20:21
2/9/2019

Otrzymaliśmy od Was wiele zgłoszeń odnośnie serwisu internetowego, jaki dziś pojawił się w sieci — a którego autor najwyraźniej wszedł w posiadanie dokumentów finansowych jednej z polskich agencji marketingowych, GetHero, pośredniczącej w sprzedaży reklam pomiędzy markami a influencerami. Dokumenty te są obecnie publikowane w internecie a za ich usunięcie szantazysta domaga się 50 000 PLN.

Okup wynosi 50 000 PLN

Oto list, jaki znalazca dokumentów wystosował publicznie do agencji GetHero / GAMELLION po tym — jak twiedzi — próbował bezskutecznie skontaktować się z ich pracownikami:

Na początek chce napisać ze podjąłem probe kontaktu z sieciami partnerskimi o których będę pisał. Na żadną z wiadomości nie otrzymałem odpowiedzi. Czare goryczy przelał ostatni film Sylwestra Wardegi. Zrozumiałem ze we wszystkim chodzi o pieniądze, a siec partnerska to nie są fajni kolesie którzy chcą rozwoju dzieciaków, a bardziej traktują swoich pupilków jako bankomaty, czy tez banery reklamowe, samemu ściągając spora prowizje.

Kim jestem? Powiedzmy ze przeszukuje internet trochę jak google, ale otrzymuje ciekawsze wyniki :) Nazwijcie mnie penetratorem :) Niedawne prace naprowadziły mnie na prawdziwa kopalnie umów – faktur oraz prywatnych dokumentów dwóch sieci partnerskich “Get-Hero” oraz “Gamellon”. Chcecie wiedzieć ile zarabia Friz? Rezi? Nitro? Malczynscy? a może ile bierze Multi za swoje koncerty np w Energylandii? Danych jest okolo 5GB. Wiec tak drogie sieci partnerskie, tym razem dla odmiany zamiast zarabiania proponuje zapłatę. Za co zapytacie? Za najcenniejsza rzecz jaka macie w firmie – wasze dane, których nie chroniliście z odpowiednia starannością.

Co godzinę będę tu umieszczał umowy znanych osobistości. Jak to zatrzymać? Jest tylko jeden sposób. Oto mój portfel kryptowaluty Z-cash(ZEC): t1bCGws98q3NfP3YeWK9cysMa6qCQXbXNzE

​W momencie w którym otrzymam równowartość 50 tys zł na portfel zaprzestaje wstawiania danych do sieci oraz usuwam wszystkie mi znane. Dodatkowo jestem w stanie udzielić informacji jak udało mi się zdobyć dane tak byście w przyszłości nie musieli się już obawiać(dziura jest ciągle otwarta). Mozecie się zrzucić lub nie. Zobaczymy której sieci bardziej zależy na danych swoich influenserow jak i reklamodawców.

Na pierwszy rzut leci MULTI i ENERGYLANDIA, ale uwierzcie jest tego sporo :) Zdaje sobie sprawę ze wykop będzie usuwał moje znaleziska dlatego cala akcja będzie prowadzona z rożnych kont pod hasztagami: #Youtube #Gethero #Gamellon #Friz #Rezi #Multi #Tromba #Wersow

EDIT: JAKO ZE MINELA GODZINA A SRODKOW NADAL NI MA DORZUCAM UMOWE FRIZA ZA WORD OF TANKS. Nastepna umowa o 16:30

EDIT: MINELA KOLEJNA GODZINA A SRODKOW NADAL NI MA. TAK WIEC TYM RAZEM WiP Bros i umowa z WAWELEM Nastepna umowa 17:30-18:00

EDIT: MINELA KOLEJNA GODZINA A SRODKOW NADAL NI MA. TAK WIEC TYM RAZEM CALA GRUPKA I UMOWA Z MONTE Nastepna umowa : 18:30

