Могут украсть информацию с сервера?

Я переживаю за то, что если доверить хостеру свои данные, то могут ли взломать сервер и похитить данные оттуда или сам хостер имеет же полный доступ к файлам? Как себя защитить и свою информацию?

Хоститься у себя дома. По крайней мере критично важные вещи.
Во всех остальных случаях данные хостеру всегда доступны в том или ином виде.

  • Свой физический сервер в защищенной и гарантированной по доступам локации.
  • Шифрование инфо на сервере (любом) и расшифровка “на лету”, например, через PGP Шифрование PGP: что это такое и как пользоваться (Вариант - все на одном сервере, а критичное - на отдельном защищенном, подкачка инфо на лету)
  • многуровневая защита:
    • физическое расположение/размещение
    • ограничение физического доступа
    • шифрование
    • ограничение и контроль админов
    • шифрование и раздельное туннелирования VPN (или без раздельного)
  • и т.д.

Варианты:

  1. организуете всё на своём личном сервере
  2. колокация, с опечатыванием сервера и установкой видеокамеры.

Хостер - это последний в очереди, кто может захотеть что-то украсть у клиента. Потому что хостера клиент кормит. Причём в течении длительного времени.
Другое дело, что всю информацию, которая была передана в сети интернет, можно перехватить и слямзить. Именно из-за этого давным давно придуманы и используются методы шифрования данных. Зашифрованные данные если даже и перехватишь, использовать не сможешь. Именно поэтому эксперты критиковали “Закон Яровой” - индустрию заставили вложить огромные деньги для хранения непригодной для использования информации.

[quote=“rustelekom, post:5, topic:466, full:true”]
Хостер - это последний в очереди, кто может захотеть что-то украсть у клиента. Потому что хостера клиент кормит. Причём в течении длительного времени.
[/quote]
Рядовому админу заплатили за кражу данных конкурента?
Владелец хостинга решил шортануть акции своей компании на бирже?
Хостер который несет убытки хочет получить хоть какой-то доход от дохлой лошади?
Пиар в конце концов который черным не бывает?
Крупная контора по агрегации данных предложила денег за слив данных для анализа?
Спец.службы попросили поделиться данными, что бы не закрыли за педофилию как соучастника?
Вы так странно говорите о хостера, как о едином и неделимом существе который только и делает что печется о клиенте и у него нет другой цели.
На самом деле у хостера абсолютно свои интересы, который могут совпадать или не совпадать с интересами клиента и кормежка на клиентских деньгах лишь один из многих вариантов.

p.s.: Помните у нас на сёрче тема была про данные размещенные в тикетнеце у одного хостера, которые стали доступны еще непонятно кому, а хостер отказался эти данные (приватные, персональные, логины, пароли) удалять? Где тут “кормежка с клиента”? Где “интересы клиента”? Прямое нарушение закона, при чем внаглую.

Не ходите детки в интернет. Да и вообще лучше никуда не выходить, а то вдруг вам наркотики подбросят. Давайте жить реалиями, а не мифическими конями в вакууме. То что вас могут обвесить в магазине - верю. То что вам врач может поставить не тот диагноз - верю. То что вам могут нахамить на ровном месте - верю, верю и верю. А вот в это: “Рядовому админу заплатили за кражу данных конкурента?
Владелец хостинга решил шортануть акции своей компании на бирже?
Хостер который несет убытки хочет получить хоть какой-то доход от дохлой лошади?
Пиар в конце концов который черным не бывает?
Крупная контора по агрегации данных предложила денег за слив данных для анализа?” - вот не верю.

Безусловно, в любой среде могут встречаться т.н. “утырки” - люди несовершенны, но частота упоминаний хостеров несоразмерна статистике. Я не говорю о том, что хостеры безупречны всегда и во всём. Но я категорически против огульного охаивания всех хостеров. Лично мне это уже давно надоело читать. Почему-то никто не пишет все российские вебмастера гно потому что один Вася загубил проект. Так и пишут Вася - гно. Вот так и пишите, пожалуйста:)

PS. Я не помню подробностей: вроде что-то было когда-то про то, что из-за то ли уязвимости, то ли из-за неправильной настройки данные оказались в открытом доступе. Насколько я помню, эту дырку закрыли. А отказались удалять из тикетницы скорее всего из-за того, что это внутренняя информация которую нельзя было удалять. Скорее всего, соответствующим клиентам были разосланы предупреждения о том, что необходимо сменить пароли или даже принудительно сброшены. Вообще, по нашему законодательству, нужно хранить данные по всем сделкам, внутренние документы в течении 3-5 лет и это вызывает некоторые проблемы с выполнением запросов на удаление персональных данных. Тут ещё нет продуманных и однозначных процедур.

