Д
кому интересно - почитайте какой это геморрой для банка.
Size: a a a
2020 April 23
RM
p.s. в тинькоф к примеру за день до автооплаты прилетает смс, что такая то сумма на такую операцию будет завтра сделана, можно легко отменить если не нужно
они даже проведённую транзакцию быстро отменят, если напишешь в чат и скажешь, что забыл отключить автопродление
O
Да это понятно. Но вы написали: "Список банков, где были выявлены утечки информации"
Утечка информации была на сервисе, чьи данные появились в даркнете.
Возможно, там появился валидный имейл, да. Но гарантировать даже то, что он с валидным паролем - нельзя (хотя - вероятность есть, не спорю). Также - имейлы могут быть уже тоже не валидны. Думаю, "выявление утечек информации из банков" - это немножко не то, все-таки... Если бы вы нашли внутреннюю переписку и инфу о клиентах - да, это утечка, а имейл - в принципе, почти публичная штука (его могут слить и те, кому ты его дал, чтобы над конкурентом поглумиться, что его сотрудники на порнхабах регистрируются с рабочего мыла, не так ли?
Утечка информации была на сервисе, чьи данные появились в даркнете.
Возможно, там появился валидный имейл, да. Но гарантировать даже то, что он с валидным паролем - нельзя (хотя - вероятность есть, не спорю). Также - имейлы могут быть уже тоже не валидны. Думаю, "выявление утечек информации из банков" - это немножко не то, все-таки... Если бы вы нашли внутреннюю переписку и инфу о клиентах - да, это утечка, а имейл - в принципе, почти публичная штука (его могут слить и те, кому ты его дал, чтобы над конкурентом поглумиться, что его сотрудники на порнхабах регистрируются с рабочего мыла, не так ли?
RM
Почему адекватная? По ответам я понял, что проведена оценка не текущего состояния иб, т.е. актуальность утечки паролей не проверялась.
потому что это реальная угроза, которая легко эксплуатируется и по итогам ведёт к большим реализованным репутационным рискам
N
Да это понятно. Но вы написали: "Список банков, где были выявлены утечки информации"
Утечка информации была на сервисе, чьи данные появились в даркнете.
Возможно, там появился валидный имейл, да. Но гарантировать даже то, что он с валидным паролем - нельзя (хотя - вероятность есть, не спорю). Также - имейлы могут быть уже тоже не валидны. Думаю, "выявление утечек информации из банков" - это немножко не то, все-таки... Если бы вы нашли внутреннюю переписку и инфу о клиентах - да, это утечка, а имейл - в принципе, почти публичная штука (его могут слить и те, кому ты его дал, чтобы над конкурентом поглумиться, что его сотрудники на порнхабах регистрируются с рабочего мыла, не так ли?
Утечка информации была на сервисе, чьи данные появились в даркнете.
Возможно, там появился валидный имейл, да. Но гарантировать даже то, что он с валидным паролем - нельзя (хотя - вероятность есть, не спорю). Также - имейлы могут быть уже тоже не валидны. Думаю, "выявление утечек информации из банков" - это немножко не то, все-таки... Если бы вы нашли внутреннюю переписку и инфу о клиентах - да, это утечка, а имейл - в принципе, почти публичная штука (его могут слить и те, кому ты его дал, чтобы над конкурентом поглумиться, что его сотрудники на порнхабах регистрируются с рабочего мыла, не так ли?
1) По тексту - нужно будет в отчете более уточняюще написать в будущем, что утечка не в самом банке
2) Оценка идет кибер-риска для банков, каждая такая утечка повышает риск взлома банка? повышает
2) Оценка идет кибер-риска для банков, каждая такая утечка повышает риск взлома банка? повышает
O
1) По тексту - нужно будет в отчете более уточняюще написать в будущем, что утечка не в самом банке
2) Оценка идет кибер-риска для банков, каждая такая утечка повышает риск взлома банка? повышает
2) Оценка идет кибер-риска для банков, каждая такая утечка повышает риск взлома банка? повышает
1 - согласен, так норм будет!
2 - some kind of paranoia, раздача визиток на конфе - почти на столько же повышает его. Но ок, не принципиально.
2 - some kind of paranoia, раздача визиток на конфе - почти на столько же повышает его. Но ок, не принципиально.
N
1 - согласен, так норм будет!
2 - some kind of paranoia, раздача визиток на конфе - почти на столько же повышает его. Но ок, не принципиально.
2 - some kind of paranoia, раздача визиток на конфе - почти на столько же повышает его. Но ок, не принципиально.
ну ты же с визиткой пароль свой не отдаешь
O
ну ты же с визиткой пароль свой не отдаешь
Так а кто сказал, что пароль там настоящий (к почте банка). Я регистрируюсь на вебинарчик, который вы потом ломаете и достаете мою запись. Ты правда считаешь, что там будет мой актуальный пароль?
RM
Олег, ну чаще всего так и бывает
O
Поэтому и говорю, что гарантированно там - только мыло, все остальное - хз... На визитке написано то же самое (если чел адекватный)
O
Ro Man
Олег, ну чаще всего так и бывает
От категории персонала зависит. Для этого awareness и придумали, чтобы там другие пароли были...
N
А то, что какая-то "Ягодка вольчя" или "Жанчик Манго" регается где-то под рабочим емеилом норм ? )
N
@OlegKZ или ты тоже регаешься под ником "Костанайский мачо" и под емейлом oleg@sts.kz ? )
RM
security awareness, конечно, очень дешевый процесс для реализации, но учитывая разные менталитеты — не везде эффективный. И люди продолжают использовать рабочую почту и те же пароли, которые потом можно на том же haveibeenpwnd посмотреть
O
М
Ro Man
security awareness, конечно, очень дешевый процесс для реализации, но учитывая разные менталитеты — не везде эффективный. И люди продолжают использовать рабочую почту и те же пароли, которые потом можно на том же haveibeenpwnd посмотреть
ок давай скажи как технически пользователям запретить регаться на внешних сервисах и потом это отслеживать
N
Технически это как раз можно мне кажется, я незнаю есть ли такой инстурмент только. Почта то вся все равно проходит через длп банковский
АЯ
Ro Man
потому что это реальная угроза, которая легко эксплуатируется и по итогам ведёт к большим реализованным репутационным рискам
Как эксплуатировать логин и пароль 10-летней давности? Никто не спорит, что если сотрудник использует свой емайл для регистрации на сторонних web ресурсах, то это инцидент ИБ. Но ваша методика, как я понял, не позволяет выявить свежие утечки, зачем её использовать?
N
отслеживать письма о регистрации