut ces informations. Vous ne connaissez pas ce type de Jack Black, pourquoi lui fourniriez-vous ces informations ? En lui fournissant ces informations, vous mettez toute votre organisation en danger. Je ne suis pas un expert en droit ou en sécurité, mais la première chose que je ferais serait de convaincre mon patron qu'il doit faire appel à un avocat expérimenté en matière de conformité.
5 votes
Vous avez une phrase en cours. Sinon, c'est à peu près ce que j'aurais écrit. "Je vous suggère fortement de revoir vos exigences d'audit, il n'y a actuellement aucun moyen pour nous de passer cet audit tout en restant en conformité avec PCI et la loi sur la protection des données." Vous devriez avoir un "comme" après la première virgule. Aussi, mettez votre superviseur en copie conforme. Je pense qu'ils vont trouver sa demande intéressante.
5 votes
Je chipote ici, mais un "cryptage fort" ne doit pas nécessairement être un hachage à sens unique. Il pourrait être réversible. Cela ne rend pas sa demande moins ridicule.
2 votes
Si vous voulez vraiment avoir l'air étanche, corrigez la virgule mal utilisée dans la dernière phrase de votre projet.
5 votes
Après qu'on m'ait demandé une seule de ces choses, je me suis contenté de rire au nez du gars. Privé Clés SSH ? !
36 votes
Vous devez remonter la chaîne, la vôtre et la sienne (fournisseur de paiement). Je pense qu'il s'agit soit d'un chapeau noir, soit d'un imbécile. Remonter sur la base d'une violation de la sécurité - si jamais nous essayons de donner ceci à quelqu'un, ce serait une violation automatique de la sécurité.
4 votes
Pourriez-vous arrêter d'épeler "perdre" de manière incorrecte ?
9 votes
Ne lui envoyez plus d'e-mail. Même pour envoyer le dernier e-mail que vous avez édité dans votre question. Cet homme est fou et vous ne devriez communiquer avec lui, à ce stade, que si vous êtes spécifiquement destiné par votre patron.
2 votes
Il n'y a aucune raison pour que l'auditeur ait des copies des clés privées, elles ne sont que cela, des données privées non distribuées. En fait, si j'étais l'auditeur et que quelqu'un me donnait des clés ssh privées dans le cadre de l'audit, je les rejetterais si seulement je pouvais trouver la bonne case à cocher sur le formulaire. Pour la vérification des mots de passe faibles, le mieux à faire est de laisser Jacktheripper utiliser un bon dictionnaire sur la base de données et tenter de le craquer. |Je signale un échec pour chacun d'entre eux, mais on pourrait s'attendre à des limites de validation lorsque le mot de passe est défini de toute façon.
8 votes
Pourriez-vous afficher le nom de la société de sécurité ? Je pense que cela dépasse les questions d'éthique sur l'affichage des noms de sociétés/individus sur le grand effrayant "Internet" - Il s'agit d'un danger direct et immédiat pour toute société qu'il "audite", pouvez-vous fournir cette information dans l'intérêt de la protection des innocents ?
0 votes
Etes-vous sûr que ce n'est pas un très astucieux Le vérificateur essaie de voir si votre système est assez peu sécurisé ou si vous êtes assez stupide pour lui donner cette information ?
0 votes
@crasic, je pense que le PO a couvert ce point dans sa première mise à jour.
341 votes
Toute incompétence suffisamment avancée est indiscernable de la malveillance.
0 votes
@geteipordietryin Je le ferai une fois que nous aurons fini de migrer vers PayPal, c'est une très petite entreprise locale (<100 clients) donc je suppose qu'ils utilisent les alertes Google etc. et pourraient facilement trouver ce post si je les nomme.
7 votes
En ce qui concerne la manière de répondre à l'auditeur, vous pouvez vous renseigner sur les points suivants Sécurité de l'information où il y a beaucoup de gens qui ont l'expérience du PCI.
0 votes
Vous pouvez également être personnellement responsable de certaines infractions à la législation européenne sur la protection des données. Je n'arrive pas à trouver de référence définitive pour le moment, mais on m'a clairement expliqué cette situation en tant qu'employé il y a quelques années. J'ai trouvé un résumé à l'adresse suivante out-law.com/page-413 - Recherche de "Les employés peuvent également encourir une responsabilité pénale".
