10 мая на Хабре появилась интересная статья про пентест Кубанского Универсально Банка (www.kubunibank.ru). Автор - пентестер с ником 090h. Статья быстро набрала популярность и к вечеру стала самой популярной статьей за день на Хабре.
В статье рассказывалось, как был проведен аудит Кубанского Универсального Банка и был найден ряд уязвимостей, позволяющих получить контроль над вебсервером, расположенным внутри локальной сети, что открывало потенциальную возможность по атаке внутренних информационных систем банка.
Служба безопасности банка узнала о статье в день публикации и начала внутреннее расследование. Как оказалось, ни руководитель департамента ИТ, ни сама служба безопасности не была предупреждена о пентесте заранее, и уж тем более разрешение на публикацию статьи о проведении пентеста руководство банка не давало.
В итоге всего этого системный администратор уволился с формулировкой "я хотел как лучше, а вам ничего не надо". Да и комментарии к статье на хабре сложились не в пользу банка:
В итоге всего этого системный администратор уволился с формулировкой "я хотел как лучше, а вам ничего не надо". Да и комментарии к статье на хабре сложились не в пользу банка:
Вот я и решил разобраться в этой ситуации подробней, чтобы понять кто прав, а кто виноват.