EDIT: MINELA KOLEJNA GODZINA A SRODKOW NADAL NI MA. TAK WIEC TYM RAZEM KAMPANIA DUREX I PONOWNIE WiP Bros Nastepna umowa : 19:30-20:00

EDIT: MINELA KOLEJNA GODZINA A SRODKOW NADAL NI MA. TAK WIEC TYM RAZEM TROMBA BOMBA I JEGO UMOWA Z WORD OF TANKS. Narazie ida rzeczy mniej istotne. Daje szanse GetHero na przemyslenie sprawy. Ewentualny kontakt : wycieksp@hush.com Nastepne dane : 21:00

“Penetrator” domaga się 50 000 PLN za zaprzestanie publikacji dokumentów. I tu zaznaczyć trzeba, że szantażysta jest słowny, ponieważ kolejne faktury i skany umów zawierające informacje o tym kto, ile i za co otrzymał, pojawiają się na jego stronie regularnie.

Jak doszło do wycieku?

Jeśli wierzyć szantażyście — dokumenty znalazł bez zabezpieczenia. Mógł to być jakiś Google albo Shodan Dork i namierzenie np. bazy Elastic Search (lub innej) bez odpowiedniego zabezpieczenia albo głębokie ukrycie, czy też autorski “crawling” podatnych usług, jak np. backdoora w usłudze VPN Fortigate, którego ktoś nie usuną aktualizacją. Jednym słowiem standardowe zdolności OSINT-owe, które powinien posiadać każdy analityk, handlowiec czy nawet rekruter (a jak nie posiada, to może je posiąść).

Danych ma być 5 GB, a ponieważ co godzinę ujawniane są kolejne dokumenty, to można wnioskować, że firmy jeszcze nie zapłaciły. Czy zapłacą? Może są na etapie zdobywania kryptowaluty? Wbrew pozorom, to nie jest łatwe — zdobyć kryptowalutę — dla kogoś, kto nigdy tego nie robił.

Upublicznienie “szantażu” naraża autora na odpowiedzialność karną i …niekoniecznie podziała mobilizująco na szantażowane firmy. Po pierwsze — płacąc okup, nigdy nie ma pewności, że szantażysta rzeczywiście usunie dane (i nie wróci z kolejną prośbą za tydzień, o dwa razy większą kwotę). A po drugie — jeśli nowe dokumenty przestaną się pojawiać, będzie to sugerować, że firma zapłaciła, czyli przylgnie do niej łatka “płacących okupy” (nikt takiej nie chce z wiadomych powodów).

Dla przypomnienia — w Polsce, z istotniejszych marek, mieliśmy do czynienia z:

Czy “penetrator” nie zostawił żadnych śladów podczas macania infrastruktury GetHero po których można by było go namierzyć? Pewnie niebawem się dowiemy.


Aktualizacja 2.09.2019, 20:46
Paweł Kowalczyk, wiceprezes zarządu GetHero przekazał nam (błyskawicznie!) takie oświadczenie. Wytłuszczenia nasze.

Nawiązując do pojawiających się w sieci informacji na temat ataku hakerskiego, jakiego byliśmy celem, pragniemy powtórzyć to, o czym informowaliśmy potencjalnie poszkodowane podmioty i media w lutym bieżącego roku.
Jest nam niezmiernie przykro, że musimy ponownie odnieść się do sytuacji, w której padliśmy ofiarą kradzieży i szantażu. Tym niemniej chcemy podkreślić, że kiedy dowiedzieliśmy się o sytuacji, założyliśmy najgorszy możliwy scenariusz i wykonaliśmy
wszelkie niezbędne kroki wymagane przez prawo, jak i przez poczucie lojalności wobec osób, które potencjalnie mogły zostać w niej poszkodowane.
Poniżej dołączamy informację z lutego, kiedy informowaliśmy o incydencie. Niestety komentarz puentujący informację stracił na aktualności, ponieważ dane zostały upublicznione (przynajmniej w części).

