Il y a eu un article sur Niebezpiecznik.pl, un blog InfoSec populaire, décrivant une situation intéressante.
Une entreprise a accordé par erreur l'accès à son dépôt BitBucket à un programmeur aléatoire . Ce programmeur a par la suite alerté divers employés de l'entreprise, les exhortant à révoquer l'accès dès que possible. Il a trouvé ces employés lents (par exemple, l'un d'eux a dit qu'il ne révoquerait l'accès qu'une fois de retour de vacances), a donc alerté le blog Niebezpiecznik, qui a ensuite contacté l'entreprise. Ce n'est qu'alors que l'accès a été révoqué.
Il est clair que le programmeur considérait l'absence de révocation rapide de l'accès comme une très grave erreur de la part de la politique de sécurité de l'entreprise. Et c'est là que je suis surpris.
Alors, considérons cela du point de vue de l'entreprise. Quelqu'un les contacte, affirmant qu'on lui a faussement accordé l'accès à leur dépôt privé et les exhortant à révoquer cet accès. Désormais, cette personne est intéressée ou non par le contenu de ce dépôt; il a aussi ou n'a pas des valeurs morales assez fortes pour s'abstenir de le télécharger. S'il est prêt à inspecter le contenu du repo, il a déjà eu amplement le temps de le faire; et s'il ne l'a pas encore fait, il ne l'aura probablement toujours pas fait au moment où l'employé reviendra de ses vacances. En d'autres termes, le lait s'est déjà répandu et rien de pire que ce qui s'est déjà produit ne risque de se produire à l'avenir.
En conséquence, je pense que la situation n'est plus urgente et peut attendre sérieusement jusqu'à ce que l'employé soit de retour de ses vacances.
Où me suis-je trompé?