Det var en gång...

Flera decennier inom QA ger en del dråpliga och insiktsgivande berättelser att förmedla. För min egen skull har jag börjat beskriva en del av dessa här.

Detta är en av dem.

Molntjänsters säkerhet

År 2007 var molntjänster fortfarande an ganska ovan typ av infrastrukturkomponent att hantera för de flesta organisationer. En av grejerna med molntjänster är ju att de är tillgängliga över Internet och alltså måste lita på sina säkerhetslager.

Jag var inne för att göra globala prestanda- och lasttester för ett ekonomisystem vars användning skulle utökas hos en läkemedelsjätte. Bolaget var baserat i USA och användarna i både Australien, Asien och Europa klagade på prestanda. Det var ett spännande gig med många utmaningar, men det är inte det detta inlägg handlar om.

Det väsentliga här är att systemet innehöll en spegling av produktionsdata. Detta produktionsdata utgjordes av data över allt som någon någonsin köpt inom hela koncernen, välstrukturerat, sökbart och uppdelat per leverantör - med priser, avtal och allt. Alltså ganska känslig data för vem som än skulle offerera något till något av bolagen i denna koncern, och för deras konkurrenter som kan vilja jämföra kostnadsposter.

Testmiljön innehöll en realtidsuppdaterad spegling av produktionsdata för att acceptanstestarna skulle känna igen sig.

Så fort jag fick inloggningsuppgifter till systemet insåg jag att jag måste slå larm.

Testsystemet hade legat online i åratal, med samma url som produktionssystemet men med test istället för www i URL:en, och med användarnamnet root med lösenordet admin.

Efter mitt påtalande om detta tog det bara 20 minuter så var felet åtgärdat. Jag fick faktiskt ett tack från höga chefer och någon annan fick en ny punkt på sin att-göra-lista i form av att gå igenom alla organisationens testmiljöer och kolla säkerheten.

Lärdom

Det är nästan alltid viktigt att ha god säkerhet i testmiljöerna eftersom de annars är en tacksam tunnel in i IT-landskapet - men om de innehåller produktionsdata och dessutom ligger online är det EXTRA viktigt att inte göra bort sig.