Našel jsem následující příspěvek , kostrbatě přeložený, kde ajtik firmy s platební bránou údajně byl dost nevybíravě nucen externím auditorem k předání následujícího.
Já vím, že víte co je na tom špatně ale zajímalo by mne, co si o tom myslíte:
a) je to hoax
b) je to falešný auditor - hacker
c) auditor je opravdu idiot
d) sociální inženyr zkouší ajtika, jestli je spolehlivý
P.S. link záměrně zatím neudávám, až jako bonus
Bezpečnostní auditor našich serverů do dvou týdnů požadoval následující:
- Seznam aktuálních uživatelských jmen a hesel prostého textu pro všechny uživatelské účty na všech serverech
- Seznam všech změn hesla za posledních šest měsíců, opět ve formě prostého textu
- Seznam „všech souborů přidaných na server ze vzdálených zařízení“ za posledních šest měsíců
- Veřejné a soukromé klíče všech klíčů SSH
- E-mail, který mu byl zaslán pokaždé, když uživatel změní své heslo, obsahuje heslo prostého textu
Používáme krabice Red Hat Linux 5/6 a CentOS 5 s ověřením LDAP.