We spreken hier over een hack naar de databank. Als je als ontwikkelaar zit te werken van een Wifi or andere insecure verbinding op de McDonalds, dan vraag je er wel naar he...
> hoef je enkel het wachtwoord van een mod/admin/phpmyadmin
Het feit dat je als ontwikkelaar werkt met een publiek toegankelijke phpmyadmin, ... en dan zonder secure verbinding, dan verdien je om je data kwijt te raken.
HTTPS doet er niets eens toe. Als je geen VPN hebt staan naar je server met phpmyadmin, ...
M.a.w, als iemand er in slaagt via een wifi of andere verbinding kritieke toegangscodes te verkrijgen tot je server, omdat je zo lui bent om geen VPN te gebruiken, dan maakt het eigenlijk niet uit dat je site HTTPS draait.
Als iemand een man-in-the-middle doet via wifi, dat kan men even goed HTTPS spoofen. De enige beveiliging als je echt remote wilt werken rechtstreeks tot je servers, is ... zeg het allemaal na mij: VPN verbinding opzetten!
De beste beveiliging is servers in je eigen firma, niet op remote, ethernet verbindingen enkel voor toegang tot de servers, publiek netwerk en toegang tot je servers netwerk fysiek gescheiden, mysql op aparte firewalled servers, applicatie servers firewalled, VPN zones enz...
Nu ja, dat is te veel werk voor veel firma's en ja, dan smijten ze de boel maar op enkel servers bij een provider, als de boel draait zijn ze al gelukkig en de gevolgen zijn voor later nietwaar
> Ik ga er maar vanuit dat zaken als firewalling, MFA e.d. ook niet op orde zijn in deze omgeving.
Ik ga er van uit dat in deze data lek gebeuren er gewoon NIETS deftige opgezet is. Puur servertje dat jaren geleden opgezet is, waarbij men vlug apt-get install php/apache/mysql deed ... het werkt. En daar bleef het bij. Het feit dat men nog nog met PHP 5.3 draaide is gewoon crimineel.
En het zijn niet de enige... Weet op men hand best een paar firmas waar men nog met 5.x PHP versies draait. Maar ja ... dan moeten ze wordpress updaten en dat is te veel werk nietwaar. En dan klagen als er ingebroken is op hun wordpress websites.
En wie krijgt de schuld, juist, de IT staf dat hun herhaaldelijk waarschuwt dat ze als amateurs werken. Maar ja... verkopen aan messcherpe prijzen, ITs staf dat maar moet programmeren, programmeren, ... content, ... dat brengt geld op. Beveiligen, daar betalen de klanten niet voor he. Net zoals documentatie, dat weigeren de klanten want dat moeten ze niet hebben. Och man ...
Op een dag gaat er is iemand een programma schrijven dat een hoop exploits combineert en dat de helft van het internet gaat platleggen met alle servers te wissen. Ik zie dag nog is gebeuren.