@A. Jetable : Un "dernier recours" est exactement ce que vous utilisez lorsque vous échouez honnêtement à ce soi-disant "audit", non ? Expliquez au propriétaire que vous allez tout simplement échouer à cet audit, et que vous devrez vous préparer à déménager.

Il doit te tester pour voir si tu es vraiment aussi stupide. Pas vrai ? Je l'espère...

Je trouve incroyablement suspect que tout ce qu'il a demandé soit conçu pour être impossible ou se situe quelque part sur l'échelle de sécurité entre les deux. telnet et un Post-It avec un mot de passe collé sur le moniteur.

J'aimerais connaître des références d'autres entreprises qu'il a auditées. Si ce n'est pour une autre raison que pour savoir qui éviter . Des mots de passe en clair... vraiment ? Êtes-vous sûr que ce type n'est pas vraiment un chapeau noir et qu'il ne fait pas de l'ingénierie sociale pour que des entreprises stupides lui remettent leurs mots de passe d'utilisateur pendant des mois ? Parce que s'il y a des entreprises qui font cela avec lui, c'est un excellent moyen de remettre les clés...

@A. Throwaway : Je suis si heureux que des gens comme vous fassent l'effort de questionner les demandes. Cela me rassure sur le fait que le raisonnement logique prévaudra !

Fin de la diatribe : S'il vous plaît, s'il vous plaît, faites-nous savoir comment cela se passe. Je suis intriguée, tout comme les 20 autres personnes qui ont mis cette question en favoris.

J'aimerais savoir quel processeur de paiement vous envoie cet auditeur afin que je puisse les éviter dans mes futurs projets.

DUh. Envoie-lui les mots de passe cryptés. Dites-lui juste que tous vos utilisateurs suivent la politique de mot de passe très, très soigneusement, et choisissent des mots de passe aléatoires :)

Comme le laisse entendre @bacon bits, je me demande s'il n'est pas intentionnellement obtus juste pour voir comment vous vous en sortez, et la façon dont vous échouez à cet audit est la suivante no en le montrant du doigt et en riant jusqu'à ce que tu t'évanouisses. Sérieusement, je suggère de lui dire qu'il peut soit revoir sa demande pour quelque chose de sensé, soit aller se faire voir ailleurs. De toute façon, à ce moment-là, soit vous passez son premier "test", soit vous "virez" un fou dangereux. Je suis pour le gagnant-gagnant.

Cela ressemble à la façon dont mtgox a été piraté. cela a donné à un consultant en sécurité un tas de mots de passe hachés et il les a perdus et quelqu'un a pu casser les mots de passe et compromettre le système. donner à quelqu'un des mots de passe en texte clair et des clés privées SSH est incroyablement irresponsable.

Comme certains l'ont dit, les mots de passe en texte clair = stupide. Envoyer un courriel à QUICONQUE avec des mots de passe en texte clair = stupide. Leur envoyer des clefs privées !? Corrigez-moi si je me trompe, mais les clés privées devraient rester JUSTE CELLES-CI !?

Ne donnez jamais à tout le monde votre/vos clé(s) privée(s) SSH.

Il n'y a pas de problème à donner à quelqu'un votre clé privée SSH ; collez simplement une chaîne aléatoire de la longueur de Guerre et paix sur comme la phrase de passe d'abord. <grin>

Ce type est dangereux et devrait être écarté de l'industrie. Veuillez le nommer et lui faire honte pour que personne d'autre ne se retrouve dans cette situation. Dites-lui que c'est impossible parce que cela DEVRAIT être impossible. Les mots de passe en texte clair ne devraient pas exister en dehors de la matière grise. Les clés privées SSH appartiennent à l'utilisateur et non au serveur. Toute entreprise qui peut satisfaire ses demandes n'est pas sûre. Toute entreprise qui échoue à son audit est sécurisée.

Vous avez manifestement fait le bon choix en publiant cette information sur un site de questions-réponses bien connu. Nous ne pouvons qu'espérer que l'auditeur et/ou ses pairs voient cela. Maintenant, vous devez obtenir un deuxième avis - vérifier l'ensemble des exigences avec un autre cabinet d'audit.

Si votre histoire est vraie, je suis favorable à ce que cet individu et l'entreprise pour laquelle il travaille soient désignés comme tels.

D'autres ont apporté des commentaires et des réponses bien plus intelligents que les miens, mais je vous suggère d'abandonner votre tentative d'anonymat et de montrer ce message à votre patron pour qu'il puisse voir par lui-même ce que de vrais professionnels de l'informatique pensent des demandes de l'auditeur. Vous avez obtenu de très bonnes réponses ici de la part de personnes qui sont les meilleures de la profession.

En outre, chacune des choses demandées par l'auditeur constitue en soi une violation de la sécurité. Vous ne devriez pas divulguer les informations qu'il demande à qui que ce soit et j'ai du mal à comprendre la raison technique ou juridique pour laquelle il veut ces informations. Vous ne connaissez pas ce type de Jack Black, pourquoi lui fourniriez-vous ces informations ? En lui fournissant ces informations, vous mettez toute votre organisation en danger. Je ne suis pas un expert en droit ou en sécurité, mais la première chose que je ferais serait de convaincre mon patron qu'il doit faire appel à un avocat expérimenté en matière de conformité.

Vous avez une phrase en cours. Sinon, c'est à peu près ce que j'aurais écrit. "Je vous suggère fortement de revoir vos exigences d'audit, il n'y a actuellement aucun moyen pour nous de passer cet audit tout en restant en conformité avec PCI et la loi sur la protection des données." Vous devriez avoir un "comme" après la première virgule. Aussi, mettez votre superviseur en copie conforme. Je pense qu'ils vont trouver sa demande intéressante.

Je chipote ici, mais un "cryptage fort" ne doit pas nécessairement être un hachage à sens unique. Il pourrait être réversible. Cela ne rend pas sa demande moins ridicule.

Si vous voulez vraiment avoir l'air étanche, corrigez la virgule mal utilisée dans la dernière phrase de votre projet.

Après qu'on m'ait demandé une seule de ces choses, je me suis contenté de rire au nez du gars. Privé Clés SSH ? !

Vous devez remonter la chaîne, la vôtre et la sienne (fournisseur de paiement). Je pense qu'il s'agit soit d'un chapeau noir, soit d'un imbécile. Remonter sur la base d'une violation de la sécurité - si jamais nous essayons de donner ceci à quelqu'un, ce serait une violation automatique de la sécurité.

Pourriez-vous arrêter d'épeler "perdre" de manière incorrecte ?

Ne lui envoyez plus d'e-mail. Même pour envoyer le dernier e-mail que vous avez édité dans votre question. Cet homme est fou et vous ne devriez communiquer avec lui, à ce stade, que si vous êtes spécifiquement destiné par votre patron.

Il n'y a aucune raison pour que l'auditeur ait des copies des clés privées, elles ne sont que cela, des données privées non distribuées. En fait, si j'étais l'auditeur et que quelqu'un me donnait des clés ssh privées dans le cadre de l'audit, je les rejetterais si seulement je pouvais trouver la bonne case à cocher sur le formulaire. Pour la vérification des mots de passe faibles, le mieux à faire est de laisser Jacktheripper utiliser un bon dictionnaire sur la base de données et tenter de le craquer. |Je signale un échec pour chacun d'entre eux, mais on pourrait s'attendre à des limites de validation lorsque le mot de passe est défini de toute façon.

Pourriez-vous afficher le nom de la société de sécurité ? Je pense que cela dépasse les questions d'éthique sur l'affichage des noms de sociétés/individus sur le grand effrayant "Internet" - Il s'agit d'un danger direct et immédiat pour toute société qu'il "audite", pouvez-vous fournir cette information dans l'intérêt de la protection des innocents ?

Etes-vous sûr que ce n'est pas un très astucieux Le vérificateur essaie de voir si votre système est assez peu sécurisé ou si vous êtes assez stupide pour lui donner cette information ?

@crasic, je pense que le PO a couvert ce point dans sa première mise à jour.

Toute incompétence suffisamment avancée est indiscernable de la malveillance.

@geteipordietryin Je le ferai une fois que nous aurons fini de migrer vers PayPal, c'est une très petite entreprise locale (<100 clients) donc je suppose qu'ils utilisent les alertes Google etc. et pourraient facilement trouver ce post si je les nomme.