“Z tego miejsca ponownie przepraszamy wszystkie potencjalnie narażone podmioty. Źródło wycieku zostało zlokalizowane, a procedury bezpieczeństwa zaktualizowane tak, aby nie dopuścić kolejny raz do takiej sytuacji.”

——————————-
informacja z lutego 2019:

GetHero celem ataku hakerskiego
Agencja interaktywna GetHero stała się celem ataku hakerskiego 11 lutego 2019 roku. Tego samego dnia o zdarzeniu zostały poinformowane odpowiednie organy ścigania: Wydział do Walki z Cyberprzestępczością Komendy Wojewódzkiej Policji we
Wrocławiu i Policja Miejska. Powiadomiony został też Prezes Urzędu Ochrony Danych Osobowych. W wyniku przeprowadzonego cyberataku przestępca uzyskał dostęp do części danych dotyczących umów zawieranych przez firmę, faktur VAT oraz danych osobowych
współpracujących z GetHero partnerów i twórców.
Zakres włamania objął około 400 dokumentów z ostatnich trzech lat. Dokumenty dotyczyły partnerów biznesowych, firm obsługiwanych przez agencję oraz twórców internetowych, z którymi współpracuje GetHero.
Po wykryciu włamania firma niezwłocznie podjęła wszystkie niezbędne kroki. Sprawa została zgłoszona do Wydziału do Walki z Cyberprzestępczością Komendy Wojewódzkiej Policji we Wrocławiu, a także do Prezesa Urzędu Ochrony Danych Osobowych przy
wsparciu ekspertów ds. ochrony danych osobowych z LexDigital Sp. z o.o.. Ponadto, agencja przeprowadziła wewnętrzny audyt, którego celem było przeciwdziałanie kolejnym wyciekom i zgromadzenie jak największej liczby informacji o włamaniu.

GetHero podjęło również współpracę ze specjalistami z zakresu cyberbezpieczeństwa w celu ustalenia, które dokumenty zostały pobrane przez przestępcę. W wyniku audytu zostały usprawnione procedury bezpieczeństwa, a hakerowi zablokowano możliwość dostępu do systemów.
Po ustaleniu zakresu włamania skontaktowano się z firmami i osobami, których dane mogły się znajdować w skradzionych dokumentach, a także przedstawiono kroki mające na celu zabezpieczenie interesów wszystkich podmiotów.

“Bardzo nam przykro z powodu zaistniałej sytuacji. Mimo dobrego poziomu zabezpieczeń i wdrożonych procedur ochrony danych niestety zawinił czynnik ludzki. Bezpośrednim celem ataku były biznesowe konta email youtuberów, stąd zalecamy szczególną ostrożność wszystkim Twórcom internetowym. Według naszych informacji skradzione dokumenty nie zostały nigdzie opublikowane, ale zdecydowaliśmy się jak najszybciej poinformować wszystkich partnerów.” – mówi Tobiasz Wybraniec, prezes zarządu GetHero.

Czas pokaże, czy za stroną, która pojawiła się dziś w internecie stoi ta sama osoba, która — wedle powyższego oświadczenia — miała pozyskać dane w wyniku “ataku na biznesowe konta e-mail youtuberów”. Przekazaliśmy firmie GetHero nasze pytania, które — jeśli uzyskamy odpowiedzi — opublikujemy w kolejnej aktualizacji. Być może to pomoże wyjaśnić jak od ataku na konta e-mail youtuberów, ktoś pozyskał 400 dokumentów agencji dotyczących różnych projektów.

