由這點就可以知道資安管控的重要性了!
所以藉由此點一來提醒所有資安人員進修與善盡資安管理、更重要的是擬定完善資安規範與執行。
再者、讓老闆或業者看到賺錢之外應該也要善盡保護員工與客戶的個人資料與安全責任!
最重要的是搜尋網站也應該善盡善良法的應盡責任,再獲悉此一嚴重狀況時應該要有標準SOP,立即啟動辨証、查核、清理與正確處置,以維護其他善良法人與善良人之權益為優先考量!
建議您、必要時不要只有使用電話聯繫,可能要對內檢查疏漏與補救,對外以書面(像存證信函)方式發文給搜尋業者,我想這樣他應該就會加速處理、不然您也就有權做進一步處置,而不致於空等!
謝謝您, 沒錯,是我們疏忽讓敏感資料暴露在網路上,但我們在第一時間已將資料刪除了,也設法聯繫到搜尋引擎公司,客服人員指庫存頁面要3至5日才能完全消失,沒想到經過了半個多月了庫存資料還在,他們客服人員的回答聽起來像是技術性的問題無法解決,感謝您的建議,我會請我們主管正式發文給那家公司。另外會加強內部資料的控管,不再相信搜尋引擎或是任何網路業者會善盡資料保護的善良責任。
別客氣、一點建議希望對您有幫助。
依您的回應來看在自我這端處置明確與快速!只是在對外那端的作業不夠周延與嚴謹,所以沒有採取口頭與書面並行作業,在這提醒您書面要有回擲或可證明確實對方收到的那種(像存證信函),千萬不要只是以一般公文方式處理喔!再次提醒您咯!祝順利!
搜尋引擎是幫兇
你家公司工程師就是元兇..
重要個人資料就該另外存在其他單獨伺服器中並加密設權限才比較安全
既然被偵測到頁面了
那就直接換掉路徑,先拿掉比較快了~還在等搜尋公司處理幹嘛..
今天假日我想也沒人可以幫你才是
為什麼會被搜尋引擎找到貴公司網站,貴公司的IT人員是元兇!
搜尋引擎是無辜的,人家也跟你說,要如何不被搜尋到!
1.更改路徑或檔名,讓搜尋引擎記錄失效。
2.聯絡搜尋引擎公司,清除庫存資料!
3.建立robots,明白告訴搜尋引擎,哪些資料不想被記錄下來!
4.不該被搜尋到的資料,本來就不該放在網路上,要檢討貴公司的資訊系統軟硬體架構!
感覺好像在講前不久"某"虛擬主機代管公司...
把過錯都推給搜尋引擎了..
內部的網站資料可以在網際網路瀏覽到,真的要好好檢討公司內的資安政策。
其實我覺得公開網站中一定需要管理
管理內外資料的分別
並設定閱讀權限,一方便可以確保資料被搜尋到
另一方面機密性資料本身就非外網可讀取才對
不這麼區分開,只要你網站有關連其他網頁
一定都會被撈的一清二楚
開發階段的東西..
建議用IP來管制瀏覽&測試.
同時對針對可瀏覽的電腦
類似Toolbar那些東西都一定要遠離.不能遠離.
那麼就只提供專用測試機..
有時候要圖方便..要測試多種瀏覽器的執行結果.
有些人可能會將網址釋放到提供多瀏覽器的網站去.這也是要避免.
因為沒有人可以保證她們測試的結果不會提供給別人.
參考看看!!
我也曾經某一頁asp未寫入權限管理控制,該頁就被搜尋引擎給扒了。
等到發現後加寫,大概3天才會搜尋不到該頁,否則搜尋引擎還是會顯示扒到的歷史資料。
1.貴公司內部網站,請勿放在Public IP上
2.robot.txt 是防君子, 不防小人, 故內部網站請與要公開的網站切開
iThome鐵人賽
看影片追技術