безопасность
1764

Ваши маленькие секреты на виду у всех!

Проблемы безопасности сайтов, о которых владельцы не думают...

Мы давно занимаемся сайтами, и через наши руки прошли сотни проектов, в том числе те, на которых вы бываете ежедневно. Поэтому мы можем давать советы, опираясь на свой опыт.

А опыт говорит о том, что клиенты, к сожалению, не слишком разборчивы в электронно-цифровых связях. Проще говоря, раздают свои пароли от сайта, почты, хостинга налево и направо.

В этой статье расскажу, чем это может быть чревато.

Прочитав статью, вы наверняка подумаете, что речь идет о хакерах. Нет. Всё, что описано здесь, касается только сотрудников вашей компании, существующих и, особенно, бывших - всех, у кого могут быть пароли от сайта, почты, хостинга и пр. Всё, о чем идет речь в этой статье, можно сделать мышкой, без знаний программирования и даже html. Это доступно абсолютно любому школьнику 5 класса, если он будет знать, куда кликать мышкой.

ПРОМЫШЛЕННЫЙ ШПИОНАЖ

Звучит круто, и обычно, когда мы слышим эти слова, представляем, как Том Круз ворует очередную флешку или компакт-диск с секретными чертежами «Звезды смерти», пробравшись через вентиляцию в совершенно неприступное, супер-охраняемое помещение.

Но промышленный шпионаж – не всегда такой зрелищный, как в кино. В жизни все прозаичнее.

Как у вас обстоят дела с паролем к корпоративной почте? Сколько человек его знают? Все менеджеры? А если человек увольняется? Доступ у него к вашей почте остаётся?

Если человек работал у вас и занимался, в том числе сайтом, а потом уволился, вы озаботились о том, чтобы поменять пароль в административной части сайта?

Обычно этими двумя проблемами безопасности страдают небольшие компании, где один пароль на всех, как шприц у наркоманов.

Чем больше сотрудников знает ваши пароли от почты и сайта, тем выше шанс, что заявками, поступившими с сайта, могут воспользоваться в своих целях новые работодатели ваших старых сотрудников. Да, это совсем «некрасиво», и так делать будут далеко не все. Но просто залезть в вашу почту, посмотреть с кем велась переписка — почему бы нет?

Я не говорю о том, что, имея доступ к вашей почте в яндексе или гугле, под которой вы обычно авторизованы, можно, поставив всего одну «галочку» в настройках, видеть все сайты, которые вы искали и посещали. В том числе из дома, главное, чтобы вы были авторизованы в почте и не использовали в браузере режим «инкогнито».

Искали, «как лечить геморрой в домашних условиях», вполне возможно, что ваша секретарша уже в курсе ваших маленьких проблем.

ЗЛОЙ УМЫСЕЛ

Вы, думаете, что в вашем почтовом ящике нет ничего интересного? Ошибаетесь! Имея доступ только к е-мейлу, можно получить доступ к сайтам, при регистрации на которых был указан этот е-мейл. Например, от сайта поставщика продукции, где ваша компания закупает товар, от страницы Вконтакте, от домена сайта, от хостинга.

Представляете, как здорово можно напакостить просто сменив везде пароли? Скорее всего, вы даже не сразу поймете, что это чей-то злой умысел.

Излишне упоминать, что имея доступ к хостингу, можно:
•    удалить весь сайт (придется его заказывать заново, если не было резервных копий, а у вас их точно нет);
•    заразить сайт вирусом (сайт потеряет доверие поисковых систем и перестанет искаться).

Имея доступ к домену, можно поменять в нем контактный е-мейл, и тогда не придет напоминание о необходимости продления домена (есть риск потерять домен).
«Авось» — достаточно надежная штука, но ровно до тех пор, пока не найдется человек, который достаточно зол на вас и который понимает, что можно сделать, имея только доступ к почте.

Даже если не делать «ничего такого», то, имея доступ к почте, можно:
•    проще простого настроить в почтовом ящике фильтр, чтобы новые заявки, поступившие с сайта автоматически удалялись (вы даже не увидите, что письмо было, и будете удивляться, почему перестали приходить новые заявки с сайта), то же самое можно сделать с выборочными адресами, например, вип-клиентов или поставщиков (они будут вам писать, а письма вы видеть не будете).
•    стереть всю почту и адресную книгу (вы потеряете все адреса, которые были запомнены в почтовом ящике).

В обоих случаях высока вероятность, что вы даже не поймете, что произошедшее - это не случайность, а кто-то специально это сделал.

СЛУЧАЙНОЕ ЗАРАЖЕНИЕ ВИРУСОМ

Не всегда проблемы случаются по чьему-то злому умыслу. Иногда по неосторожности. Вы дали доступ к сайту (в том числе по FTP) разным людям, кто-то из тех, кому вы дали пароль, подхватил компьютерный вирус. А вирус «увидев», что есть доступ к сайту, заразил сайт.

