Ci sono stati post su Niebezpiecznik.pl , un famoso blog InfoSec, che descrive una situazione interessante.
Una società ha erroneamente concesso l'accesso al proprio repository BitBucket a un programmatore casuale. Questo programmatore ha successivamente allertato vari dipendenti dell'azienda, esortandoli a revocare l'accesso il più presto possibile. Ha trovato questi impiegati pigri (per esempio, uno ha detto che avrebbe revocato l'accesso solo una volta tornato dalle sue vacanze), così ha allertato il blog di Niebezpiecznik, che successivamente ha contattato l'azienda. Solo allora è stato revocato l'accesso.
È chiaro che il programmatore ha ritenuto che la mancanza di una pronta revoca dell'accesso fosse una supervisione molto grave a nome della politica di sicurezza dell'azienda. Ed ecco dove sono sorpreso.
Quindi, consideriamolo dal punto di vista dell'azienda. Qualcuno li contatta, sostenendo che gli è stato spuriato concedere l'accesso al loro repo privato e sollecitandoli a revocare tale accesso. Ora questa persona è o non è interessata ai contenuti di questo repository; anche lui ha o non ha valori morali abbastanza forti da astenersi dal scaricarlo. Se è disposto a ispezionare il contenuto del repository, ha già avuto tutto il tempo per farlo; e se non l'ha ancora fatto, allora probabilmente non lo avrà ancora fatto prima che il dipendente torni dalle sue vacanze. In altre parole, il latte è già fuoriuscito e non c'è niente di peggio di quello che è già successo in futuro.
Di conseguenza, penserei, la situazione non è più urgente e posso attendere con calma che il dipendente torni dalle sue vacanze.
Dove mi sbaglio?