En ce qui concerne la manière de répondre à l'auditeur, vous pouvez vous renseigner sur les points suivants Sécurité de l'information où il y a beaucoup de gens qui ont l'expérience du PCI.

Vous pouvez également être personnellement responsable de certaines infractions à la législation européenne sur la protection des données. Je n'arrive pas à trouver de référence définitive pour le moment, mais on m'a clairement expliqué cette situation en tant qu'employé il y a quelques années. J'ai trouvé un résumé à l'adresse suivante out-law.com/page-413 - Recherche de "Les employés peuvent également encourir une responsabilité pénale".

Jetez un coup d'œil ici symantec.com/connect/articles/ ça ressemble à cette histoire.

Un nom jetable avec près de 500 points et 3 badges d'or :P

Une chance que ce soit un piège. Ça ressemble à une situation où si tu lui donnes ce qu'il veut, tu rates l'audit.

Cette réponse est vraiment géniale, ferme mais professionnelle. Tant de gens auraient été lâches ou sarcastiques ! Gardez le même ton dans le corps de l'e-mail, mais vous pouvez aussi proposer des offres spécifiques de ce que vous pouvez lui montrer, de sorte que, dans le cas improbable où il serait sérieux à propos de cette idiotie mais prêt à entendre raison, vous apparaissez toujours comme utile.

Reid Oh non, quel gâchis pour les numériques ! Tous ces tubes !

De toutes les parties ridicules de sa demande, donner votre clé SSH privée est la pire. C'est comme "donnez-moi la possibilité de signer votre nom et de falsifier vos empreintes digitales". Il est soit fou, soit en train de vous pirater, soit un crétin. Donner cette clé serait pire pour vous que d'être licencié pour ne pas l'avoir fait ; au moins, vous ne serez pas dans les journaux lorsque l'entreprise tombera en flammes.

Wow... Je sors tout juste de l'école après avoir étudié l'informatique. Je ne m'intéresse même pas à la sécurité et je peux vous dire que ça a l'air louche.

Pour le bien de l'humanité, S'IL VOUS PLAÎT, dites-nous son nom et pour quelle société il travaille. Ils doivent absolument être exposés publiquement.

Que vous suiviez ou non le conseil de joekwerty et que vous fassiez connaître votre identité, cela ne peut pas faire de mal de montrer à votre patron ce post et la réponse dramatique.

Des mises à jour ? Cela fait 3 jours.

Je te donnerais 1337 médailles pour ça haha, hilarant.

Bien joué, A. Throwaway. J'applaudis votre persévérance. Je vous suggère maintenant de créer un compte serverfault normal pour vous-même et de demander aux administrateurs de serverfault de le fusionner avec celui-ci.

Libelle. Si c'est écrit, c'est de la diffamation, si je me souviens bien. Pas de responsabilité. Ou de la diffamation.

@Bart - Ce n'est de la diffamation que si ce n'est pas vrai (du moins aux États-Unis et, je crois, en droit anglais). Si les avocats sont d'accord, je pense que ce serait un service public de nommer et de faire honte à cet auditeur/cette société d'audit.

Publier son adresse e-mail est probablement une mauvaise idée. Vous savez que les gens ne sont pas satisfaits de lui et fournir des moyens explicites de le contacter ou de le harceler est, au mieux, éthiquement douteux et légalement discutable. Son nom et le nom de sa société ; cela serait très pertinent (notez que vous l'avez traité de "petit"). idiot Il est préférable de séparer l'opinion des faits si l'on veut publier ce genre de détails.) IANAL, ceci n'est pas un avis juridique.

Le Royaume-Uni a des lois assez strictes en matière de diffamation, je m'en méfierais donc avant de publier le nom de la personne ou de la société.

Je tiens à vous remercier d'avoir eu les couilles de tenir tête à ce type !

@voretaq7 : C'est vrai, je faisais juste référence à toute la menace faite dans les messages qu'elle serait responsable(sic) si OP publiait des informations.

