בידיעה על מתקפות על אתרים קטנים שציינתי ברשימה קודמת צוין כי נתוני אשראי נגנבו מאתר שמאובטח על ידי חברה בשם Scanalert. זו חברה שמבצעת בדיקה יומית של רמת האבטחה בכ-75,000 אתרים והאתרים האלה מחזיקים לוגו עליו כתוב "Hacker Safe". החברה כמובן טוענת שהנושא בבדיקה, אך הנקודה המעניינת היא שהחברה היא גם בודקת מוסמכת ל-PCI (PCI-DSS הוא ה-Payment Card Industry Data Security Standard). זהו תקן שעתיד להיות מחייב בתוך כשנתיים ואתרים שלא יעמדו בתקן לא יוכלו לסלוק כרטיסי אשראי של החברות הגדולות (AMEX, VISA, Mastercard ועוד כמה). אם מידע נגנב מאתר המאובטח על ידי חברה שמוסמכת על ידי חברות האשראי לבצע בדיקות אבטחה לתקן, מה זה אומר? (אולי כלום, עוד אין נתונים).
מצד שני, זה קצת מחזק את הטענה כי בדיקות חדירה לכשעצמן אינן מספקות רמת אבטחה מספקת ולא ניתן לבחון אבטחה של אתר או מערכת ללא בדיקה מעמיקה יותר של התשתית (היישומים עצמם, אך גם מערכות התשתית).
מקור: Jeremiah Grossman
בבלוג זה
בכל הבלוגים
