Исследователь безопасности Боб Дьяченко (Bob Diachenko (https://twitter.com/MayhemDayOne)) обнаружил (https://www.linkedin.com/pulse/veeam-inadvertently-exposed-m... наличие в открытом доступе базы данных компании Veeam (https://ru.wikipedia.org/wiki/Veeam_Software), специализирующейся на системах мониторинга и резервного копирования виртуальных окружений. Из-за ошибки в конфигурации СУБД MongoDB, размещённой в облачном хостинге Amazon, в интернет без аутентификации оказалась выставлена база данных, включающая более 445 млн записей.
БД охватывала персональные данные клиентов компании, по предварительной оценке собранные с 2013 по 2017 год. Всего отдавалось около 200 Гб конфиденциальных данных, таких как email-адреса, имена и, в некоторых случаях, IP-адреса и идентификаторы браузера пользователей. БД находилась в открытом доступе с 31 августа по 9 сентября и была проиндексирована специализированной поисковой системой Shodan. Компания Veeam признала утечку и заблокирована доступ к БД, объяснив инцидент ошибкой в настройках. Данные использовались для маркетинговой платформы Marketo.URL: https://techcrunch.com/2018/09/11/veeam-security-lapse-leake.../
Новость: https://www.opennet.dev/opennews/art.shtml?num=49259
Ссылка на базу где?
Что за компания такая, у которой клиентов 5% населения Земли, а мы о ней не слышали даже? Или они спецом так собирали базу данных пользователей из всех возможных источников?
Тимурка, ты из какой пещеры повылез-то? ) Если ты о Veeam не слышал, то у меня для тебя плохие новости)
Ну,выходит, что реально плохие новости то не у меня, а у тебя... Меня сие "счастье" явно миновало :)
Тимур, подумай ещё раз. Даю подсказку: плохие новости _о_ _тебе_, о твоём уровне осведомлённости.
Искренне удивляюсь каждый раз, когда вижу, как некоторые люди на полном серьёзе выставляют собственное незнание чего-либо как что-то хорошее, якобы положительное(и ведь вроде нормальные, неглупые порой люди). Это ж насколько у них шифер едёт, что они этого не только не понимают, но и старательно отстаивают, как какое-то своё достоинство. Как в некоторых кругах приговаривается в таких случаях:"It's not a bug, it's a feature!"))К слову, пара моментов о компании Veeam (вдруг есть ещё ребята, которые о ней не слышали):
-"Компания Veeam основана в 2006 году российскими предпринимателями Ратмиром Тимашевым и Андреем Бароновым." from Wikipedia. Компания российских предпринимателей с оборотом в $827 млн (2017 год).
-Новость, что произвела впечатление лично на меня:"Veeam выиграла иск Symantec по нарушению прав в суде и в Бюро по патентам и товарным знакам США". Ещё раз: компания российских предпринимателей выиграла иск в американском суде у американской фирмы (оборот которой в восемь раз больше, так что грамотных юристов Symantec себе может позволить).
-"В НОВОМ «Магическом квадранте решений для резервного копирования и восстановления данных в дата-центрах» ("Magic Quadrant for Data Center Backup and Recovery Software") 2017 компания Gartner вновь назвала Veeam лидером. Согласно отчету Gartner о долях рынка за 2016 год, в области управления хранением Veeam является 4-м крупнейшим в мире поставщиком ПО для резервного копирования и восстановления данных." Уж, я полагаю, люди, позиционирующие себя, как IT-специалисты, о квадранте Гартнера должны хотя бы слышать.
Так что хватит уже пытаться выставлять своё незнание за достоинство, перестаньте обманывать себя (и пытаться обманывать окружающих). Это пожелание не только в адрес Тимура, но и других с той же позицией, школоло и прочая нечисть не в счёт.
TL;DR — учись излагать свои мысли более ёмко. Эта компания явно не из первых 5 десятков среди тех, о которых знает любой пользователь или даже админ. Более того, даже если бы это был мой профиль, то компании с перечисленными параметрами я бы не стал доверять — менее 2 долларов на "клиента" в год — это выручка спаммеров. Я не отрицаю, что у них был и легальный бизнес, возможно даже вполне качественный, но, как оказалось, у этой медали была и другая сторона.
Вот именно из-за того, что ты слишком часто "DR", ты и не слышал об этой компании) Ты читай побольше полезного, помогает) Может даже узнаешь о многих компаниях-лидерах в своих областях)
Судя по твоему незнанию, например, Veeam'а, ты - точно не админ. Ведь был бы это "твой профиль", ты бы такие глупости не писал.
