OWASP сталкивается с ироничной утечкой данных: уроки из прошлого

В феврале 2024 года Фонд OWASP столкнулся с неожиданной проблемой, когда была обнаружена утечка данных из-за неправильной конфигурации одного из их старых веб-серверов. Утечка затронула резюме участников, поданные за период с 2006 по 2014 год, выявляя личные данные, такие как имена, контактная информация и адреса. Этот инцидент бросает тень иронии на организацию, занимающуюся повышением осведомленности о кибербезопасности, поскольку причиной утечки стала ошибка конфигурации, описанная в их собственном списке рисков OWASP Top 10.

После обнаружения проблемы OWASP предпринял несколько шагов для ее устранения, включая отключение просмотра каталогов, аудит настроек веб-сервера и Media Wiki, а также полное удаление резюме с сайта. Кроме того, был очищен кеш CloudFlare и предприняты усилия по удалению данных из веб-архивов.

В ответ на инцидент, OWASP обратил внимание на то, что многие из затронутых данных устарели, что затрудняет уведомление пострадавших лиц. Организация также подчеркнула, что в свете этого инцидента они пересматривают свои политики хранения данных и будут внедрять дополнительные меры безопасности для предотвращения подобных инцидентов в будущем.

Этот случай поднимает важные вопросы о том, как даже самые осведомленные в области кибербезопасности организации могут столкнуться с уязвимостями, и подчеркивает необходимость постоянного внимания и обновления систем безопасности. Урок, извлеченный из этого опыта, напоминает о важности регулярного пересмотра и аудита ИТ-инфраструктуры, даже если она кажется устаревшей или не используется в текущих операциях.