Хакер #305. Многошаговые SQL-инъекции
Лучший лайфхак 2013 года — отдай свою работу на аутсорсинг
Аудит сетевых логов в американской компании Verizon обнаружил поразительную вещь: один из ведущих специалистов компании постоянно держал открытое VPN соединение с китайскими серверами. Оттуда под его учётными данными в корпоративную сеть входили китайские программисты — и выполняли все рабочие задания. Эта удивительная история опубликована в корпоративном блоге Verizon (кэш в Google).
45-летний ведущий программист с большим опытом работы, специалист C, C++, Perl, Java, Ruby, PHP, Python и проч., получал зарплату несколько десятков тысяч долларов в месяц. Но вместо написания кода он отдавал задания на аутсорсинг китайским специалистам, которых находил через биржи труда — очень быстро и дёшево. Ему оставалось только исправить ошибки в коде. Целыми днями программист просиживал в интернете на развлекательных сайтах вроде Reddit, смотрел видеоролики на Youtube и занимался тому подобными делами.
Как сообщается, программист никогда не был замечен в мошенничестве, он семейный человек с отличной репутацией. За последние несколько лет к нему не было никаких претензий на работе. Более того, несколько кварталов подряд его признавали лучшим программистом отдела.
Когда специалисты по безопасности обнаружили VPN-соединение с китайскими серверами, то первым делом подумали о наличии бэкдора в корпоративной сети. Всем известны многочисленные случаи промышленного шпионажа в последнее время, которые приписывают китайским командам, работающим по заказу государства. Оказалось, что никаким бэкдором тут и не пахнет: доступ китайцам в защищённую сеть один из сотрудников предоставил по собственной инициативе. Он даже выслал экспресс-почтой в Китай свой ключ для двухфакторной аутентификации.
К сожалению, логи в Verizon хранятся только за 6 месяцев, так что специалисты не могут сказать, как долго программист занимался подобной деятельностью.