[quote=“rustelekom, post:7, topic:466”]
вообще лучше никуда не выходить
[/quote]
Стараемся по возможности.
На последнем крипто-валютном проекте все критичные данные были у клиента на сервере дома и нигде больше, при этом были настроены только исходящие коннекты от него. То есть да, база клиентов, структура операций и прочее - на обычном серваке. Но ее утечка обидна, но не критична. А вот данные кошельков с живыми деньгами уже другое дело.
Назовете нас параноиками и скажете что надо было все оставить у хостера, потому что он “незаинтересован красть”?

[quote=“rustelekom, post:7, topic:466”]
Давайте жить реалиями,
[/quote]
Неплохо бы.
[quote=“rustelekom, post:7, topic:466”]
вот не верю.
[/quote]
А тем не менее все примеры из реальной жизни.

[quote=“rustelekom, post:7, topic:466”]
Безусловно, в любой среде могут встречаться т.н. “утырки” - люди несовершенны, но частота упоминаний хостеров несоразмерна статистике.
[/quote]
Потому что хостера клиент кормит. Причём в течении длительного времени. И сор из избы стараются не выносить. А то что у кого-то украли данные - это ущерб не только хостеру, но и самому сервису. Поэтому сор стараются не выносить обе стороны.

[quote=“rustelekom, post:7, topic:466”]
Я не говорю о том, что хостеры безупречны всегда и во всём. [/quote]
/что-то мы не понимаем почему цитирование не всегда работает/
А как по нам говорите - “Хостер - это последний в очереди… т.к. ему важнее клиент и нет ничего кроме него” это именно заявка о безупречности. В то время как нет такого единого и неделимого понятия “хостер” в принципе, хостер это сложная цепь из кучи звеньев со своими интересами, со своими, а не клиентскими. И заявлять что каждое из его звеньев в принципе не может иметь интереса украсть данные - это искажение реальной ситуации.

[quote=“rustelekom, post:7, topic:466”]
я категорически против огульного охаивания всех хостеров. Лично мне это уже давно надоело читать. Почему-то никто не пишет все российские вебмастера г но
[/quote]
Не могли бы Вы привести конкретную цитату где в этом топике было сказано “все российские хостеры говно”? Что-то мы не помним ни про российских, ни про говно, ни про всех.
Лично мы так вообще просто указали на то, что утечка данных через хостера возможна. Вы это отрицаете? Если нет, то в чем проблема?

[quote=“rustelekom, post:7, topic:466”]
Я не помню подробностей:
[/quote]
Неточно помните или говорите о другой ситуации. Там хостер просто насрал на клиента против законов и своих договоров. Если хотите освежите https://searchengines.guru/showthread.php?t=999387 , но это не принципиально абсолютно, т.к. как Вы верно заметили - единичный пример ничего не значит.

Нет, это был другой топик на серче. Что касается того, по которому вы прислали ссылку (спасибо, кстати) - тут могу только сказать, что вообще, попытки что-то затереть в ПО которое обладает возможностью документирования всех действий могут быть чреваты последствиями. Я потому и сказал о том, что ситуация с удалением персональных данных не так проста, как может показаться. Есть законы - по ним, даже если выполнение договора прекращено мы обязаны хранить всю информацию в течении минимум трёх лет после завершения договора. А по закону об архивном деле и вовсе в течении 5 лет. Я уж не говорю о том, что если в тикетнице можно изменять данные в запросах, то какое доверие может быть к этой тикетнице? В суде в качестве доказательства такой материал не примут.
Но и ваши доводы понимаю, действительно, зачем хранить паспортные данные клиента более чем 5-ти летней давности. Это общая проблема, по моему опыту и, поэтому в европейских и американских компаниях для такой информации используют отдельный канал связи - не общую тикетницу, а помощью отдельных форм защищенных ссл и, скорее всего, полученная информация переводится в оффлайн или на оборудование не связанное с сетью интернет напрямую. Возможно, я слишком хорошего о них мнения, но я бы так сделал. Мы у себя паспортные данные в тикетницах не держим, а сканы удаляем после обработки полученной информации.

Крипто-валютный проект на сервере подключенном к сети интернет - это не совсем то, чем промышляют обычные вебмастера. Но опять же, почему с хостера начинаем и им заканчиваем? Если вы собираетесь защищать информацию, то надо продумать все периметры защиты и хостер, как я уже говорил, не единственное и не первое лицо в очереди.

Форум совсем свежий, но уже прошлись и по российским и вообще по хостерам. То есть если посмотреть в суть топиков, то их направленность вполне очевидна. Мне это не нравится и я с этим борюсь. Если б я был сапожником, так же боролся бы и с охаиванием сапожников. Есть проблемы с конкретным сапожником - назовите его.

