Новости компаний рынка безопасности / Газинформсервис /
Алексей
Бывалый
Сообщений: 426
Рейтинг: 0
02.06.2023 11:04:35
В свободный доступ был выложен дамп PostgreSQL-базы с данными зарегистрированных пользователей предположительно государственной образовательной платформы «Российская электронная школа». В таблице пользователей 9,148,983 записи. В том числе – ФИО, адрес эл. почты, телефон, имя пользователя и другая информация.
Ситуацию прокомментировал менеджер по продукту система управления базами данных Jatoba компании «Газинформсервис» Константин СЕМЕНЧУК:
– Крайне важно производить как изначальные настройки безопасности СУБД, так и периодически проверки на уязвимости.
Вот минимальный набор настроек, обеспечивающий безопасную работу СУБД:
- Узкий Whitelist разрешенных для подключения к СУБД ip адресов и пользователей (лишнее из списка удалить)
- Использование безопасных методов аутентификации (md5, ldaps)
- Безопасные парольные политики (обязательные разные регистры, цифры, спецсимволы)
- Защита от подозрительных sql запросов, например, sql инъекций (sql firewall)
- Установка обновлений после обнародования новых уязвимостей
Также, возможно использование дополнительных средств защиты, например, как в СУБД Jatoba.