Trebas nepracuje v bance, nehlede na to, ze klienta asi vazne nezajima, zda si na to banka nekoho najima, a z jeho pohledu je to proste typicka vymluva "to ne ja, to on" ...
Ted jen ... kdy se tu objevi link na stazeni tech 50k zaznamu? ;D Prepodkladam, ze dira existovala minimalne nekolik tydnu, spis mesicu ... a urcite na to prislo vic lidi.
Jinak bych (naivne) ocekaval, ze podobna data nejsou pres net dostupna vubec a ze na pristup k nim pouziva banka vyhradne iterni sit. I kdyz... kdyz uz nam pres net bezi rejstrik aut ... nejspis i rejstrik obyvatelstva ... proc by se nemoh nekdo podivat, kdo ma co kde v bance ...
Tak rozdíl pro nějakou následnou "damage control" to sice je, ale z technického hlediska fakt ne. Prostě má-li aplikace přístup k nějakým databázovým tabulkám, tak má přístup ke všem datům v těch tabulkách, těžko se to omezuje "jen na 10 záznamů". A je na té aplikaci, aby si to ohlídala a konkrétnímu uživateli zobrazila třeba jen jeho konkrétní data a ne záznamy, které vidět nemá. Když je ale aplikace napsaná špatně, tak smůla... Tady se navíc dotyčný dostal do části aplikace, ke které nemá mít přístup vůbec žádný klient, jen zaměstnanci - a to je taky na pováženou...
Ano, u nějakých hodně citlivých dat bych o něčem takovém také uvažoval - mě asi pod dojmem toho, co jsem četl v poslední době napadla nějaká vícevrstevná (resp. dvouvrstevná) aplikace, kde by spolu ty jednotlivé vrstvy komunikovaly třeba přes nějaké REST API. :-)
Ale z toho, co jsem viděl na tom videu a z toho, co si myslím o KB - tohle asi nebude ten případ. :-) Ta aplikace měla nejspíš přístup k celé tabulce - už jenom kvůli tomu, aby zobrazovala tabulku "všech kontaktů" či "smluv" nebo co to bylo - byť stránkovanou po asi 20 záznamech (že by nějaké MySQL a klauzule LIMIT? :-).
Mě taky nezajímá, kdo za to může, a to především proto, že nemám potřebu, aby "viník" byl "potrestán". Taky bych očekával, že data budou přístupná jen povolaným, ale chyby dělají i ti, co pracují v bance, tak pokud to bance způsobuje problémy, jistě tam pracuje dost chytrých lidí na to, aby mohli přehodnotit svoje postupy.
V citlivých aplikacích (chápu, to asi bankovnictví nebude) se to řeší tak, že k tabulce nemá aplikace přístup vůbec - má přístup k nějakému mechanismu (uložená procedura, webová služba, atd.), který na vstupu přijme *jedno* ID a pro toto ID vrátí data. Takže i když se někdo probourá do webového serveru a napíše si vlastní skript, tak pokud by chtěl víc údajů, tak si je musí jeden po druhém vyžádat. Přirozeně, že datový server by měl být schopen masivní "vysávání" detekovat a bránit se mu.
Co ma internetovy bankovnicvi spolecnyho se smlouvama? Zeby presne nic? Co ma bankovnicvi spolecnyho se seznamem klientu? Zeby presne nic? Na pristup k uctu potrebuju nejakou identifikaci a autorizaci ... ale dostanu se vzdy jen k jednomu konkretnimu ... nikoli ke VSEM, ze ... takova moznost proste nesmi vubec existovat a musi to byt zajisteno na vsech urovnich, od aplikace az po samotnou databazi.
Pokud to takto je zajisteno, tak i kdyby nekdo nasel diru v systemu a dokazal se prihlasit na libovolny ucet, trvalo by mu nejspis cele dny a tydny, nez by obesel vsechny ucty vsech klientu. A daleko driv by na to mel reagovat nejaky system zabezpeceni.