Je ne vois aucun problème de protection des données pour ces demandes, la protection des données ne s'applique qu'aux consommateurs et non aux entreprises, il ne devrait donc y avoir aucun problème avec ces informations. --> Ouaip. Les données des entreprises ne valent rien si elles tombent dans les mains de concurrents ou de criminels. LMAO @ la pile entière d'email.

Heureux de voir une bonne fin, et merci de nous tenir au courant en attendant.

Upvoted pour un même 400... et il n'y a aucune chance que ce type puisse être un vrai auditeur de sécurité, à moins qu'ils ne vous laissent faire ça quand vous avez un QI inférieur à 50.

On dirait que vous avez fait tout ce qu'il fallait. A ceci, cependant : if they were doing this internally I think the only responsible thing to do would be to inform our customers... Je ne sais pas ce qu'il en est au Royaume-Uni, mais aux États-Unis, lorsqu'un fournisseur sait qu'il y a eu une violation, il est tenu d'en informer les clients. Comme je crois savoir que les lois britanniques sont plus strictes que les lois américaines, cela pourrait être une bonne assurance.

J'ai sincèrement souri quand j'ai lu que pci n'était pas installé ;) de toute façon si vous voulez garder cela nous pouvons fusionner vos deux comptes ensemble ? (nous pouvons voir vos doublons, normalement nous les fusionnerions mais il y a eu... Des circonstances atténuantes)

@Adrien Oui, les restrictions sont très strictes au Royaume-Uni, mais mon conseiller juridique m'a dit que nous prenons actuellement les bonnes mesures en informant le PCI SSC, mais que nous n'avons pas à faire quoi que ce soit jusqu'à ce qu'ils nous répondent et disent oui ou non.

Pour le bien de l'humanité, s'il vous plaît, révélez ce type.

@sam je pense que vous devriez juste accepter la réponse de Chopper pour avoir suggéré un piétinement de trottoir et appeler ça un jour.

@MarkM le coup de frein est si brusque, je préfère faire quelque chose à plus long terme. Il veut qu'on lui envoie un email quand on change un mot de passe. Et si je mettais en place un script pour lui envoyer 5000 mots de passe aléatoires par jour, nous collons au plus près de ses directives =)

@Chris S - Publier son nom, son téléphone, sa société, son adresse électronique et l'adresse de sa société est tout à fait légitime tant que ces informations sont déjà disponibles sur le site web de la société.

C'est l'un des messages les plus divertissants que j'aie jamais lus sur le réseau Stack Exchange.

Je suis content que vous ayez résolu le problème. Une fois, j'ai examiné la conformité PCI lors de la mise en œuvre d'un système de paiement et j'ai décidé que c'était trop risqué. Nous avons donc opté pour une passerelle de paiement conforme à la norme PCI et nous n'avons pas eu à nous soucier de l'aspect sécurité puisque les paiements n'étaient pas pris en charge par notre site Web... de la même manière que Paypal. Beaucoup plus facile !

En outre, félicitations pour avoir battu un certain nombre de records de SF. Je suis presque sûr que cette question a le plus de upvotes, le plus de vues, le plus de favoris, et ses réponses ont le plus de votes de toutes les autres questions sur le serveur fault. Elle est également restée en tête des questions chaudes de Stack Exchange pendant trois jours d'affilée (elle est maintenant redescendue à la 2e place, awww). Et tout cela en 4 jours !

Wow, j'ai tellement ri. Félicitations pour le titre aguicheur (et aussi pour votre gestion de la situation :)

Je ne sais pas s'il existe un organisme comme le Better Business Bureau au Royaume-Uni, mais si c'est le cas, ce type doit être sérieusement dénoncé. Ce sera un peu plus officiel et probablement plus acceptable pour votre avocat que de le dénoncer sur un site Internet de questions-réponses.

Question subsidiaire : est-ce que le PCI SSC établit réellement une liste des contrevenants connus ?

@prusswan Probablement juste une révocation de eh bien toute accréditation qu'ils peuvent.

Je me suis inscrit à ServerFault juste pour pouvoir favoriser cette question. Je suis heureux de voir que la raison l'a emporté. J'ai souffert de la pédanterie mal orientée et de la façade exagérée des consultants "experts" sur divers projets logiciels et je suis heureux de voir que vous avez surmonté les vagues de blabla de la bonne manière.