0 votes
Jetez un coup d'œil ici symantec.com/connect/articles/ ça ressemble à cette histoire.
25 votes
Un nom jetable avec près de 500 points et 3 badges d'or :P
0 votes
Une chance que ce soit un piège. Ça ressemble à une situation où si tu lui donnes ce qu'il veut, tu rates l'audit.
1 votes
Cette réponse est vraiment géniale, ferme mais professionnelle. Tant de gens auraient été lâches ou sarcastiques ! Gardez le même ton dans le corps de l'e-mail, mais vous pouvez aussi proposer des offres spécifiques de ce que vous pouvez lui montrer, de sorte que, dans le cas improbable où il serait sérieux à propos de cette idiotie mais prêt à entendre raison, vous apparaissez toujours comme utile.
1 votes
Reid Oh non, quel gâchis pour les numériques ! Tous ces tubes !
12 votes
De toutes les parties ridicules de sa demande, donner votre clé SSH privée est la pire. C'est comme "donnez-moi la possibilité de signer votre nom et de falsifier vos empreintes digitales". Il est soit fou, soit en train de vous pirater, soit un crétin. Donner cette clé serait pire pour vous que d'être licencié pour ne pas l'avoir fait ; au moins, vous ne serez pas dans les journaux lorsque l'entreprise tombera en flammes.
6 votes
Wow... Je sors tout juste de l'école après avoir étudié l'informatique. Je ne m'intéresse même pas à la sécurité et je peux vous dire que ça a l'air louche.
40 votes
Pour le bien de l'humanité, S'IL VOUS PLAÎT, dites-nous son nom et pour quelle société il travaille. Ils doivent absolument être exposés publiquement.
1 votes
Que vous suiviez ou non le conseil de joekwerty et que vous fassiez connaître votre identité, cela ne peut pas faire de mal de montrer à votre patron ce post et la réponse dramatique.
0 votes
Des mises à jour ? Cela fait 3 jours.
0 votes
Je te donnerais 1337 médailles pour ça haha, hilarant.
6 votes
Bien joué, A. Throwaway. J'applaudis votre persévérance. Je vous suggère maintenant de créer un compte serverfault normal pour vous-même et de demander aux administrateurs de serverfault de le fusionner avec celui-ci.
7 votes
Libelle. Si c'est écrit, c'est de la diffamation, si je me souviens bien. Pas de responsabilité. Ou de la diffamation.
7 votes
@Bart - Ce n'est de la diffamation que si ce n'est pas vrai (du moins aux États-Unis et, je crois, en droit anglais). Si les avocats sont d'accord, je pense que ce serait un service public de nommer et de faire honte à cet auditeur/cette société d'audit.
18 votes
Publier son adresse e-mail est probablement une mauvaise idée. Vous savez que les gens ne sont pas satisfaits de lui et fournir des moyens explicites de le contacter ou de le harceler est, au mieux, éthiquement douteux et légalement discutable. Son nom et le nom de sa société ; cela serait très pertinent (notez que vous l'avez traité de "petit"). idiot Il est préférable de séparer l'opinion des faits si l'on veut publier ce genre de détails.) IANAL, ceci n'est pas un avis juridique.
11 votes
Le Royaume-Uni a des lois assez strictes en matière de diffamation, je m'en méfierais donc avant de publier le nom de la personne ou de la société.
1 votes
Je tiens à vous remercier d'avoir eu les couilles de tenir tête à ce type !
0 votes
@voretaq7 : C'est vrai, je faisais juste référence à toute la menace faite dans les messages qu'elle serait responsable(sic) si OP publiait des informations.
0 votes
Je ne vois aucun problème de protection des données pour ces demandes, la protection des données ne s'applique qu'aux consommateurs et non aux entreprises, il ne devrait donc y avoir aucun problème avec ces informations. --> Ouaip. Les données des entreprises ne valent rien si elles tombent dans les mains de concurrents ou de criminels. LMAO @ la pile entière d'email.
0 votes
Heureux de voir une bonne fin, et merci de nous tenir au courant en attendant.
0 votes
Upvoted pour un même 400... et il n'y a aucune chance que ce type puisse être un vrai auditeur de sécurité, à moins qu'ils ne vous laissent faire ça quand vous avez un QI inférieur à 50.
