PR machine
@PR_machine_Nika
Не грози ресерчеру, попивая сок
Секретный playbook для пиарщика от белого хакера
Знаете то чувство, когда находишь «своего человека» в индустрии и думаешь: о, будто я сама это написала?
Внезапный мэтч у меня случился с бельгийским ресерчером и этичным хакером Inti De Ceukelaire. Но это не то, что вы подумали В разборе утечки данных 850 000 абонентов бельгийского филиала телеком-гиганта Orange Telecom он вдрызг разнес антикризис компании и призвал ее к ответственности. Ну наш слоняра!
Блог начинается с дисклеймера, мол как же неприятно писать эту статью и вдохновлять пиарщиков заметать сор под ковёр, но кто-то должен называть вещи своими именами. Да, брат, да!!
— пишет автор, который сам стал жертвой утечки.
21 августа он получил письмо от Orange Telecom: его данные могут быть среди похищенных. Сначала ресерчера порадовало поведение компании и ссылка на специальный лэндинг. Но радость сменилась праведным гневом: лэндинг оказался PR-буллшитом, цель которого — ввести СМИ и клиентов в заблуждение, негодует он.
Как не надо делать на примере кейса Oracle я уже писала. А это — свеженький анти-playbook по PR от белого хакера. Зацените:
Фокусируемся на том, чего «не произошло». То есть перечисляем, какие данные НЕ утекли. О том, что реально похищено — молчим, но намекаем, что хакер всё же получил доступ к одной там из наших систем. На этом всё.
Двусмысленные заголовки. «Orange информирует клиентов о кибератаке» — пишем в третьем лице с акцентом на слове «информирует», что звучит позитивно, никаких тебе "нас атаковали" или "взломали".
Незаметно правим опубликованные данные. В 12:00 пишем «нет доказательств, что данные утекли», потом убираем это со страницы в 16:30, а на следующий день возвращаем обратно. Вдруг никто не заметит?
Побольше эвфемизмов! «Кибератака» вместо «утечки данных», поскольку второе чревато вниманием регулятора. Что такое «критичные данные» Orange определяет сама по принципу, что не утекло — то и важно, e-mail, например. А вот SIM- и PUK-коды, которые реально опасны при SIM-свапе, почему-то не важны.
Не даем деталей. Классическая мантра о нераскрытии, поскольку идет расследование и "нужно сохранить приватность". По факту — это уход от ответственности.
Не извиняемся. Пользователям рассказывают, как им самим себя защитить, но не признают неудобств и рисков, созданных компанией, да и к чему эти все извинения?
Финал очень "европейский" — прям с чашечкой кофейку на площади Брюсселя:
Ну и, чтобы жизнь провайдеру не казалась апельсиновым соком, ресерчер обещает подать жалобу в бельгийский орган по защите персональных данных и потребовать полной прозрачности от компании.
Ну красавчик! Всем бы такой уровень социальной ответственности.
Как вам анти-playbook? Забираем?
#антикризис #кибербез
Секретный playbook для пиарщика от белого хакера
Знаете то чувство, когда находишь «своего человека» в индустрии и думаешь: о, будто я сама это написала?
Внезапный мэтч у меня случился с бельгийским ресерчером и этичным хакером Inti De Ceukelaire. Но это не то, что вы подумали В разборе утечки данных 850 000 абонентов бельгийского филиала телеком-гиганта Orange Telecom он вдрызг разнес антикризис компании и призвал ее к ответственности. Ну наш слоняра!
Блог начинается с дисклеймера, мол как же неприятно писать эту статью и вдохновлять пиарщиков заметать сор под ковёр, но кто-то должен называть вещи своими именами. Да, брат, да!!
Бренды типа Orange занижают значимость инцидентов кибербезопасности
— пишет автор, который сам стал жертвой утечки.
21 августа он получил письмо от Orange Telecom: его данные могут быть среди похищенных. Сначала ресерчера порадовало поведение компании и ссылка на специальный лэндинг. Но радость сменилась праведным гневом: лэндинг оказался PR-буллшитом, цель которого — ввести СМИ и клиентов в заблуждение, негодует он.
Как не надо делать на примере кейса Oracle я уже писала. А это — свеженький анти-playbook по PR от белого хакера. Зацените:
Фокусируемся на том, чего «не произошло». То есть перечисляем, какие данные НЕ утекли. О том, что реально похищено — молчим, но намекаем, что хакер всё же получил доступ к одной там из наших систем. На этом всё.
Двусмысленные заголовки. «Orange информирует клиентов о кибератаке» — пишем в третьем лице с акцентом на слове «информирует», что звучит позитивно, никаких тебе "нас атаковали" или "взломали".
Незаметно правим опубликованные данные. В 12:00 пишем «нет доказательств, что данные утекли», потом убираем это со страницы в 16:30, а на следующий день возвращаем обратно. Вдруг никто не заметит?
Побольше эвфемизмов! «Кибератака» вместо «утечки данных», поскольку второе чревато вниманием регулятора. Что такое «критичные данные» Orange определяет сама по принципу, что не утекло — то и важно, e-mail, например. А вот SIM- и PUK-коды, которые реально опасны при SIM-свапе, почему-то не важны.
Не даем деталей. Классическая мантра о нераскрытии, поскольку идет расследование и "нужно сохранить приватность". По факту — это уход от ответственности.
Не извиняемся. Пользователям рассказывают, как им самим себя защитить, но не признают неудобств и рисков, созданных компанией, да и к чему эти все извинения?
Финал очень "европейский" — прям с чашечкой кофейку на площади Брюсселя:
Взломы бывают даже у лучших, но общество должно требовать честности и ответственности от компаний, допустивших утечку.
Ну и, чтобы жизнь провайдеру не казалась апельсиновым соком, ресерчер обещает подать жалобу в бельгийский орган по защите персональных данных и потребовать полной прозрачности от компании.
Ну красавчик! Всем бы такой уровень социальной ответственности.
Как вам анти-playbook? Забираем?
#антикризис #кибербез
👍 12
❤ 11
✍ 4
2 4 1.3K
Обсуждение 2
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram