Pracownik Google kradł tajemnice o AI. „Inside job” dotyczy też Ciebie!🚩

insider-google-china-ai

Pracownik Google’a pochodzenia chińskiego kradł tajemnice biznesowe i przemysłowe. Został zatrudniony w 2019 roku jako inżynier oprogramowania i otrzymał dostęp do różnych poufnych informacji i narzędzi, między innymi AI. Okazało się, że w 2022 roku udał się do Chin i nawiązał współpracę z chińskimi firmami IT, którym przekazał około 500 plików, które dotyczyły tajemnicy przemysłowej. Ten pracownik był tak bezczelny, że dodatkowo założył sobie własną firmę, która zajmowała się AI… Wbrew pozorom ta historia z odległej Ameryki może dotyczyć Ciebie, ale zanim opiszę dlaczego, odsyłam do całego artykułu na cyberdefense24.pl.

Czemu napisałem, że problem może dotyczyć też Ciebie? Bo zawsze ktoś, kto z tobą pracuje lub współtworzy stronę/sklep w internecie, naraża tę witrynę. Jego aktywność od wewnątrz może narazić wasz wspólny pomysł, biznes, czy jak sobie zdefiniujesz koncept, którego efektem jest obecność w sieci. Ostatnio dostałem do audytu stronę, która jak się okazało, miała ciągle konto administratora wystawione na dane Pana, który robił stronę 2 lata wcześniej. To konto było porzucone, z przywilejami najwyższego szczebla w WordPressie, i jednocześnie bardzo łatwe do przechwycenia. Może nie taka stricte inside job, że ktoś ukradł ci informacje, ale współpracownik naszego klienta dał hakerom prezent. Teraz pomyśl jak mogłoby Ci zaszkodzić świadoma działalność, która byłaby nakierowana na wyciek danych czy innych szkodliwych rzeczy. Wracając do konta:

  • Login Pana admina był dostępny z poziomu niezabezpieczonego wp-jsona.
  • Strona logowania była pod standardowym linkiem wp-login.php.
  • Nie było żadnego 2FA.
  • Nie było limitów nieudanych logowań.

To wszystko, taka „insiderska” niedbałość spowodowała, że strona była bardzo podatna na przejęcie. Takie niechlujstwo zawodowe mogło przynieść bardzo przykre skutki. Być może nawet straty finansowe, sprawę na policji i tłumaczenie się przed RODO.

Jak to robimy w RetroMedia?

Przekazujemy Ci stronę razem z prawami majątkowymi, ale przede wszystkim zostawiamy ci bezpieczną witrynę, bo odseparowany wp-json, 2FA, nietypowy link do logowania oraz limit nieudanych logowań to dla nas standard. A przede wszystkim nie trzymamy bez sensu naszego konta, skoro projekt się zakończył. No chyba, że oczekujesz od nas opieki technicznej ☔ Zobacz naszą ofertę wykonania bezpiecznych stron i sklepów online.

Find this content useful? Share it with your friends!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *