Názory k článku Obelstění zaměstnanci, úplatek, nebo selhání? Co zatím víme o hacku Twitteru

Jako bývalý auditor IRM českých finančních institucí, včetně velkých bank, mohu jen konstatovat, že ani banky nejsou svaté, a sem tam se nějaký průšvih přes veškeré kontrolní mechanismy stane. Jen banky udělají maximum pro to, aby jej ututlaly, reputační riziko každou banku ohrožuje doslova existenčně (run na banku apod.). Takže máloco z těch průšvihů se dostane k širší veřejnosti. Nicméně průšvihy podobné velikosti nejsou nemyslitelné, jen to holt nemůže být tak jednoduché a okaté, jako že bankovní úředník pouze zasáhne někam, kam má práva.

P.S. Banky mají narozdíl od ostatních institucí m.j. jednu fantastickou vymoženost - zpětnou valutu. Z pohledu klienta se minulost výpisu z účtu může měnit v čase, čehož banky opravdu využívají, a leccos se tak dá vrátit, když již ne z pohledu finanční ztráty, tak alespoň z pohledu reputačního rizika.

Jak se to řeší se můžou podívat do jakékoli banky. Ale levné to nebude a to bude asi kámen úrazu.

Já se divím, že Twitter má nástroj pro vkládání příspěvků pod cizími účty. Chápu smazání/skrytí příspěvků, chápu reset hesla, nebo i tu změnu emailové adresy, byť u obojího by měla být další opatření proti zneužití.
Z celého podle mě vyplývá, že sociální sítě, nebo alespoň Twitter, nebere zabezpečení svých uživatelů vážně, koneckonců, jeho business je jinde:/ Lidé nechtějí platit za e-mail, natož za Twitter, ale podle toho ty služby nakonec vypadají.

Právě programuju šifrování pro OSS eshop osCommerce a řeším to neřešitelné dilema, jestli lze uživateli bezpečně nabídnout reset hesla. V této chvíli mám pocit, že pokud chci pro každého uživatele šifrovat jeho přihlašovací údaje jeho heslem, je to neřešitelné. To znamená, že asi dám uživateli volbu, zdali chce bezpečnější variantu, kdy v případě ztráty hesla bude svůj profil muset vyplnit znovu a přijde o historii objednávek a nebo méně bezpečnou varinatu, kdy bude existovat kopie uživatelských údajů a historie objednávky, zašifrovaná klíčem administrátora.
A vzhledem k tomu, že ta méně bezpečná varinata znamená, že pokud útočník ovládne interní systém, je šifrováí k ničemu, začínám se přiklánět k varinatě že je lepší, aby po resetu hesla přišli dotyční uživatelé o své údaje a historii objednávek.

Podle mě se tohle dá řešit pomocí centrálnější autority. Někdo, kdo se zabývá do hloubky nenapadnutelným systémem poskytne autorizaci hesel atp.