Gawker Media планирует провести капитальный ремонт своей веб-инфраструктуры и
требует от своих сотрудников пользоваться двухфакторной системой авторизации для
доступа к данным, хранящимся в сети. Это реакция на
досадную атаку хакеров,
которой полностью покорились сервера этого издания.
Издатель Gawker, Gizmodo и семи других популярных сайтов также планирует
сделать обязательным использование SSL для всех пользователей, имеющих аккаунт
Gawker Media на Google Apps, согласно служебной записке, написанной техническим
директором Gawker Томом Планкетом и опубликованной в пятницу на The Next Web.
Сообщение для всей компании признает то, что и так стало понятным после
внедрения хакеров: безопасность компании Gawker Media была полной ерундой.
"Очевидно, что техническая команда Gawker не предоставила адекватную защиту
нашей платформе от подобных атак", - написал Планкет. "Кроме того мы не были
готовы реагировать, когда это было необходимо".
Действительно, исследователи в сфере безопасности, которые изучили исходники
этой сети, были поражены, как плохо был создан этот сайт.
"Посмотрев на PHP-исходники сайта Gawker, я удивился, почему это не произошло
ранее", - недавно написал в Twitter Майк Бейли, специалист по безопасности
веб-приложений. "Тестовый код повсюду, ошибка на ошибке".
"Должен заглянуть вперед и сделать предсказание: в данный момент ничто, кроме
полной переработки сайта не сможет удержать Gawker в Сети", - сказал он в другом
сообщении.
Еще одна нелепая любительская ошибка – это использование стандарта шифрования
данных DES для защиты около полутора миллионов паролей пользователей, несмотря
на давно известную уязвимость этого алгоритма хеширования. В результате хакеры
смогли выявить первых 8 цифр каждого пароля.
Планкет также изложил планы об одноразовых профилях читателей, от которых
можно будет избавиться в любое время, и сообщил, что издатель больше не будет
хранить адреса электронной почты и другие данные читателей.
"На всех наших сайтах мы внедрим несколько новых компонентов для системы
комментирования. Мы признаем, что потеряли доверие наших комментаторов и не
заслуживаем того, чтобы его вернуть", - написал он. "Нам не следует заниматься
сбором и хранением личной информации, и наша задача – отделить свою платформу от
любых личных данных (таких как электронная почта и пароли)".