З.Ы. Пост по большей части даже не тебе предназначался, ты всё равно "DR". Пост для тех, кто умеет признавать свою некомпетентность (пускай даже перед самим собой) и устранять оную. Судя по твоей упёртости в отстаивании положительности своего незнания, ты не из них.
Дорогой мой, я ставил слаку, когда она ещё в дисксетах на 3.5" флоппиках выходила, под Линуксе ещё выпускали коммерческие X-серверы, а бекапились модные пацаны на стримеры, давай, поучи меня бекапам )))
Э, нет, дружище, я тебе не "дорогой мой".
Ты, конечно, молодец, что слаку ставил (и я её ставил, но разве ж я кичусь этим?), но как то, что ты слаку ставил, делает заявленную тобой глупость неглупостью?!? Или можно поставить слаку с дискеток и тупить направо и налево, а все должны твои глупости за что-то мегаумное воспринимать и приговаривать:"О! Он слаку с дискет ставил!"? )) Балбес ты, дядя, причём балбес упёртый) А учить тебя уже бесполезно, ты, судя по поведению, уже давно не учишься, даже на своих ошибках.
Хорошо, хорошо, я даже не пытаюсь спорить. Главное, ты только людей левых на линкдине не донимай :)
Какой линкдин, о чём ты?
Мальчики в детстве много чем ещё занимаются, пока никто не видит, но зачем же этим хвалиться прилюдно?
я тож первый раз слышу, хотя админю больше 15 лет
Время работы не показатель. Мой бывший руководитель ничего не слышал и о Checkpoint и о Brocade. Хотя "в айти 35 лет и у меня огромный кругозор". =)
Пробуйте читать что-нибудь кроме манов, что тут еще послветовать.
У этой мегакорпорации нет даже русской статьи на википедии? Думаешь, стоит?
думаю, тебе не стоит. все равно не поможет.(ахереть, рюйске статья в википедии нынче отражает значимость корпораций. статья, кстати, есть, и даже на турецком тоже есть, но ты и поиском пользоваться не умеешь)
> думаю, тебе не стоит. все равно не поможет.
> (ахереть, рюйске статья в википедии нынче отражает значимость корпораций. статья, кстати,
> есть, и даже на турецком тоже есть, но ты и поиском
> пользоваться не умеешь)No, it's not a problem at all. That is just a little sign of company's size and impact... And come on, they are not even making 1 bln. and have 0.5 bln. customers!
Тебе же сказали, что есть на турецком. Иди уже читай.
Всегда удивляюсь, как люди одной и той же головой умудряются, например, знать английский [ну или уметь переводчиками пользоваться) ], и так жёстко тупить)) Тимур, как ты не смог найти их статью на вики? )) Там ниже тебе уже привели ссылку, продублирую ещё раз:https://ru.wikipedia.org/wiki/Veeam_Software
Спасибо за ссылку. А теперь, если ты новость на opennet открывал с самого начала, то вначале там была ссылка на англоязычную статью, а русская статья была orphaned, т.е. не была связана со статьями на других языках и на неё нельзы было перейти из другой Wiki. Вот тебе и ответ.
Да пожалуйста)
"У этой мегакорпорации нет даже русской статьи на википедии?" == нет русской статьи на википедии. А она есть) Просто ты её найти не смог. И вместо "да, что-то я затупил, не нашёл статью на вики" упёртое "это не я тупой, а другие что-то там не так сделали". Пойми, с каждой новой попыткой оправдать свою глупость ты всё глубже погрязаешь в ней, откажись от этого тупикового движения, пока не поздно.
Дорогой мой, если бы знал логику работы вики движка, то знал бы, что изменения языковых привязок и викиданных в истории правок не самой страницы не отображаются. Но да, я не гуглил её в русской википедии, т.к. в новости была ссылка именно на английскую. Выходит, что даже писатель новости этого не знал...
https://ru.wikipedia.org/wiki/Veeam_Software
в порножурналах реклама veeam попадается, по-моему, не чаще чем в манах.
если бы хоть иногда читали маны, то таких проблем у виам этого не было
А я вот ее из спама знаю. Мне уже лет 5 приходит на рабочий емейл спам, в котором предлагают базу клиентов veeam. wait, OH SHI-
и чо вот ты как лох ждал пять лет? Надо было сразу брать, хорошие сапоги!
Обычное дело. Не все пользуются тем чем пользуются 99% мух. Поэтому для нормального человека совершенно нормально не знать о каких-то шарашках типа Veeam вообще, да и об Apple, Microsoft и Facebook слышать только далёкие слухи. Я, например, винды не видел уже лет 10, как айфон выглядит не знаю вообще, и на facebook заходил только пару раз случайно, увидел надпись кошмарным синими буквами на белом фоне из-за неподгруженного css (логично что оно у меня заблочено) о том что я что-то там не могу посмотреть пока не зарегистрируюсь. Как-то там само собой получается что мой круг общения разделяет уверенность что от этого мусора лучше держаться подальше.