Нужно отметить, что сайты, зараженные вирусами, поисковые системы стараются не показывать в результатах поисковой выдачи, чтобы не распространять вирусы дальше. Поэтому сайт вашей компании очень скоро перестанут находить те, кто его ищут.

Лечение вируса будет стоить денег. Но даже после исцеления сайта, его еще минимум месяц поисковые системы не будут показывать пользователям.

То есть, если сайт приносил вам заказы, то минимум на месяц-два вы лишитесь этого источника клиентов.

ЗАРАБОТОК НА ВАШЕМ САЙТЕ

Кроме вредительства, есть более элегантные способы использовать доступ к вашему сайту. Например, на нем можно зарабатывать. А если сайт «трастовый» (популярный в своей нише, создан давно, люди и поисковые системы считают его хорошим, имеет хорошую посещаемость), то ушлый сотрудник может зарабатывать на нем себе «прибавку к зарплате» вплоть до 100%.

Обычно заработок состоит в продаже через специальные сайты-посредники арендных и вечных ссылок. Чтобы этим заниматься, не нужно быть программистом — справится любой.

Стоит ли говорить, что такой «заработок» вредит сайту. Поисковые системы запрещают на сайте продавать ссылки и сайты, которые нарушают это правило, могут быть исключены из индекса поисковых систем. То есть потенциальные клиенты перестанут находить сайт в Яндексе или Гугле. В отличие от заражения сайта вирусом, про который говорилось выше, эту проблему устранить намного сложнее.

К слову, то же самое касается и группы в соцсетях. Если у вас популярная группа, администратор может продавать на ней рекламу, класть прибавку к зарплате в свой карман, а вы и знать не будете.

ВЫВОДЫ

В начале статьи я уже говорил, но нужно повторить еще раз. В этой статье нет ни слова про хакеров и взлом. Тут говорится только о ваших сотрудниках, бывших и тех, которые работают у вас сейчас — про тех, кому «по долгу службы» вы сами дали «ключ от квартиры, где деньги лежат» — пароли к почте, сайту, хостингу, странице компании в соцсетях и т.д.

Не стоит недооценивать ваших сотрудников, думать, что им не хватит ума, чтобы сделать все перечисленное выше.

Все о чем идет речь в этой статье, можно сделать мышкой за 5 минут. Просто нужно знать куда кликать.

Итоговые выводы, советы с минимальными мерами предосторожности:
•    Всегда меняйте пароль от почты, когда из компании уходит очередной сотрудник, который имел к ней доступ.
•    При регистрации на любых сайтах, сервисах используйте только такой е-мейл, к которому нет доступа у третьих лиц. Т.е. если у вас есть корпоративная почта reception@hotel.ru, то при регистрации для компании страницы Вконтакте, хостинга, еще одного домена и т.п. не используйте этот е-мейл. Потому что те люди, которые имеют доступ к этому е-мейлу, смогут получить доступ ко всем сайтам и сервисам, на которых вы регистрировались, указав этот е-мейл.
•    Не давайте администраторский пароль от сайта (от хостинга и админки) первому встречному. Обычно этим грешат, те, кто работают с фрилансерами. Недобросовестный программист всегда может оставить на сайте «черный ход», через который сможет заходить, даже если вы поменяете все пароли. Найти черный ход и закрыть его очень трудно. Защититься от этого можно только работая с проверенными людьми.
•    Не используйте одну почту на всех, используйте почту для домена. Вы обращали внимание, что в некоторых компаниях электронный ящик не один на всех, а у каждого сотрудника свой, например, vera-lepestkova@firma.ru?

Вы думаете, это сделано для крутизны и понтов? Нет. Это, среди прочего, вопрос безопасности. Новому сотруднику выдают почтовый ящик, с которого он ведет рабочую переписку. Для пущей безопасности, можно настроить так, чтобы копия всей переписки автоматически попадала в еще какой-то ящик (а можно этого и не делать). Таким образом, если сотрудник увольняется, вся почта с его ящика перенаправляется на ящик нового сотрудника, который занимается этой же работой (пароль, конечно, меняется).

При такой организации работы с электронной почтой никакой утечки данных не произойдет. Сделать почту для домена проще простого. Никакие серверы и даже хостинг для этого не нужны, если что, обращайтесь — поможем.

•    Если даете своим сотрудникам доступ к сайту, старайтесь разграничивать права доступа. Обычно на это никто не заморачивается, даже разработчики часто отдают клиенту один лишь администраторский пароль, не настраивая группы пользователей с меньшими правами. Я понимаю, что этот пункт самый трудный к выполнению, и вряд ли получится сделать его самостоятельно. Но, если вы всерьез относитесь к безопасности сайта, то попросите настроить доступ только к контенту, чтобы доступ был только к работе с контентом, без возможности изменять настройки сайта и загружать на сайт скрипты.

Автор:

Подписывайтесь

Получайте свежие новости в мессенджерах и соцсетях