PS. A skoro jesteśmy przy YouTube, to informujemy, że nasz kanał na YouTube właśnie przekroczył 10 000 subów. Są tam świetne poradniki dla początkujących pentesterow nagrane przez Jakuba, wszystkie odcinki naszego podcastu “Na Podsluchu“, które dziarsko montuje Marcin (większość odcinków zjadliwa dla każdego) plus parę prezentacji Piotrka z różnych branżowych konferencji, jego vlog “z piwnicy” z kilkoma praktycznymi poradami (dla każdego) i poradnik bezpieczeństwa dla graczy. Zapraszamy do subowania i dzwonkowania — chcemy być jak influenserzy, chociaż CAPSLOCKA w tytułach i strzałek w miniaturkach nie zamierzamy stosować.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

80 komentarzy

Dodaj komentarz
  1. Na wykopie najpierw znikły zdjęcia (usunięte z hostingu) a po chwili całe znalezisko, co sugeruje że okup został zaplacony

    • Wygląda, że adres zec t1bCGws98q3NfP3YeWK9cysMa6qCQXbXNzE jest pusty więc niekoniecznie. póki co wygląda, że darmowy serwer padł, a wykop był zdjęty dużo wcześniej

    • Albo moderacja usunęła posty żeby nie posądzano Wykopu o wspieranie oszustów ;)

    • mógł użyć monero to każdy byłby w niepewności

    • sekcja monitorowania całodobowego ma panel admina na wykopie i usunęła

    • Raczej w grę wchodzi tu osobowe powiązanie Wykopu z LexDigital, które działa na zlecenie poszkodowanego

    • @Kacper 2019.09.02 20:58
      “Albo moderacja usunęła posty żeby nie posądzano Wykopu o wspieranie oszustów ;)”

      Dlaczego nazywasz ich oszustami, w którym miejscu dopuścił(li) się oszustwa?

    • Wie ktos jaka to strona

    • A jak taki szantazysta wyplaci te pieniadze ? przeciez musi je spieniezyc na realne konto nie ?

  2. Znikły skany dokumentów z tej stronki chyba host zdjęć zbanował mu konto

    • Dziwny sposób na blokowanie konta. Jest timeout jakby gdzieś na niskim poziomie to było urwane lub denial of service

    • 5 GB to któryś z pracowników mógł trzymać w Google Drive.

  3. A ktoś ma te umowy? Można je jeszcze gdzieś obejrzeć?

    • mam wszystkie

    • Podaję hasło, web archive.
      (hxxps://wycieksiecipartnerskich.000webhostapp.com/).
      Tylko zamień sobie “xx” na “tt”

    • Ja mam

    • Film na kanale – 10k netto
      Film na kanale – 15k netto
      Promocja produktu – 200 tysięcy brutto
      Post instagram, post facebook, jeden film – 20 tysięcy brutto
      Występ artystyczny jednego z ‘raperów’ – 12 tysięcy.
      I to tyle.

  4. Chetnie kupie bazy danych do telemarketingu b2c prosze o kontakt email. Tylko konkrety

    • Adresy mogą być z generatora?

    • Ile płacisz za adres? [wyciete] at wp.pl

  5. mnie zastanawia tylko… co z tego? oczywistym jest, ze “influencerzy” za reklamę biorą hajs, może żal komuś pupkę ściska, że tyle nie zarabia, ale nie widzę w upublicznieniu tego kto i za co ile wziął niczego, co komukolwiek mogłoby w jakiś sposób zaszkodzić

    • Mnie nie przeszkadza, że biorą hajs, to ich prywatna sprawa, kto ile i za co zarabia, irytuje mnie jedynie fakt ukrywania tego przed opinią publiczną. Tworzy się wtedy chora sytuacja, gdzie zupełnym przypadkiem jutuber coś poleca, naganiając tym samym klientów, a potem chwali się, jakich to on nie ma zasięgów i wszystko sam zbudował, bez niczyjej pomocy. O rzetelności recenzji i testów nawet nie będę mówił, bo to temat na książkę, jeśli nie na dwie.

      Dlatego jeśli firmy zaczynają od ukrywania czegoś przed ludźmi to spore emocje będzie budzić fakt ujawnienia tych informacji. A że dziś niczego już się nie robi bez podpisania klauzuli niejawności to blady strach pada na wszystkie strony, gdyż trzeba ustalić kto się wsypał i dlaczego, ewentualnie jakim pismem można go zaszantażować. Szołbiznes w pigułce.

