Утечки данных в 95% случаях происходят изнутри компании. Взломать даже типовую систему – не самая тривиальная задача, не говоря уже о сложных кастомных продуктах. Тем не менее, данные крадут регулярно – как в случае с онлайн-кинотеатром Start, у которого увели адреса и хешированные пароли клиентов, утечками в CDEK, OneTwoTrip или Delivery Club. Что можно сделать, чтобы обезопасить пароли и персональные данные пользователей? 🕵🏻‍♀️ Сузить круг людей, которые имеют доступ к информации, и снизить текучку. Пусть это будут самые опытные и проверенные сотрудники. Если человек работает в компании много лет, вероятность того, что он захочет продать данные, уменьшается. 🧬 Использовать хеш-функцию. Это не свежая идея, но даже Gooogle попадался на том, что хранил пароли пользователей в незашифрованном виде. Хеширование поможет избежать катастрофы, если данные все-таки утекли: потерянная информация не позволит залогиниться от имени клиентов. 📚 Сделать так, чтобы информацию о клиентах нельзя было выгрузить списком, а только по одному клиенту. В таком случае даже злонамеренный сотрудник не сможет составить достаточно большую базу. 📯 Анонимизировать маркетинговые и другие активности, где нужен доступ к базе клиентов. Например, когда нужно сделать рассылку по определенной группе пользователей, сотрудникам не обязательно иметь доступ ко всей базе. Для этого пользователей делят на группы с определенными характеристиками – «молодые отцы», «пенсионеры», «студенты». При этом сотрудники не видят телефоны и адреса конкретных людей, а работают с их псевдонимами в виде кодов. 🧡 Хорошо расставаться с сотрудниками. Коллеги, которые уходят без скандала, вряд ли захотят прихватить с собой базу.