Ну и напомню о вопросе ТС:

“Я переживаю за то, что если доверить хостеру свои данные, то могут ли взломать сервер и похитить данные оттуда или сам хостер имеет же полный доступ к файлам? Как себя защитить и свою информацию?”

и мой ответ: “Хостер - это последний в очереди, кто может захотеть что-то украсть у клиента. Потому что хостера клиент кормит. Причём в течении длительного времени.”

О методах защиты я не писал, потому что Coder их прекрасно описал до меня.

Мотивы хостера просты и понятны - расширять клиентскую базу, увеличивать объём продаж, повышать рентабельность. Как вы правильно заметили, выносить сор из избы никто не захочет, потому что ущерб репутации будет большой и, как правило, несоизмеримым с любыми кратковременными плюшками. Поэтому лучше этот сор в избе не создавать.

[quote=“rustelekom, post:9, topic:466”]
Есть законы - по ним, даже если выполнение договора прекращено мы обязаны хранить всю информацию в течении минимум трёх лет после завершения договора. А по закону об архивном деле и вовсе в течении 5 лет.
[/quote]

Не всю информацию, а информацию имеющую непосредственное отношение к стороне договора, к выполнению работ по договору. Скажем если мы Вам в тикетнеце сообщим должность и настоящее фио Трампа :slight_smile: , так, just in case, то вряд ли Вы будете иметь право это там сохранить.
И потом там по всем тикетам больше 5 лет, а по некоторым и 10 уже.

[quote=“rustelekom, post:9, topic:466”]
Мы у себя паспортные данные в тикетницах не держим, а сканы удаляем после обработки полученной информации
[/quote]
Вот все бы так, респект.

[quote=“rustelekom, post:9, topic:466”]
Я уж не говорю о том, что если в тикетнице можно изменять данные в запросах, то какое доверие может быть к этой тикетнице? В суде в качестве доказательства такой материал не примут.
[/quote]
Если это тикетница хостера, то он там что угодно может и как угодно наменять, включая логи - благо тикетниц на распределённом блокчейне пока нет. В принципе ситуация решаемая, но никто ее решать не будет, это никому не надо просто (и здесь мы не только о хостерах, а вообще об индустрии).
Есть варианты с 3rd-party тикетницами, но мало кто их использует, т.к. не хотят (опять же) отдавать данные 3rd-party и/или полагаться на их надежность.

[quote=“rustelekom, post:9, topic:466”]
Крипто-валютный проект на сервере подключенном к сети интернет - это не совсем то, чем промышляют обычные вебмастера.
[/quote]
Да, но как Вы верно подметили выше, владельцы сайта кормятся с клиентов и по уму должны бы защищать не только личные кошельки, но и клиентские данные. Те же персональные. Поэтому хотя пример и крайний, по уму надо применять его намного шире.
Современная ширина каналов, кстати, как по нам, воскрешает старый вопрос (времен когда хостинги были дорогие) - "а не захостить ли мне свой сайт дома"©

[quote=“rustelekom, post:9, topic:466”]
Но опять же, почему с хостера начинаем и им заканчиваем?
[/quote]
Потому что вопрос звучал как "если доверить хостеру свои данные"©
Если бы речь шла о вебмастерах или о дизайнера или о верстальщиках - ответ был бы несколько другой, но суть была бы та же - максимально храни ценное у себя не доверяя никому. Везде враги!

[quote=“rustelekom, post:9, topic:466”]
и мой ответ: “Хостер - это последний в очереди, кто может захотеть что-то украсть у клиента. Потому что хостера клиент кормит. Причём в течении длительного времени.”
[/quote]
А мы не согласны с тем, что он последний в очереди. Т.к. хостер это не некий монолит, а цепь звеньев, в которых может оказаться кто угодно. Не только хостер разумеется, много кто. Но при этом доступ к данным у него максимально возможный.

[quote=“rustelekom, post:9, topic:466”]
Форум совсем свежий, но уже прошлись и по российским и вообще по хостерам.
[/quote]
Да по всем еще пройдутся. Вы не волнуйтесь, всем достанется: slight_smile: И андроид против эппл (где-то вскольз уже было) и амд против интела и фрилансеры против фирм (уже вон в соседнем топике) и автоваз против иномарок (хотя это вроде неактуально, автоваза считай нет, рено-ниссан).
Форум свежий - острые темы лучший способ создать обсуждение, благо на старых форумах это стухнет не начавшись, а тут могут прозвучать интересные точки зрения.