    • No, chyba jednak nie aż tak “niegroźne’ były dla ‘zainteresowanych’ te informacje, bo jednak reakcja była nader szybka…
      BTW groźne czy nie – jednak ‘co poniektórzy’ nie lubią specjalnie jak się o nich zbyt mocno i konkretnie mówi. Tak poza tym do wiedzy n/t treści umów uprawniony jest właściwy urząd skarbowy zainteresowanego, i chyba tak powinno pozostać .

    • Tajemnica handlowa. Jeden za swoje usługi dostaje X, drugi Y i wszystko gra dopóki ktoś nie dojdzie do wniosku, że inny zarabia więcej za to samo.

    • pewnie jedni biorą 10000 zł a drudzy 100 zł, a jak się upubliczni każdy będzie chciał 20000 zł

  6. Przyznam że tego typu newsy powodują u mnie ból dolnej partii ciała. Mam pracę która umiarkowanie lubię i w której jednak spędzam sporo czasu. Zarobki nie są złe, nie powinienem narzekać, ale do 5 cyferek na łapę też na razie trochę brakuje. Mimo to człowiek czasami chciałby to wszystko rzucić. Chyba jestem jeszcze strasznie niedojrzały, bo strasznie słabo sobie radzę z faktem że ktoś produkujący tego typu “content” zarabia potencjalnie krotność moich zarobków. Tylko czy jako jednostka mam prawo uogólniać jaki content jest wartościowy? Czy może działa tutaj zasada jedzmy gó*** – miliony much nie mogą się mylić?

    Kompletnie nie rozumiem fenomenu tych wszystkich patostreamów, gejmerów przeklinających do mikrofonu, prankerów. Generalnie trudno mi winić samych twórców, bo przecież pieniądze nie śmierdzą. Tylko kto to tak na prawdę ogląda? Dzieci nie mam i w sumie przeraża mnie sama myśl, że jakieś 9-12 latki oglądają te “gwiazdy” youtuba.

    Za dużo tego nie ma i nie robi szczególnego wrażenia, ale jak ktoś szuka to podpowiadam: webarchive.

    • To rzuć prace i też rób taki kontent.
      Chcesz przepis na sukces? Weź dziurnie z instagrama która w miare wygląda i rób: typowy/e xy + zainwestuj te 50k aby cie wypromowali ci z topu. To się nigdy nie znudzi. Dziecioróbstwo za 500+ idzie w najlepsze więc dzieciaków wlepionych w smartfony nigdy nie zabraknie.

    • Tylko widzisz, Twoja praca jest (prawdopodobnie) moralnie całkiem w porządku, oraz możesz ją wykonywać bez problemu przez kolejne lata, a jak warunki Ci nie odpowiadają to z mniejszym lub większym wysiłkiem znajdziesz inną firmę w swojej branży dla której możesz pracować.

      Taki wytwórca contentu jaki obecnie jest na fali, musi kombinować co akurat ma szansę chwycić. Na każdego jednego co złapie 10k na reklamie, przypadają tysiące jak nie miliony takich którzy dostaną w porywach ułamek grosza. Do tego w każdej chwili każda z tych “gwiazd” może upaść równie nisko jak wysoko się wzniosła, wystarczy że moda się zmieni, a jak wiemy łaska 4chana na pstrym koniu jeździ, i gwiazdka zostaje znowu z zerowym dochodem. Również sądzę że większość z tych ludzi zdaje sobie sprawę jaki śmietnik wypuszczają i pewnie codziennie rano budzą się z moralnym kacem (żeby sklejać filmiki na jako takim poziomie technicznym nie można być matołkiem, nawet jeśli się takiego odgrywa, tylko trzeba trochę tej wiedzy technicznej mieć).

