База Microsoft Careers могла быть скопирована или изменена

Независимы эксперт по информационной безопасности Крис Викери (Chris Vickery) обнаружил серьезную проблему в безопасности базы данных сайта Microsoft Careers. Это произошло из-за плохой настройки MongoDB, которая обслуживается для Microsoft компанией Punchkick Interactive. Странно, что такой технологический гигант не в состоянии сам обеспечить работоспособность собственного сайта по подбору персонала.

Конфиденциальные данные могли попасть в руки злоумышленников, либо могли быть изменены. В доказательство обнаруженной проблемы Крис отправил в корпорацию имя, email адрес, хэш пароля и токены менеджера Microsoft Global Employment Кэрри Шепро (Karrie Shepro). Надо отметить, что уже через час ошибка в настройке была устранена, но сколько данная уязвимость имелась у сайта неизвестно.

В данном случае инцидент демонстрирует конечно же серьезную проблему в компетентности подрядчика корпорации из-за которого огромная база могла быть скомпрометирована и использована в своих целях злоумышленниками. Такие инциденты происходят иногда из-за неосторожности или невнимательности администраторов БД, что вероятно и произошло.

Сейчас практически все, что существует так или иначе производится с использованием глобальной сети Интернет, в том числе и поиск работы и подбор персонала, что конечно же в итоге серьезно повышает эффективность взаимодействия сокращая сроки и расходы. Те же электронные торги в России проходят через глобальную сеть, где для участия в них требуется изготовление ЭЦП для электронных торгов, чтобы свести к минимум возможные неправомерные действия злоумышленниками, но безопасность в сети может быть снижена мгновенно из-за одной ошибки администратора или программиста.

В целом, с учетом грядущего распространения Интернета вещей, корпорациям еще только предстоит выработать новые подходы в безопасности, так как в противном случае, при возникновении одной ошибки под угрозой могут оказаться миллионы и миллиарды устройств, что конечно же не выгодно ни пользователям, ни компаниям, а уж тем более государственным структурам.