[quote=“rustelekom, post:9, topic:466”]
Поэтому лучше этот сор в избе не создавать.
[/quote]
Но и заметать успокоительным “хостеру последний” тоже не стоит.
Хостер не последний, хостер равный. diversity, все дела.

-1

[quote=“rustelekom, post:5, topic:466, full:true”]
Хостер - это последний в очереди, кто может захотеть что-то украсть у клиента. Потому что хостера клиент кормит.
[/quote]

Как раз ваш админ (или кто он?) угрожал клиенту физ расправой. Я бы мог напомнить если что.

Но это вовсе не значит, что надо параноить. Надо всего лишь помнить и понимать, что всё, абсолютно всё, везде и всегда может быть уведено. Если данные настолько критичны, то просто не давать их никому. Иначе - в любом случае риски.

А что у вас за инфа?

В запале много чего можно сказать, все мы люди и любого человека, если он, конечно, не какой-нибудь супер-йог-аскет можно спровоцировать. Но, личные отношения - это личные отношения и их нельзя переносить в бизнес.
Закончу своё участие в этом топике пожеланиями здоровья, счастья в Новом году! Надеюсь мы все оставим то плохое, что случилось, в 2019 году, а в 2020 будем жить и трудиться с надеждой на лучшее! И ещё скажу, что несмотря на повсеместную цифровизацию, диджитализацию и прочее и прочее, всем надо оставаться людьми и относиться друг к другу как к людям, а не роботам 🙂 !

-1

[quote=“rustelekom, post:13, topic:466”]
Но, личные отношения - это личные отношения и их нельзя переносить в бизнес.
[/quote]
Вот именно. Но ваш админ (уж не знаю за что, но…) воспользовался служебным положением, получил приватные данные клиента и угрожал и ему лично и его родственникам(!). Почему-то этот “запал” был затянут на многие дни, если не месяцы, узнавая при этом другую инфу о клиенте и его родных.

[quote=“rustelekom, post:13, topic:466”]
И ещё скажу, что несмотря на повсеместную цифровизацию, диджитализацию и прочее и прочее, всем надо оставаться людьми и относиться друг к другу как к людям, а не роботам
[/quote]

Вот тут двумя руками за!

А что у вас за инфа?

плюсуюсь к вопросу

[quote=“SeVlad, post:14, topic:466”]
Вот именно. Но ваш админ (уж не знаю за что, но…) воспользовался служебным положением, получил приватные данные клиента и угрожал и ему лично и его родственникам(!). Почему-то этот “запал” был затянут на многие дни, если не месяцы, узнавая при этом другую инфу о клиенте и его родных.
[/quote]

Э, не было такого. Человек с которым он затроллился, не был нашим клиентом. Да и если бы даже был (хотя и не был), то из нашей клиентской базы он бы ничего интересного про него не узнал. Вообще, троллей не по клиентским базам хостеров ищут обычно, а по тем же форумам да соцсетям.

Если даже у Сбера крадут, что,простите, чем вы-то сильнее защищены? Могут, еще как, поэтому просто надо иметь это в виду.

-1

[quote=“rustelekom, post:16, topic:466”]
Э, не было такого. Человек с которым он затроллился, не был нашим клиентом.
[/quote]

Ну значит я не так понял.

[quote=“rustelekom, post:16, topic:466”]
Да и если бы даже был (хотя и не был), то из нашей клиентской базы он бы ничего интересного про него не узнал.
[/quote]
Даже ФИО и номер телефона? Не верю.

ФИО пишут отсебятину, а мобилки - есть ощущение, что народ освоил сервисы по приему смс. Но того товарища у нас в базе не было в любом случае и если кто-то что-то про него и узнал, то никак не из нашей базы.
Поражает как любят у нас много и с охотой поговорить о недостаточной сохранности приватной информации у хостеров, когда данные сливаются и из крупных интернет-магазинов и из государственных и банковских баз данных. Никогда таких жалоб не видел на зарубежных сайтах про хостинг. Там ругают хостеров за медленный или “индийский” суппорт, лишние списания с карты, тормоза сайтов, даунтаймы и т.п… И это при том, что у многих зарубежных хостеров информации собирается куда больше (те же карты там очень часто сохраняют в хостерском портале поскольку обработка идёт через мерчант аккаунт, а не сторонние процессинги как у нас.

-1

[quote=“rustelekom, post:19, topic:466, full:true”]
ФИО пишут отсебятину, а мобилки - есть ощущение, что народ освоил сервисы по приему смс.
[/quote]
Разговор не о том, что пишут юзеры, а о том, какая инфа доступна админам. Неадекватным, причём.
А то что “пишут”, используют ВПНы и пр - это как раз следствие такой работы.