      Miej to w pamięci za każdym razem jak gdzieś znowu krzykliwe newsy powiedzą że ktoś zarobił górę pieniędzy na pierdołach pokroju filmików, grania w gry komputerowe czy nawet za sport. Te kariery są bardzo losowe, nie mają żadnych gwarancji i powodzenie w nich mają nieliczne osoby które tego próbują. W kontraście, Tobie co miesiąc wpływa na konto gotówka, na którą możesz być w miarę pewny że za kolejny miesiąc znowu tam wpłynie, może jest mniejsza niż tych głośnych celebrytów, ale za to możesz na nią liczyć.

    • “a jak wiemy łaska 4chana na pstrym koniu jeździ” co ty bredzisz kumplu, co ma 4chan z tym wspólnego

    • Stwierdzenie równie adekwatne, co mityczni “Informatycy za 15k”. Twórców internetowych jest wielu. Jeden ma hossę, drugi pikuje w dół. Te 10-15 minut materiału który widzimy to jest efekt wielogodzinnej pracy poza kamerą. Która, IMHO przypomina zjazd wózkiem sklepowym ze zbocza- mały błąd i wywalisz się na tym. Zarobki oparte na marketingu, aktywizacji widzów i psychologii tłumów. A kto to ogląda? Ktoś, kto hołubi wartości które niosą.

    • @Kasia
      TOGTFO

      Przepraszam, ale musiałem (o ile przeszło przez moderatora)

    • Czemu się tu dziwić? Edward Stachura już pisał: “Ludzi coraz więcej, człowieka coraz mniej”.

      Co do dzieci oglądających patostreaming – to wychowanie robi swoje – jak rodzic ustawia dziecko że liczy się tylko kasa, to jak takie dziecko ma wyznawać jakiekolwiek wyższe wartości?
      Dzieci w podanym przez ciebie wieku to bardzo okrutne istoty – popatrz jak się wyżywają na gorzej ubranych kolegach/koleżankach w klasie.

      Gdyby ludzie byli inni – nie byłoby kretyńskich influencerów, patostreamingu i innych zjawisk, które tak cię dziwią.

  7. Mnie najbardziej interesuje, czy szantażysta wykradł informację, dlaczego ktokolwiek chce płacić tym ludziom za ich „twórczość”…

    • Bo to wspaniali twórcy, artyści internetów i wogle!!!1!

      (Też nie wiem… i w ogóle typków nie kojarzę. Friz? Rezi? Nitro? Malczynscy? Nie znam, nie śledzę patologii jutubowej na bieżąco)

    • Pomyśl. Z pewnością firmy płacą za taką formę reklamy (nawet kilkukrotnie) wyłącznie dlatego, że są głupi. Rachunku ekonomicznego przy takich kwotach nikt nie będzie robił.

  8. To pierwszy raz, gdy czuję sympatię do szantażysty. :)
    Czy ze mną coś nie tak?

    Jako klient nie cierpię marketingowców, reklamodawców, influencerów i innych takich.
    Jak mogą, to niech pocierpią.

  9. BTW: Brand24 został złapany na naruszaniu prywatności

    https://www.spidersweb.pl/2019/09/facebook-zablokowal-profile-brand24-i-michala-sadowskiego.html

  10. >Dla przypomnienia — w Polsce, z istotniejszych marek, mieliśmy do czynienia z
    a kancelaria prawnicza Drzewiecki, Tomaszek & Wspólnicy?

  11. Ale 50000? Przecież oni więcej na kawę wydają miesięcznie.

    Pamiętam jak do jednej z firm z którymi pracuje przyszedł kiedyś szantaż na 10k €. Przez miesiąc wisial na wallu firmowym.