3 votes
On dirait que vous avez fait tout ce qu'il fallait. A ceci, cependant :
if they were doing this internally I think the only responsible thing to do would be to inform our customers...
Je ne sais pas ce qu'il en est au Royaume-Uni, mais aux États-Unis, lorsqu'un fournisseur sait qu'il y a eu une violation, il est tenu d'en informer les clients. Comme je crois savoir que les lois britanniques sont plus strictes que les lois américaines, cela pourrait être une bonne assurance.4 votes
J'ai sincèrement souri quand j'ai lu que pci n'était pas installé ;) de toute façon si vous voulez garder cela nous pouvons fusionner vos deux comptes ensemble ? (nous pouvons voir vos doublons, normalement nous les fusionnerions mais il y a eu... Des circonstances atténuantes)
2 votes
@Adrien Oui, les restrictions sont très strictes au Royaume-Uni, mais mon conseiller juridique m'a dit que nous prenons actuellement les bonnes mesures en informant le PCI SSC, mais que nous n'avons pas à faire quoi que ce soit jusqu'à ce qu'ils nous répondent et disent oui ou non.
12 votes
Pour le bien de l'humanité, s'il vous plaît, révélez ce type.
0 votes
@sam je pense que vous devriez juste accepter la réponse de Chopper pour avoir suggéré un piétinement de trottoir et appeler ça un jour.
4 votes
@MarkM le coup de frein est si brusque, je préfère faire quelque chose à plus long terme. Il veut qu'on lui envoie un email quand on change un mot de passe. Et si je mettais en place un script pour lui envoyer 5000 mots de passe aléatoires par jour, nous collons au plus près de ses directives =)
1 votes
@Chris S - Publier son nom, son téléphone, sa société, son adresse électronique et l'adresse de sa société est tout à fait légitime tant que ces informations sont déjà disponibles sur le site web de la société.
47 votes
C'est l'un des messages les plus divertissants que j'aie jamais lus sur le réseau Stack Exchange.
1 votes
Je suis content que vous ayez résolu le problème. Une fois, j'ai examiné la conformité PCI lors de la mise en œuvre d'un système de paiement et j'ai décidé que c'était trop risqué. Nous avons donc opté pour une passerelle de paiement conforme à la norme PCI et nous n'avons pas eu à nous soucier de l'aspect sécurité puisque les paiements n'étaient pas pris en charge par notre site Web... de la même manière que Paypal. Beaucoup plus facile !
12 votes
En outre, félicitations pour avoir battu un certain nombre de records de SF. Je suis presque sûr que cette question a le plus de upvotes, le plus de vues, le plus de favoris, et ses réponses ont le plus de votes de toutes les autres questions sur le serveur fault. Elle est également restée en tête des questions chaudes de Stack Exchange pendant trois jours d'affilée (elle est maintenant redescendue à la 2e place, awww). Et tout cela en 4 jours !
2 votes
Wow, j'ai tellement ri. Félicitations pour le titre aguicheur (et aussi pour votre gestion de la situation :)
0 votes
Je ne sais pas s'il existe un organisme comme le Better Business Bureau au Royaume-Uni, mais si c'est le cas, ce type doit être sérieusement dénoncé. Ce sera un peu plus officiel et probablement plus acceptable pour votre avocat que de le dénoncer sur un site Internet de questions-réponses.
0 votes
Question subsidiaire : est-ce que le PCI SSC établit réellement une liste des contrevenants connus ?
1 votes
@prusswan Probablement juste une révocation de eh bien toute accréditation qu'ils peuvent.
0 votes
Je me suis inscrit à ServerFault juste pour pouvoir favoriser cette question. Je suis heureux de voir que la raison l'a emporté. J'ai souffert de la pédanterie mal orientée et de la façade exagérée des consultants "experts" sur divers projets logiciels et je suis heureux de voir que vous avez surmonté les vagues de blabla de la bonne manière.
49 votes
Une citation de LulzSec eux-mêmes : "Le pire, c'est que toutes les données que nous avons prises n'étaient pas cryptées. Sony a stocké plus de 1 000 000 de mots de passe de ses clients en clair, ce qui signifie qu'il suffit de les prendre. C'est honteux et peu sûr : ils l'ont bien cherché."
0 votes
N'oubliez pas que la responsabilité n'est engagée que si elle n'est PAS VRAIE !