Линукс-меньшинства - они такие, дааа...
Огороженные и ограниченные. ⛓Почитай что-нибудь полезное и современное - начни с хабра, например.
> начни с хабра, напримерWAT
> Данные использовались для маркетинговой платформы Marketo."за бэкапы нам платили плохо, и мы решили торгануть ворованными данными. Но и их кто-то сп-л :-( "
Хочется надеяться, что это поспособствует скорому её концу. По роду своей деятельности они не должны были собрать такой объём данных со своих клиентов. Компания не делает и миллиарда и заявляет, что полмиллиарда адресов её клиентов утекло? Где-то здесь есть проблема.
не, не поспособствует. Нормального метода бэкапа вмвари не завезли, Commvault феерический отстой даже по сравнению с виамом, и особенности лицензирования там еще хуже, хотя, казалось бы, куда уж хуже.
Решение проще некуда: не пользуйтесь софтом, который не имеет нормальных средств резервирования (и восстановления) из коробки.
как только ты напишешь софт, который умеет выполнять основную задачу вмвари - будем разговаривать о средствах восстановления и прочих проблемах второго, третьего и шестого порядков.А пока у тебя есть только кривая по[д]делка имени проксмокы, по сей день не умеющей даже склонировать незашатдауненную vm - лучше жевать, пока есть еще, чем.
А мы будем пользоваться тем, что решает задачи, за которые бизнес платит нам зарплату.
Странный бизнес, использующий тамагочи вместо сервера... Производите жвачки в подворотне?
Проксмокс 5.2. Только что спецом проверил - спокойно склонировал работающую виндовую виртуалку.
уже давно завезли - Nakivo Backup вполне себе
дошли наконец руки посмотреть - ну а вы точно уверены, что оно настолько же лучше, насколько и дороже виамама?(нет, я вижу что как-то работает, как-то бэкапает, юзеру как обычно незачем знать как конкретно - я вот не очень люблю без предупреждения меняемые конфиги vm, да и про снапшоты неплохо бы предупреждать - не всегда их можно безобидно потом удалить)
> дошли наконец руки посмотреть - ну а вы точно уверены, что оно
> настолько же лучше, насколько и дороже виамама?дороже? не заметил.
что касается лучше или нет - тут, конечно, очень все индивидуально, но мне гораздо больше понравилось> (нет, я вижу что как-то работает, как-то бэкапает, юзеру как обычно незачем
> знать как конкретно - я вот не очень люблю без предупреждения
> меняемые конфиги vm, да и про снапшоты неплохо бы предупреждать -
> не всегда их можно безобидно потом удалить)также не заметил замены конфигов.. можете по-конкретнее - что и где поменялось?
не знаю, что там про снапшоты надо предупреждать, но это вроде как очевидно - другим способом бэкап виртуалки снаружи и не сделать
> Данные использовались для маркетинговой платформы Marketo.А теперь они будут исползоваться еще и для маркетинговой платформы Spamo...
>> Данные использовались для маркетинговой платформы Marketo.
> А теперь они будут исползоваться еще и для маркетинговой платформы Spamo...Музыкальная фоновая аранжировка к этому заявлению звучит так - "Йййййййээххнанэнанэнанэнанэнанэ!!!!!!"....:)
1) Продать 445 млн. адресов спамерам
2) Заявить об утечке
3) ...
4) Профит уже получен в п.1
Да не, скорее банальное раздолбайство
Простейшая защита в виде автоматической генерации пароля при установке монги и записи в конфиг файл могла бы предохранить Монгу от взлома.
Фаерволл с белыми списками.
> Фаерволл с белыми списками.забудьте.
смотрите сюда: амазонские инстансы без фиксированных адресов, новые создаются (а главное - удаляются, поскольку это бабло в минуту) по мере роста (спада) нагрузки, докер с къебeнетесом, размножающий свои поделки "прозрачно" (в том числе прозрачно для желающего пальчиком в них потыкать) и т д - ваш новый прекрасный мир.
И да, пакетный фильтр включен из коробки только у rhel и клонов, и то, первое что делает озабоченный девляпсик - это его выключает "чтоб не мешал". А если сам не осилит - о нем докер позаботится.
> смотрите сюда: амазонские инстансы без фиксированных адресовsecurity groups? Нее, не слышал
> И да, пакетный фильтр включен из коробки только у rhel и клонов, и то, первое что делает озабоченный девляпсик - это его выключает "чтоб не мешал". А если сам не осилит - о нем докер позаботится.