  12. Może znowu się czepiam, ale niejednokrotnie zwracaliscie uwagę na poprawne cenzurowanie zdjęć, gdzie sami podawaliscie multum powodów, dlaczego nie używać różnego rodzaju rozmyć i pixelizacji etc. a sami konsekwentnie to stosujecie.
    Nie chodzi już o usuwanie meta danych, czy innych “technicznych” zabiegów przed publikacją zdjęcia, bo te są równie ważne, co sama graficzna cenzura, ale zapominacie, że jesteście swoistym wyznacznikiem pewnych wartości w oczach wielu ludzi, więc dajecie przykład w kwestii bezpieczeństwa itp, dlatego wielu ludzi (mniej lub bardziej świadomie) powiela tego typu zachowania i wrzuca gdzieś indziej “zle” ocenzurowane zdjęcia “bo przecież niebezpiecznik też tak robi…”
    – koniec marudzenia –
    A tak w temacie – osobiście uważam, że wszystkie transakcje firmowe powinny być publiczne w jakimś stopniu.

    • Odblurowac albo odpixelowac zdjęcia się nie da. Żadnego. Można (a to różnica) ustalić co moglo być pod spodem blura jeśli stworzy się wszystkie możliwe warianty pixeli i je na wszystkie możliwe warianty pixelizacji/rozmycia przetworzy, a potem porówna i potwierdzi lub odrzuci każdy przypadek testowy. Taki obrazkowy bruteforce.

      Innymi słowy, jak zablurujesz zwrot “jesteś w błędzie” i ktoś ustali rodzaj fonta, jego wielkość i kolor, to może generować wszystkie 16 znakowe ciągi tego typu i potem je blurowac i porównywać. Ale to też pod warunkiem że był użyty slaby blur (raz jeden z redaktorow takiego użył, więcej takiego nie używamy).

      Przy stosowanym na ww. zdjęciach retuszu “odblurowanie” nie będzie możliwe (stosowane jest kilka różnych rozmyć zmienionego wcześniej obszaru), to raz, byłoby trudno przewidzieć typ danych wejściowych do ataku (czyli kombinację tego co pod spodem), to dwa i wreszcie –najwazniensze– to i tak nie ma znaczenia bo dane te są publicznie dostępne. My rozmywamy je bo chcemy ukazać kontekst a niekoniecznie do tego potrzebna są dane w postaci krótki odbiorcy fv i konkretnej kwoty. A Pixel wygląda ładniej niż czarny klocek. Tam gdzie dane wejściowe są do ustalenia stosujemy jednolity klocek, patrz artykuł wcześniej, ten o Twitterze

    • Piotr Konieczny:

      “Od tej pory redakcja Niebezpiecznika nie będzie stosować żadnych zabiegów “upiększających” przy zamazywaniu. Tam, gdzie ochrona informacji jest niezbędna, będziemy stosować bloki jednolitego koloru do zakrywania wrażliwych informacji na obrazkach lub skorzystamy z mozaiki albo rozmycia, którego nie da się “odwrócić”.”

      To było niespełna 2 lata temu :)
      https://niebezpiecznik.pl/post/zamazywanie-tekstu-przez-rozmywanie-to-nie-najlepszy-pomysl-o-tym-jak-redaktor-niebezpiecznika-ujawnil-swoje-dane-z-dowodu/

    • @Tomasz — to co zacytowałeś jest przecież w zgodzie z tym co napisałem powyżej. Słowa klucze: “niezbędne”, “lub mozaiki albo rozmycia którego _nie da_ się odwrócić”.

    • @PK

      za bardzo sie Pan tlumaczy. Czarny kwadrat jeszcze nikogo nie zdradzil.

    • @Czesławski, wyjaśniam, bo zależy mi na tym, aby ludzie rozumieli jak działa technologia i nie powtarzali głupot. A co do czarnych kwadratów, to one też mogą kogoś zdradzić: https://niebezpiecznik.pl/post/niedokladna-cenzura-pdf-a-ujawnia-zastrzezone-informacje/

  13. Chciałem się tylko zauważyć, że infiltrowanie niezałatanych VPNów to nie jest OSINT. Ci firmowi rekruterzy i przedstawiciele handlowi, do których kierujecie ofertę mogą sobie wyobrazić, że ich tego nauczycie w ramach białego wywiadu…

    • Takie rzeczy tez pokazujemy (zaznaczając gdzie kończy się granicą osintu a zaczyna testu penetracyjnego lub przestępstwa)

