Cosa fare in risposta a un codice sorgente e / o fuga di dati da un provider di hosting di terze parti?

5

Il mio codice sorgente PHP e il database (PHPMyAdmin Dump) sono stati trapelati pubblicamente e credo che l'host web che ho utilizzato per questo servizio sia responsabile della perdita.

Alle prime apparizioni, il web host sembrava essere molto professionale, anche se non erano una compagnia nota e di grandi dimensioni. Non ho avuto problemi con nessun altro host web che ho usato.

Credo che da parte mia ho usato una password molto sicura per il mio account. Tuttavia, ho trovato i dump di dati del mio codice applicazione e del database datati 10 minuti dopo il mio caricamento.

C'è qualcosa che posso fare? Quali passi posso intraprendere, o altri nella mia posizione, per garantire la sicurezza della nostra proprietà intellettuale e dei dati dei nostri utenti? Quali misure preventive possono essere prese e quali misure dovrei prendere ora mi trovo in questa posizione?

    
posta Cranchex 25.08.2011 - 22:20
fonte

2 risposte

9

Nella tua domanda ci sono pochissime informazioni, quindi è difficile dare una risposta concreta.

Prima di incolpare la società di hosting o persino di citarli, dovresti rivedere il tuo codice di programma, incluse tutte le librerie e le applicazioni web che hai installato.

Dovresti cercare soprattutto Iniezione SQL , shell code injection , vari modi di esecuzione di codice in remoto . Una vulnerabilità comune nelle vecchie versioni di molte applicazioni PHP comuni è la scrittura di file con impostazioni di configurazione o file caricati dall'utente che possono essere eseguiti come file .php visitando l'URL appropriato nel browser web.

OWASP Top 10 e in particolare I primi 5 del progetto di sicurezza delle applicazioni Web sono un buon punto di partenza.

Inoltre controlla che i file php non siano leggibili da tutto il mondo sul server.

Ci sono due cose che potresti testare sul tuo hosting provider. Ma a seconda della legislazione in cui ti trovi, questa potrebbe non essere una buona idea:

  • Puoi guardare nella cartella di altre persone salendo nell'albero delle directory nel programma ftp / sftp / ftps / scp?
  • I programmi PHP possono leggere file di altre persone?
risposta data 26.08.2011 - 00:16
fonte
5

I believe that the web host ... are responsible for the leak.

Is there anything I can do? What steps can I, or others in my position, take to ensure the safety of our intellectual property and our users' data?

Informa i tuoi utenti.

Fai sapere a tutti della perdita, specialmente se le loro password sono state esposte. Sii onesto e sincero. Non incolpare il fornitore finché non li si identifica in modo positivo come fonte della perdita (vedere la sezione successiva). Le persone usano spesso le stesse password su più siti, quindi un ritardo nell'informazione di un utente potrebbe metterli a rischio aggiuntivo su altri siti.

Identifica la fonte della perdita.

Sospetti che il tuo provider host, ma potrebbe non essere stato loro. Se si distribuisce il codice sorgente al proprio host tramite FTP o altri metodi non crittografati, potrebbe essere stato intercettato in transito. Il computer utilizzato per scrivere il codice potrebbe essere stato compromesso. Se non sei l'unico sviluppatore, uno degli altri sviluppatori potrebbe aver fatto trapelare il codice. Esaminare tutti i luoghi in cui sono state trasmesse le informazioni trapelate, chi ha avuto accesso e come è stato trasmesso al luogo successivo.

Detto questo, potrebbe essere stato il tuo provider di hosting. Hai chiesto loro? A meno che il tuo provider sia molto piccolo, hanno un numero di dipendenti e clienti e potrebbero non aver notato la tua perdita. Informali del problema. Il fornitore di servizi di hosting dovrebbe essere interessato ad aiutarti anche se hanno commesso degli errori che portano a perdite. In genere il provider di hosting avrà molte più informazioni sul traffico e i log che hai e saranno essenziali nel trovare la fonte.

Trovare la fonte della perdita è importante. Se non sai cosa è successo non saprai se lo hai risolto.

Purtroppo a questo punto, se i dati sono pubblici non c'è molto che tu possa fare. Se vedi i tuoi dati o il codice su un altro sito, informali gentilmente e chiedi loro di smetterla. Minacciare un altro sito non è di solito utile e, a seconda della diffusione dei dati, un sito su molti fa poca differenza.

What preventative steps can be taken and what measures should I take now I find myself in this position?

Suppongo che tu intenda per la prossima volta dato che a questo punto sei molto più lontano dalla prevenzione. Molto dipenderà da quale sia stata la fonte della perdita. Se era il tuo fornitore, dovresti considerare se vuoi stare con loro o cambiare. La modifica dei provider non impedirà necessariamente futuri incidenti, a meno che il provider non includa una sicurezza più solida del proprio attuale fornitore. Assicurarsi che la trasmissione di dati sensibili sia sempre crittografata con un protocollo sicuro come HTTPS o TSL. Assicurati che il tuo repository del codice sorgente sia sicuro. Aggiungi un sistema di rilevamento delle intrusioni al tuo server. Leggi i tuoi file di registro. Sfortunatamente quasi nulla funziona come leggere regolarmente i tuoi file di log e imparare i modelli tipici.

    
risposta data 27.08.2011 - 06:45
fonte

Leggi altre domande sui tag