1 votes
On dirait que vous avez un problème avec ce genre de personnes : serverfault.com/questions/268542/
7 votes
Il convient de noter qu'au Royaume-Uni, bien que la vérité soit une défense absolue contre la diffamation, la charge de la preuve incombe à l'accusé. défendeur pour prouver que c'est vrai. Presque certainement plus d'ennuis que ça n'en vaut la peine.
3 votes
Même si vous ne pouvez pas révéler le nom du gars ou la société pour laquelle il travaille, j'espère que vous pourrez faire le point sur la perte éventuelle de son statut d'auditeur.
2 votes
@al je lui ai donné mes coordonnées bancaires, il dit qu'il va m'envoyer un milliard de dollars mais qu'il y a des petits frais de traitement que je dois payer, cela semble raisonnable et il ne semble pas y avoir quelque chose contre cela dans les directives PCI =)
3 votes
@inTide Je vais essayer de rester en contact avec la situation, je ne sais pas combien de temps PCI prendra pour enquêter, et même s'ils me rappelleront, mais si j'entends quelque chose, je mettrai le fil à jour.
0 votes
@CesarB Oui, il semble que j'attire les idiots (je ne sais pas si cela doit me dire quelque chose, ha). C'était une société distincte et juste un serveur web, si je me souviens bien, PCI recommande l'utilisation d'un dispositif séparé comme pare-feu, et lorsque le budget/les exigences le permettent, j'aime utiliser un dispositif de pare-feu séparé (et c'était le cas avec ces serveurs).
40 votes
I'm going to assume you do not have PCI installed on your servers
On dirait qu'il a raison sur quelque chose.6 votes
Lol à toi lui disant accidentellement qu'il est un idiot. :)
8 votes
Si j'étais votre patron, je vous donnerais une augmentation.
2 votes
Les personnes du I.T. Security Stack Exchange doivent vraiment voir ceci (peut-être que la plupart d'entre eux sont des utilisateurs ici aussi). Bon travail en appelant B.S. sur cet "expert".
2 votes
@pootzko Si j'étais mon patron, je me donnerais une augmentation =) Attends, ça marche ?
1 votes
Je ne suis même pas dans la sécurité et je sais que toutes les choses qu'il demande sont de mauvaises idées. Quel abruti.
0 votes
Je suis intéressé par la façon dont la révélation d'un vrai L'expérience avec un fournisseur n'est pas différente de la critique d'une entreprise, hors ligne ou en ligne. Vous ne devriez probablement pas révéler son nom, mais je pense que vous avez tout à fait le droit de publier le nom de son entreprise et que vous seriez un peu irresponsable de ne pas le faire - il trompe dangereusement les gens, ce qui pourrait avoir de graves conséquences. J'espère que vous révéleriez l'identité d'un tueur en série, quelles que soient les conséquences juridiques, je ne vois pas pourquoi le principe éthique serait différent en cas d'incompétence et de perte potentielle de millions de dollars.
2 votes
Sam Une chance d'avoir une mise à jour ? Ce roman aurait besoin d'une fin, si vous en avez une.
26 votes
J'ai essayé de rester en contact avec l'entreprise et de me tenir au courant de ce qui se passe, mais, comme on peut le comprendre, ils ne semblent plus vouloir de moi maintenant que nous avons déménagé. Je sais qu'ils se sont débarrassés de l'auditeur, qu'ils ont également contacté les quelques clients qui utilisaient ce service pour s'assurer qu'ils ne suivaient aucun de ses conseils, et qu'ils ont proposé de payer tous les coûts associés à cette saga (il n'y en a pas eu, à part les quelques choses que j'ai cassées en étant frustré). Je ne pense pas qu'ils aient voulu que tout cela arrive, ils n'ont tout simplement pas prêté attention à leurs clients.
7 votes
L'une des questions les plus géniales de tout le réseau StackExchange :)
1 votes
Lire ceci m'a rendu si furieux ! Je ne supporte pas que les gens soient si aveugles et qu'ils refusent d'écouter et de faire leurs recherches. J'aimerais que vous dénonciez l'entreprise (peut-être le BBB ?) Je peux comprendre que même des ennuis juridiques frivoles peuvent être coûteux, mais je suis sûr que le Premier Amendement vous protégerait en supposant que rien de ce qui précède n'est falsifié. Je trouve très intéressant que PCI parle de cryptographie forte pour la protection par mot de passe, par opposition au digest.
