У 2019 році сталося важливе відкриття, яке потрясло технологічний світ: витік даних, пов'язаний з Facebook (тепер Meta), що став результатом неправильно налаштованих баз даних на платформі Amazon Web Services (AWS). Це призвело до того, що мільйони користувачів втратили свої дані через відкриті сервери.
Дослідницька компанія UpGuard виявила, що дані користувачів стали доступні публічно через дві різні бази даних на AWS, причому ці дані належали не самому Facebook, а третім сторонам, які використовували платформу. Розробники не забезпечили належний захист цих даних, і через це будь-хто міг отримати до них доступ.
Це сталося через неправильну налаштування серверів, що дозволяло залишити бази даних «публічними», що дало можливість будь-якому інтернет-користувачу мати доступ до персональних даних, таких як імена користувачів, електронні адреси, коментарі та інші особисті відомості.
Як наслідок, були скомпрометовані дані понад 540 мільйонів користувачів, що призвело до великої втрати репутації компанії. Питання безпеки даних стало актуальним для обговорення знову, і ця ситуація привернула увагу до необхідності вжиття відповідних заходів безпеки.
Щоб уникнути таких інцидентів у майбутньому, необхідно враховувати кілька простих, але ефективних заходів:
- Налаштування доступу до баз даних повинно бути належним чином обмежене.
- Перевірки безпеки для розробників мають бути посилені.
- Необхідно впровадити автоматизовані системи безпеки для публічних серверів.
- Дані повинні бути зашифровані, а доступ до них обмежений.
- Facebook мав би бути більш прозорим у питаннях обміну даними з третіми сторонами.
Цей інцидент показав, що не тільки великі компанії, а й маленькі розробники можуть порушити безпеку, навіть через прості помилки в налаштуваннях. Ігнорування безпеки, особливо при використанні хмарних платформ, може призвести до великих ризиків. Тому захист даних тепер є необхідністю, а не просто вибором.
Перекладено з: R&D is Not the Same as Innovation