Une citation de LulzSec eux-mêmes : "Le pire, c'est que toutes les données que nous avons prises n'étaient pas cryptées. Sony a stocké plus de 1 000 000 de mots de passe de ses clients en clair, ce qui signifie qu'il suffit de les prendre. C'est honteux et peu sûr : ils l'ont bien cherché."

N'oubliez pas que la responsabilité n'est engagée que si elle n'est PAS VRAIE !

On dirait que vous avez un problème avec ce genre de personnes : serverfault.com/questions/268542/

Il convient de noter qu'au Royaume-Uni, bien que la vérité soit une défense absolue contre la diffamation, la charge de la preuve incombe à l'accusé. défendeur pour prouver que c'est vrai. Presque certainement plus d'ennuis que ça n'en vaut la peine.

Même si vous ne pouvez pas révéler le nom du gars ou la société pour laquelle il travaille, j'espère que vous pourrez faire le point sur la perte éventuelle de son statut d'auditeur.

@al je lui ai donné mes coordonnées bancaires, il dit qu'il va m'envoyer un milliard de dollars mais qu'il y a des petits frais de traitement que je dois payer, cela semble raisonnable et il ne semble pas y avoir quelque chose contre cela dans les directives PCI =)

@inTide Je vais essayer de rester en contact avec la situation, je ne sais pas combien de temps PCI prendra pour enquêter, et même s'ils me rappelleront, mais si j'entends quelque chose, je mettrai le fil à jour.

@CesarB Oui, il semble que j'attire les idiots (je ne sais pas si cela doit me dire quelque chose, ha). C'était une société distincte et juste un serveur web, si je me souviens bien, PCI recommande l'utilisation d'un dispositif séparé comme pare-feu, et lorsque le budget/les exigences le permettent, j'aime utiliser un dispositif de pare-feu séparé (et c'était le cas avec ces serveurs).

I'm going to assume you do not have PCI installed on your servers On dirait qu'il a raison sur quelque chose.

Lol à toi lui disant accidentellement qu'il est un idiot. :)

Si j'étais votre patron, je vous donnerais une augmentation.

Les personnes du I.T. Security Stack Exchange doivent vraiment voir ceci (peut-être que la plupart d'entre eux sont des utilisateurs ici aussi). Bon travail en appelant B.S. sur cet "expert".

@pootzko Si j'étais mon patron, je me donnerais une augmentation =) Attends, ça marche ?

Je ne suis même pas dans la sécurité et je sais que toutes les choses qu'il demande sont de mauvaises idées. Quel abruti.

Je suis intéressé par la façon dont la révélation d'un vrai L'expérience avec un fournisseur n'est pas différente de la critique d'une entreprise, hors ligne ou en ligne. Vous ne devriez probablement pas révéler son nom, mais je pense que vous avez tout à fait le droit de publier le nom de son entreprise et que vous seriez un peu irresponsable de ne pas le faire - il trompe dangereusement les gens, ce qui pourrait avoir de graves conséquences. J'espère que vous révéleriez l'identité d'un tueur en série, quelles que soient les conséquences juridiques, je ne vois pas pourquoi le principe éthique serait différent en cas d'incompétence et de perte potentielle de millions de dollars.

Sam Une chance d'avoir une mise à jour ? Ce roman aurait besoin d'une fin, si vous en avez une.

J'ai essayé de rester en contact avec l'entreprise et de me tenir au courant de ce qui se passe, mais, comme on peut le comprendre, ils ne semblent plus vouloir de moi maintenant que nous avons déménagé. Je sais qu'ils se sont débarrassés de l'auditeur, qu'ils ont également contacté les quelques clients qui utilisaient ce service pour s'assurer qu'ils ne suivaient aucun de ses conseils, et qu'ils ont proposé de payer tous les coûts associés à cette saga (il n'y en a pas eu, à part les quelques choses que j'ai cassées en étant frustré). Je ne pense pas qu'ils aient voulu que tout cela arrive, ils n'ont tout simplement pas prêté attention à leurs clients.