3 votes
@ExplosionPills - le premier amendement ne s'applique qu'à l'Amérique, et l'op est du Royaume-Uni. Le Royaume-Uni a sehr des lois strictes sur la diffamation. En fait, l'Amérique est l'un des seuls pays au monde à protéger la liberté d'expression ; c'est une chose que la grande majorité du reste du monde (développé et non développé) n'a pas.
1 votes
J'espère juste que son patron lira ce fil...
3 votes
@MarkHenderson Woah là ! La liberté d'expression est par exemple parmi les Les droits fondamentaux dans la Constitution allemande . C'est juste apprécié de ne pas faire le con à ce sujet, par exemple en vous demandant de respecter "le droit à l'honneur personnel". Et même aux USA (qui ne sont pas les tout le site Amérique FYI) vous faire Réfléchissez-y à deux fois avant d'utiliser votre liberté d'expression pour déclarer quelque chose de stupide comme "vous n'avez même pas de PCI installé". Ou Menacer le Président .
0 votes
@Cek Son patron lui demandera probablement simplement de ne pas perdre de temps à lire de telles "conneries mal informées" et d'obtenir plus de mots de passe :-P
2 votes
@sam Des nouvelles de l'enquête ? Vous devriez accepter une réponse...
2 votes
J'adore quand les gens qui ne connaissent rien pensent que parce qu'ils "font" quelque chose depuis longtemps, cela signifie qu'ils le font bien ou correctement. Le temps ne peut que très rarement se substituer à l'intelligence, comme le prouve cet (ex-) auditeur, je l'espère.
2 votes
C'est le cri de "Dunning-Kruger"...
3 votes
@sam Avez-vous eu des nouvelles concernant l'enquête ? Si oui, pouvez-vous le partager ?
12 votes
Que s'est-il passé après que vous l'ayez dénoncé au PCI ? S'il vous plaît, mettez à jour... ! Ne laissez pas un cliffhanger !
3 votes
J'aime comment il pense que "diffamation" s'écrit "responsabilité".
1 votes
Envoyez-lui un lien vers "password hashing".
1 votes
Je suis curieux de savoir comment leur entreprise s'est conformée à la norme PCI pour commencer. Wow.
0 votes
"Je suis dans ce secteur depuis plus longtemps que n'importe qui sur ce site, obtenir une liste de mots de passe de comptes utilisateurs est incroyablement basique," A moins que son premier ordinateur n'utilise des tubes, je peux garantir qu'il a tort. Je pense qu'il vous testait, puisque garder les mots de passe est expressément interdit.
0 votes
Cela ressemble exactement à un directeur particulier de la ville de Virginia Beach. Sauf qu'il ne sait pas épeler "Linux" donc ça ne peut pas être lui.
0 votes
Sérieusement : Si votre entreprise a un conseiller juridique interne, prenez rendez-vous avec lui dès que possible. Renseignez-vous sur vos options en ce qui concerne les politiques de votre entreprise et sur les possibilités qui s'offrent à vous. Si elles sont mauvaises, commencez à mettre à jour votre CV.
1 votes
J'espère qu'il s'agit d'une sorte de test d'ingénierie sociale et que si vous dites maintenant, vous réussissez ?
0 votes
"Virez-vous vous-même" ? Er, qu'est-ce que OP a fait de mal ?
0 votes
L'une des grandes décisions que tout le monde devra bientôt prendre est de supprimer toute option de paiement autre que le bitcoin. Vos clients évolueront pour payer en utilisant Bitcoin plutôt que PayPal, etc.
0 votes
Wow. En regardant ses "demandes d'audit", une chose m'est venue à l'esprit : il demande en fait toutes les données de vos clients ! C'est une énorme violation de la vie privée... et je pense que votre décision de passer à un autre service de traitement des paiements était la bonne.