монга у AWS предоставляется как сервис, какой фаервол? :facepalm:
Лучше и дальше админь свой локалхост :D
> Фаерволл с белыми списками.Вы серьёзно? В мире IPv6 с динамическим масштабированием, CI и микросервисами?
Там где надо чтобы работало долго и бесперебойно, ничего из вышеперечисленного не используется.
Вы еще думать предложите. И так сойдет.
> Вы еще думать предложите. И так сойдет.Вы такие страшные вещи не рассказывайте, а то эффективные менеджеры начнут думать! Тогда вообще никакого продукта не дождетесь.
Эффективные менеджеры думать в принципе не способны.
угу, а сервис, требующий этой монги - от работоспособности.простейшая защита подобных вещей - периметр безопасности. Но это сейчас немодно, облачка-а-а-а, белогривые ди6илки...
Лол, а понтов-то на собеседовании было. Лохи!
Видать они все же кого-то взяли. Правда не того...
Положа руку на сердце, со мной они бы пролюбили эту базу быстрее) Что ни капли не оправдывает адово раздутое самомнение этих бизьнисьменов.
Радуйся. Сейчас бы работал в этой ущербной компании.
Ты еще в Luxoft собеседование пройди. Вот где ЧСВ пробивает потолок и менеджер перед самим собеседованием с технарями час рассказывала про богатую корпоративную культуру.))) 💎
дружище, это абсолютно нормально для технической компании. Стоимость часа менеджера по персоналу ниже, чем у технаря, поэтому если ты ему покажешься негодным дятлом, неспособным при входе обтереть лапти - технарей от станка отковывать вообще не станут. Если собеседование начинают и заканчивают технари (исключая случаи когда это друзья, позвавшие в свой проект в обход стандартной процедуры найма) - скорее всего им там не платят. Исключение - компания, занимающаяся вовсе не ит, там это может быть и дешевле.но ты можешь и дальше полировать свой локалхост за копеечную зарплату, и надеяться, что вас завтра не закроют, и не откроют на вашем месте шавермячную.
Хорошо, что не Veem.... реально напрягло название....
Девопсы опять надевопсили. Нормальных админов, не пьющих смузи с докерами, осталось слишком мало. По теме - лучше сначала думать, потом имплементить.
kpi падает, лучше сначала наимплементить, потом так сойдет.
Нормальных админов "рыночек порешал", зачем платить целой куче квалифицированных специалистов, когда можно нанять одного DevOps (master of nothing).
наоборот же - на зарплату, которую хотел один вменяемый админ, можно нанять целую кучу мартышек, которые будут писать плейбряки и быстроподнятое-упавшим-не-считать.к тому же они не будут диктовать своих условий ценным разработчикам, и контниьюс интегрейшн новых нетоптанных грабель пойдет в разы быстрее
Счастливый путь преждевременной оптимизации. К чему там пришли-то подобные компании DropBox и другие пернувшие на весь мир своим MVP?
> К чему там пришли-то подобные компании DropBoxToday's High / Low $ 26.525 / $ 25.46
Share Volume 4,082,394
50 Day Avg. Daily Volume 5,508,535для гуляющих на деньги инвесторов - вполне неплохое состояние (не результат, его не предполагается)
Это всего лишь 445 миллионов ЕМЕЙЛОВ. Не долларов, ни даже не рублей. Страшно от этого лишь отдельным людям; все остальным, от топменеджмента до худого юзера - по барабану. Можно сказать, что эволюционировала защита системы вот в каком ключе: если раньше ошибок безопасности боялись, то сейчас снизили градус значимости утечек данных и приватности, и ошибок безопасности не боятся. Ни о каком улучшении безопасноти речи не идет, только лишь о снижении стоимости ошибки примерно до нуля.Уже пора уяснить, что об информационной приватности и безопасности каждый субъект должен заботится только самостоятельно, нет никакой математической возможности положиться на третитьих лиц в этом вопросе.
> Уже пора уяснить, что об информационной приватности и безопасности каждый субъект должен
> заботится только самостоятельно, нет никакой математической возможности положиться на третитьих
> лиц в этом вопросе.Доверять приватность третьим лицам может только тот, кому "нечего скрывать", т.е. обычный хомячок. Нормальные люди всегда об этом заботились самостоятельно.
Абсолютное большинство себя таковыми мнящих - неуловимые джо со своими типО "миегаценными" переписочками и парой порнушных фильмов. Расслабься, о тебе уже давно знают все, кому нужно,и всё, что нужно. Твои фоточки из "соцсетей по хеьетепеэс" никому не вперлись)