L'une des questions les plus géniales de tout le réseau StackExchange :)

Lire ceci m'a rendu si furieux ! Je ne supporte pas que les gens soient si aveugles et qu'ils refusent d'écouter et de faire leurs recherches. J'aimerais que vous dénonciez l'entreprise (peut-être le BBB ?) Je peux comprendre que même des ennuis juridiques frivoles peuvent être coûteux, mais je suis sûr que le Premier Amendement vous protégerait en supposant que rien de ce qui précède n'est falsifié. Je trouve très intéressant que PCI parle de cryptographie forte pour la protection par mot de passe, par opposition au digest.

@ExplosionPills - le premier amendement ne s'applique qu'à l'Amérique, et l'op est du Royaume-Uni. Le Royaume-Uni a sehr des lois strictes sur la diffamation. En fait, l'Amérique est l'un des seuls pays au monde à protéger la liberté d'expression ; c'est une chose que la grande majorité du reste du monde (développé et non développé) n'a pas.

J'espère juste que son patron lira ce fil...

@MarkHenderson Woah là ! La liberté d'expression est par exemple parmi les Les droits fondamentaux dans la Constitution allemande . C'est juste apprécié de ne pas faire le con à ce sujet, par exemple en vous demandant de respecter "le droit à l'honneur personnel". Et même aux USA (qui ne sont pas les tout le site Amérique FYI) vous faire Réfléchissez-y à deux fois avant d'utiliser votre liberté d'expression pour déclarer quelque chose de stupide comme "vous n'avez même pas de PCI installé". Ou Menacer le Président .

@Cek Son patron lui demandera probablement simplement de ne pas perdre de temps à lire de telles "conneries mal informées" et d'obtenir plus de mots de passe :-P

@sam Des nouvelles de l'enquête ? Vous devriez accepter une réponse...

J'adore quand les gens qui ne connaissent rien pensent que parce qu'ils "font" quelque chose depuis longtemps, cela signifie qu'ils le font bien ou correctement. Le temps ne peut que très rarement se substituer à l'intelligence, comme le prouve cet (ex-) auditeur, je l'espère.

C'est le cri de "Dunning-Kruger"...

@sam Avez-vous eu des nouvelles concernant l'enquête ? Si oui, pouvez-vous le partager ?

Que s'est-il passé après que vous l'ayez dénoncé au PCI ? S'il vous plaît, mettez à jour... ! Ne laissez pas un cliffhanger !

J'aime comment il pense que "diffamation" s'écrit "responsabilité".

Envoyez-lui un lien vers "password hashing".

Je suis curieux de savoir comment leur entreprise s'est conformée à la norme PCI pour commencer. Wow.

"Je suis dans ce secteur depuis plus longtemps que n'importe qui sur ce site, obtenir une liste de mots de passe de comptes utilisateurs est incroyablement basique," A moins que son premier ordinateur n'utilise des tubes, je peux garantir qu'il a tort. Je pense qu'il vous testait, puisque garder les mots de passe est expressément interdit.

Cela ressemble exactement à un directeur particulier de la ville de Virginia Beach. Sauf qu'il ne sait pas épeler "Linux" donc ça ne peut pas être lui.

Sérieusement : Si votre entreprise a un conseiller juridique interne, prenez rendez-vous avec lui dès que possible. Renseignez-vous sur vos options en ce qui concerne les politiques de votre entreprise et sur les possibilités qui s'offrent à vous. Si elles sont mauvaises, commencez à mettre à jour votre CV.

J'espère qu'il s'agit d'une sorte de test d'ingénierie sociale et que si vous dites maintenant, vous réussissez ?

"Virez-vous vous-même" ? Er, qu'est-ce que OP a fait de mal ?

L'une des grandes décisions que tout le monde devra bientôt prendre est de supprimer toute option de paiement autre que le bitcoin. Vos clients évolueront pour payer en utilisant Bitcoin plutôt que PayPal, etc.

Wow. En regardant ses "demandes d'audit", une chose m'est venue à l'esprit : il demande en fait toutes les données de vos clients ! C'est une énorme violation de la vie privée... et je pense que votre décision de passer à un autre service de traitement des paiements était la bonne.

