http://tapka.livejournal.com/ ([identity profile] tapka.livejournal.com) wrote in [personal profile] green_fr 2020-05-22 10:34 am (UTC)

Вот у нас та же история была, как с Фейнманом почти. Есть в нашем онлайн магазине такие аккаунты специальные с помощью которого ты можешь имперсонировать пользователя(для поддержки его в трудную минуту).
Понятно что они должны охраняться по всей строгости. Ну и вот коллега обнаружил, что у большинства этих суперпользователей пароль типа Password1 который видимо даётся по умолчанию. Обнаружил он это, поискав по базе где хранятся хэши от паролей.

Ну доложил наверх и оттуда конечно первейшая детектива пришла - найти у кого есть доступ к этой базе с хэшами и запретить!

А пароли так и оставались как были ещё чуть не пол года.

(15 comments)

Post a comment in response:

This account has disabled anonymous posting.
If you don't have an account you can create one now.
HTML doesn't work in the subject.
More info about formatting
 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.