2 votes
Pour être clair, "Je voudrais également suggérer que toute tentative de me dévoiler, ou de dévoiler [le nom de la société], sera considérée comme responsable et que des mesures juridiques appropriées seront prises" est une indication absolue que l'"auditeur" sait qu'il fait quelque chose qui lui causerait, à lui et à sa société, de gros problèmes. Compte tenu de ses exigences, je soupçonne qu'il s'agit en fait soit d'un attaquant qui tente de faire de l'ingénierie sociale, soit d'un employé légitime qui collecte des informations non autorisées. Demandez à votre conseil juridique de contacter directement son conseil juridique pour lui communiquer l'information, décrivez-le comme une "divulgation responsable" ;)
28 votes
I'd actually forgotten I'd called him an idiot in the title
- J'aimerais pouvoir donner un autre vote positif juste pour cette mésaventure.4 votes
Le nom de la société a-t-il jamais été révélé ?
1 votes
J'ai tellement ri que j'ai reniflé du lait par le nez !
2 votes
Puis j'ai fait défiler l'écran jusqu'en haut de la page pour vérifier si cela avait été posté le 1er avril.
4 votes
J'ai remarqué qu'il est assez fréquent que des personnes incompétentes ou malhonnêtes (ou les deux) affirment depuis combien de temps elles exercent leur profession si vous n'êtes pas d'accord avec elles. En fait, il n'y a pas si longtemps, j'ai eu cette expérience avec un plombier.
1 votes
Les personnes incompétentes n'ont généralement pas les compétences nécessaires pour voir qu'elles sont incompétentes au départ.
0 votes
J'adore la façon dont tu lui as donné le lien de cette question où tu le traites d'idiot dans une police de 24px. C'était incroyablement (si ce n'est pas intentionnel) sauvage.
2 votes
Au moins l'individu connaissait la différence entre la diffamation et la calomnie. Bien sûr, comme cela a été souligné, les informations factuelles ne sont pas de la diffamation, et ne peuvent pas être de la diffamation puisque la diffamation consiste à publier de fausses informations (et vous devez savoir qu'elles sont fausses lorsqu'elles sont publiées, du moins aux États-Unis).
3 votes
OP, vous devriez suggérer à l'auditeur de s'inscrire et d'écrire sa propre réponse s'il pense que nous ne savons pas de quoi nous parlons. J'adorerais voir ça
7 votes
D'autres mises à jour ? Je pense que la communauté aimerait savoir comment le PCI a réagi.
4 votes
Veuillez hacher en MD5 le nom de la société et le divulguer "accidentellement" quelque part :) Pour des raisons de "sécurité", ne donnez que le prénom (de préférence moins de 8 caractères).
0 votes
Je serais curieux de savoir comment vous avez été impliqué dans cette entreprise. Je doute qu'il soit un idiot, mais il n'était pas non plus un véritable auditeur de sécurité. On dirait que vous avez failli être la proie d'une fausse organisation criminelle.
1 votes
Au moins, je sais maintenant qu'il ne travaille pas pour Paypal. Dieu merci.
0 votes
Peut-être que l'entreprise fait partie du personnel d'une autre entreprise ou d'un autre pays et qu'elle utilise cette technique pour s'introduire dans le système de ses proies. Honnêtement, c'est trop évident pour être de la stupidité. Il pourrait vraiment y avoir la volonté de collecter des données sensibles derrière de telles demandes.
0 votes
J'ai enfin trouvé la question ultime sur tous les sites d'échange de piles ! XDD
0 votes
Il ne cesse de souligner combien de temps il a passé dans le secteur. Il ne semble pas insister sur la mise à jour de ses connaissances. Peut-être qu'elles ne sont pas très à jour ? Peut-être que la cryptographie à clé publique n'était pas très utilisée à l'époque ?
0 votes
Le rebondissement est : Il a vraiment reçu des mots de passe en clair de centaines d'entreprises et il est aussi le meilleur en ingénierie sociale de la planète.
0 votes
"Un email lui est envoyé à chaque fois qu'un utilisateur change son mot de passe, contenant le mot de passe en texte clair" Donc en gros, c'est une demande de publier dans le NY Times tous vos mots de passe en texte clair. Cet auditeur est très sûr de lui, comme dirait Yoda.
0 votes
C'est mon post préféré du mois, et le mois vient à peine de commencer :)))
0 votes
Wow ! Quelle histoire extrêmement divertissante ! Dommage que vous ayez dû vivre cela ! J'engagerais l'auditeur en tant que consultant pour faire les tâches incroyablement faciles qu'il voulait vous faire faire. Puisque c'est si facile, il n'aurait probablement pas de problème avec un taux fixe :-)