Один IP-адрес для доступа к частным URL-адресам в электронных письмах, которые я отправляю
Я - специалист по IT/ программисту в небольшой переводческой компании. Я только что разослал электронные письма нашим переводчикам по всему миру с уникальным URL, чтобы они могли зайти на наш сайт и обновить свой пароль. например: http://mysite.com/update/080F9326-491D-11E0-B806-D028DFD72085
Уникальный URL дает любому, кто захватывает его полный доступ; поэтому я PGP зашифровал все электронные письма (у нас есть открытый ключ в нашей базе данных для каждого переводчика).
Вот странный бит:
- 5 минут после того, как я разослал электронные письма, исключения начали прибывать
- В моем коде была ошибка, приводившая к исключениям (do'h!)
- Просматривая журналы IIS 1 IP-адрес посетил ВСЕ уникальные URL - maxmind.com говорит, что IP находится в Колумбусе, штат Огайо
Ссылки были нажаты слишком быстро, чтобы они были предполагаемыми получателями; Я точно знаю, что друг-переводчик в Ливане не получил письмо, когда его ссылка была нажата.
Кто-нибудь видел что-нибудь подобное?
1 ответ
Вот что я бы сделал и проверил:
(все это зависит от того, насколько вы параноидальны и насколько конфиденциальны данные на самом деле, переводы для следующей игры ueber-web-facebook-flash-game не так конфиденциальны, как, например, переводы для юридических лиц, которые планируют иметь некоторые международный нарк рейд и надо разослать информацию)
- Прежде всего: аннулируйте все URL, которые были отправлены
- Пароль защищает все, но никому не сообщайте пароль
Вещи под вашим контролем
- действительно ли сообщение было зашифровано (возможно, только подписано)
- проверить компьютер, который выполнял шифрование на наличие вредоносных программ (был ли это какой-то общедоступный шлюз, был ли он "настоящим сквозным шифрованием")
- кто-то получил доступ к закрытому ключу без использования вредоносных программ:
- повторить процесс и проверить логи
- повторите процесс с новым ключом и проверьте журналы - сообщите получателям о новом ключе
- повторите процесс с новым ключом и проверьте логи - не распространяйте новый ключ
Вещи не под вашим контролем
- вредоносное ПО на любом из компьютеров получателей
Узнайте, кто плохой парень
- отправить уникальный так называемый безопасный URL каждому незашифрованному человеку
- отправлять уникальный так называемый безопасный URL-адрес каждому зашифрованному лицу - это действительно необязательно
(извините, но отправка незащищенного URL-адреса с помощью GPG - это почти то же самое, что отправка защищенного URL-адреса в виде открытого текста - детишки сценария обнаружат, что такие вещи, а также защита на стороне сервера, по моему мнению, более ценны для бизнеса, поскольку вы иметь больше контроля)
в заключение
У меня был друг, который очень гордился тем, что постоянно использовал PGP для всех своих почтовых разговоров. До сих пор он узнал, что он случайно экспортировал свой закрытый ключ и продолжал посылать его все время вместо открытого ключа - забавно в то время, но вы никогда не знаете, что вас поражает (теперь это был не я, я Мне пока лень зашифровывать мои письма с помощью PGP и объяснять это клиентам, я обычно использую какой-то зашифрованный ZIP-файл или что-то еще, что может использовать неопытный человек без объяснения причин)
Внедрите одноразовые пароли для ваших переводчиков. Отправьте им новый материал по обычной почте.
Кроме того, я предполагаю, что у вас есть письменное согласие на то, чтобы не отдавать вещи, и вы абсолютно уверены, что не случайно кто-то с каким-то техническим опытом написал сценарий получения зашифрованных писем и автоматически сделал что-то другое.
Также (опять же), любая вероятность того, что у любого из получателей есть субподрядчики, которые выполняют фактическую работу, и почта была перенаправлена (возможно, с ключом, необходимым для его расшифровки)
И последнее, но не менее важное: есть такая вещь, как мобильный доступ. Вы звонили всем, чтобы убедиться, что это не действительный доступ из того места, которого вы не ожидали?