Pour être clair, "Je voudrais également suggérer que toute tentative de me dévoiler, ou de dévoiler [le nom de la société], sera considérée comme responsable et que des mesures juridiques appropriées seront prises" est une indication absolue que l'"auditeur" sait qu'il fait quelque chose qui lui causerait, à lui et à sa société, de gros problèmes. Compte tenu de ses exigences, je soupçonne qu'il s'agit en fait soit d'un attaquant qui tente de faire de l'ingénierie sociale, soit d'un employé légitime qui collecte des informations non autorisées. Demandez à votre conseil juridique de contacter directement son conseil juridique pour lui communiquer l'information, décrivez-le comme une "divulgation responsable" ;)

I'd actually forgotten I'd called him an idiot in the title - J'aimerais pouvoir donner un autre vote positif juste pour cette mésaventure.

Le nom de la société a-t-il jamais été révélé ?

J'ai tellement ri que j'ai reniflé du lait par le nez !

Puis j'ai fait défiler l'écran jusqu'en haut de la page pour vérifier si cela avait été posté le 1er avril.

J'ai remarqué qu'il est assez fréquent que des personnes incompétentes ou malhonnêtes (ou les deux) affirment depuis combien de temps elles exercent leur profession si vous n'êtes pas d'accord avec elles. En fait, il n'y a pas si longtemps, j'ai eu cette expérience avec un plombier.

Les personnes incompétentes n'ont généralement pas les compétences nécessaires pour voir qu'elles sont incompétentes au départ.

J'adore la façon dont tu lui as donné le lien de cette question où tu le traites d'idiot dans une police de 24px. C'était incroyablement (si ce n'est pas intentionnel) sauvage.

Au moins l'individu connaissait la différence entre la diffamation et la calomnie. Bien sûr, comme cela a été souligné, les informations factuelles ne sont pas de la diffamation, et ne peuvent pas être de la diffamation puisque la diffamation consiste à publier de fausses informations (et vous devez savoir qu'elles sont fausses lorsqu'elles sont publiées, du moins aux États-Unis).

OP, vous devriez suggérer à l'auditeur de s'inscrire et d'écrire sa propre réponse s'il pense que nous ne savons pas de quoi nous parlons. J'adorerais voir ça

D'autres mises à jour ? Je pense que la communauté aimerait savoir comment le PCI a réagi.

Veuillez hacher en MD5 le nom de la société et le divulguer "accidentellement" quelque part :) Pour des raisons de "sécurité", ne donnez que le prénom (de préférence moins de 8 caractères).

Je serais curieux de savoir comment vous avez été impliqué dans cette entreprise. Je doute qu'il soit un idiot, mais il n'était pas non plus un véritable auditeur de sécurité. On dirait que vous avez failli être la proie d'une fausse organisation criminelle.

Au moins, je sais maintenant qu'il ne travaille pas pour Paypal. Dieu merci.

Peut-être que l'entreprise fait partie du personnel d'une autre entreprise ou d'un autre pays et qu'elle utilise cette technique pour s'introduire dans le système de ses proies. Honnêtement, c'est trop évident pour être de la stupidité. Il pourrait vraiment y avoir la volonté de collecter des données sensibles derrière de telles demandes.

J'ai enfin trouvé la question ultime sur tous les sites d'échange de piles ! XDD

Il ne cesse de souligner combien de temps il a passé dans le secteur. Il ne semble pas insister sur la mise à jour de ses connaissances. Peut-être qu'elles ne sont pas très à jour ? Peut-être que la cryptographie à clé publique n'était pas très utilisée à l'époque ?

Le rebondissement est : Il a vraiment reçu des mots de passe en clair de centaines d'entreprises et il est aussi le meilleur en ingénierie sociale de la planète.

"Un email lui est envoyé à chaque fois qu'un utilisateur change son mot de passe, contenant le mot de passe en texte clair" Donc en gros, c'est une demande de publier dans le NY Times tous vos mots de passe en texte clair. Cet auditeur est très sûr de lui, comme dirait Yoda.

C'est mon post préféré du mois, et le mois vient à peine de commencer :)))

Wow ! Quelle histoire extrêmement divertissante ! Dommage que vous ayez dû vivre cela ! J'engagerais l'auditeur en tant que consultant pour faire les tâches incroyablement faciles qu'il voulait vous faire faire. Puisque c'est si facile, il n'aurait probablement pas de problème avec un taux fixe :-)