Sycrion← Назад

ПРИМЕР ОТЧЁТА · так выглядит реальный Decision Memorandum

Decision Memorandum

Безопасность домена yourcompany.com

Дата отчёта28 июня 2026
Decision RecordSYC-2026-A4F7E2
Уровень рискаВысокий
Требует решенияВ течение 48 часов
Проверено источников5 из 5

1 · Краткая сводка для руководства

Обнаружены 3 серьёзных риска для безопасности домена yourcompany.com. Самое срочное — пароли вашей CRM-системы лежат в открытом виде в публичном репозитории на GitHub. Любой человек может зайти в систему прямо сейчас.

Рекомендуем сменить эти пароли сегодня и закрыть найденную дверь. Подробности и инструкции — ниже.

2 · Найденные риски

Критично
Пароли CRM в открытом коде на GitHub

В личном репозитории вашего сотрудника лежит файл .env с паролями к CRM, базе данных и SMTP-серверу. Файл публично доступен.

Что делать: Сегодня сменить все пароли из этого файла. Сотруднику — удалить репозиторий или сделать его приватным.

Высокий
Старая копия базы клиентов в архиве

Файл database_backup_2023.sql доступен по прямой ссылке на вашем сайте. В интернет-архиве есть его копия.

Что делать: Удалить файл с сервера. Через archive.org запросить удаление снимка.

Средний
Найден забытый поддомен staging.yourcompany.com

Сайт для тестирования открыт извне и работает на устаревшей версии CMS. Через него можно получить доступ к основной системе.

Что делать: Закрыть staging-сервер от публичного интернета или обновить до актуальной версии.

3 · Что мы проверили

Просканированы 5 публичных источников. «Чисто» — значит, ничего опасного не нашли.

GitHub — открытый код⚠ 3 находки
Wayback Machine — интернет-архив⚠ 1 находка
Certificate Transparency — карта поддоменов⚠ 1 находка
Paste-сайты — хакерские форумы✓ Чисто
Ransomware leak-сайты✓ Чисто

4 · Что делать дальше

  1. 1
    Сменить пароли из .env-файла
    Срок: Сегодня
  2. 2
    Удалить или закрыть staging-поддомен
    Срок: В течение 48 часов
  3. 3
    Удалить старый бэкап базы и снимок из Wayback
    Срок: На этой неделе
  4. 4
    Включить ежедневный мониторинг (план Watch)
    Срок: Когда удобно

5 · Когда стоит позвать специалиста

По этому отчёту вам понадобится DevOps-инженер или системный администратор, чтобы выполнить шаги 1–3. Ориентировочно — 2–4 часа работы. Если такого человека нет, мы можем порекомендовать проверенных подрядчиков. После того как доступы закрыты, Sycrion продолжит наблюдать за вашим сайтом и предупредит, если что-то новое появится.