Új hozzászólás Aktív témák
-
veterán
-
cucka
addikt
Jelen esetben, ha az alkalmazottnak alap esetben nem volt joga hozzáférni az adatokhoz és hozzáfért akkor, nincs miről beszélni.
Ez adatkezelésileg teljesen érdektelen. Az adatbázis adminisztrátornak nem kötődik a munkája semmilyen ügyfél személyes adathoz, mégis hozzáfér az összeshez.
Az adatkezelő mindig a jogi személy, jelen esetben a Tesla nevű cég, nekik kell megfelelniük az adatkezelési szabályoknak. Az nincs sehol leírva, hogy ezt hogyan kell megvalósítsák.
Hitelkártya adatoknál más a kotta, mert létezik olyan, hogy PCI compliance. A különbség, hogy
- A PCI Compliance nem egy jogszabály, hanem a kártyakibocsátó cégek által megkövetelt szabályok halmaza
- A PCI Compliance sok szempontból előírja, hogy hogyan kell az adatkezelést megvalósítani -
Shyciii
veterán
Jó pár éve már 90+%-ban, így kerülnek ki az adatok. Az a ritkább, ha "elvszik"(ez manapság már nehezen fordul elő), vagy gondatlanság miatt kerül nyilvánosságra.
Manapság nehezen fordul elő? Lássuk csak így fejből mondjuk a hazait, de bőséggel van külföldi is, nem kell olyan sokat keresni, csak hogy "hagyjuk" azt a 90+%-ot:
- Kréta fejlesztőjének feltörése (2022)
- T-Mobile API-ja volt hulladék, amin keresztül adatokhoz lehetett hozzférni (2023)
- De mivel jópár évet mondtál, akkor lehet mondani a gyerkőcöt, aki akármilyen jegyet tudott szerezni ingyen weben keresztül a bkv-től (2017, 2018 már nem emlékszem)Külföldi így hirtelen:
- pl Paypal szívta meg tavaly, és csak idén januárban jelentették be....Több tízezres adatszivárgás volt, és nem alkalmazott tette közzé, hanem hackerek nyomták fel.
- Lastpass szintén idén, amit szintén feltörtek...ráadásul ők jelszókezelő szolgáltatást működtetnek, szal triplán "ciki" az egész.Keress csak rá a neten az adatszivárgásokra, és máris átértékeled azt a 90+%-ot hogy belsős ember teszi közzé.
[ Szerkesztve ]
-
Shyciii
veterán
Rendszerüzemeltetés, fejlesztés, adattárolás esetén mit jelent az, hogy véletlen?
Nincs olyan, hogy véletlen, szerintem a jog sem ismer ilyet. Azaz üzemeltető, aki adatokat tárol, fejleszt, üzemeltet, ott nincs olyan hogy véletlen. Nem írunk véletlenül programokat, nem úgy állítunk be egy szervert, hogy véletlenül, ahogy épp kijön a lépés, a tűzfalat sem véletlenül állítjuk be. Mindent tudatosan a tudásukhoz mérten végzik el, vagyis pontosan tudják, hogy mit csinálnak. Az más kérdés, hogy a tudás mennyire felel meg az adatbiztonság szempontjából, de nem lehet védekezni azzal, hogy véletlenül fértek az adatokhoz hozzá. -
cucka
addikt
Nop... Az adat titkosítva kell (kellene) tárolva legyen alkalmazás oldali titkosítással.
Kellene, igen, de még bankoknál sincs mindig így. Egyes rendszereknél igen.
De ha belegondolsz, mindig kell legyen valamilyen ember, aki képes az éles rendszeren hibákat diagnosztizálni/javítani, szóval ő hozzá fog férni az éles adatokhoz úgy, hogy alapvetően nem része a munkájának az adatkezelés.
És ezzel semmi baj nincs, egy nagy cégnél nagyon sokan hozzáférnek valamilyen bizalmas adathoz. -
Shyciii
veterán
lényegileg ilyenek mikor német Telekom elhagyta a DVD-t az ügyféladatokkal, USB-t elhagytak út közben, írtam a Toyota esetét, ilyenek.
Megnézném amúgy, hogy jogilag hogyan végződne ez. Ez nálam a szándékosságot kimeríti. Az a cég aki érzékeny adatokat DVD-n (wtf???), meg USB-s pendrive-on hordoz, azaz én szememben szándékos bűncselekményt követ el. Még akkor is, ha encryptálva voltak az adatok, vagyis visszanyerhetetlenek illetékteleneknek. De ha még le se volt titkosítva, akkor meg pláne szándékosnak minősíteném. SEMMI nem indokolja, hogy fizikai adathordozón kelljen szállítani ilyen adatokat, főleg nem úgy, hogy közben metrón, buszon utazik, vagy betér közben egy kávézóba...
Amúgy nem egy nagyobb cégnél voltam, ahol olyan gépen dolgoztak szándékosan, amiben nem volt cd/dvd/bd író/olvasó, az USB portok meg le voltak tiltva. És ez nem 1-2 éve láttam/csináltam...Ha valaki egy 0-Day-t használ ki adatok eltávolításhoz, vagy egy alá Solarwinds beszállítói SW-ben lévő malwaren keresztül akkor nem terheli felelősség az adott céget, mivel rajtuk kívül álló okok vezettek az adat eltulajdonításhoz
Az általam felsorolt példa cégek a közelmúltból egyik sem 0-day volt, tehát továbbra is súlyos hiba a 90+%-os adat.
[ Szerkesztve ]
Új hozzászólás Aktív témák
- Milyen autót vegyek?
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- Motoros topic
- Milyen CPU léghűtést vegyek?
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- A fociról könnyedén, egy baráti társaságban
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Politika
- Tarr Kft. kábeltv, internet, telefon
- MIUI / HyperOS topik
- További aktív témák...