  14. Oczywiście, że można idealnie odblurować nawet całkowicie rozmyte obrazy uzyskując 100% zawartości szczegółów początkowej ostrości: http://www.fmwconcepts.com/imagemagick/cameradeblur/index.php

    • Chyba nie doczytałeś tego, co linkujesz. Ale skoro twierdzisz, to co twierdzisz, to zmierz się z tym rozmazanym obrazkiem. Daj znać, co było pod spodem: https://imgur.com/a/8wkUJ8w

  15. Ale kwoty na fakturach to nie są kwoty które zarabiają influencerzy, a kwoty które zarabia agencja (np. GetHero). Co z tego że na fakturze jest na 10k, jak później to oni zlecają robotę danemu influencerowi za np. 5k a reszta to ich czysty zysk?

    • Akurat w przypadku koncertu w Energy2000 jest faktura wystawiona przez zleceniodawce dla agencji, a także wykonawcy (YoungMulti) dla agencji. Różnica w kwocie netto to 3500…

    • No i o to przecież chyba chodzi. Pracownik (influencer) dowiaduje się ile firma – pośrednik na nim zarabia. Jaki ma to skutek ? Ano: chce więcej.Bo może.Paniatno ?

      Tylko ci szantażyści to konkretni debile.Okupu za każdym razemnie dostaną i tak,a jak by ten co wykradł dane o których mowa zeszedł z ceny to pewnie na influencerach albo ich konkurentach mogli by (też nielegalnie i przestępczo ale jednak) zarobić po prostu oferując te dane/ich skasowanie (ale tu trzeba by honorowo handlować a przestępcy do tego nie są za zdolni :P ).

      Nie znam tego biznesu “influencerskiego”,nie wiem jak działa.Nie znam się też na przestępczym “biznesie”.Ale podstawowa rzecz jaką ogarniam to to,że firmy nie mają emocji (mogą je mieć co najwyżej pracownicy),a szantaż jest graniem na emocjach. Stąd szantażowanie firm w których pracownicy mają i tak pewnie wyj…ne na to wszystko jest ze strony bandytów którzy ledwo nauczyli się obsługiwać komputery popisywaniem się kompletną głupotą.Oczywiście to,że są głupi jak but nie jest nowiną,inaczej nie byli by przecież przestępcami i to takimi o których jest głośno w sieci.

  16. Z wymienionych nazw kojarzę tylko “Energylandia”.

    Chyba jestem odporny na działania influencerów.

  17. Warto by napisać coś o Pegasusie

    • Ale co? Wszystko juz napisaliśmy *dwa* lata temu. Teraz mainstream powtarza dokladnie te same informacje. Niczego nowego w nich nie ma.

  18. Nie wiem kto to był i nie mam więcej komputerów bo Pan prok. Dariusz Podufalski ostatnio zabranych nie oddał więc sp!$#&@l@ć

  19. szacun dla szantażysty. Dobrze im tak.

  20. Jaki jest sens płacenia za dane które już wyciekły? mleko się rozlało i nic już tego nie zmieni.

  21. Jestem za, influencerzy to ostatni szajs hajs musi sie zgadzać nie ważne jakie gówno wciskają ludzią i że potem można mieć różne dziwne powikłania szczególnie po produktach dla kobiet.
    Nie mówiąć już o patologii i tym że niektórzy streamerzy czekają na wyroki.
    A nawet ci mądrzejsi potrafią sobie w stopę strzelić nawet Światowa Historia czasami potrafi się zbłaźnić, np jego poglądami o 9/11
    Albo Ator co promuje gejostwo/patusów i ostatnio jakiś market bitcoinowy.
    Udaje świetoszka neutralnego a ostatnio zachowuje sie jakby jedną partie wspierał

  22. Jakie to szczęście być odpornym na influenzę.

  23. Koncert w energylandii? Chyba jakieś nieporozumienie… Na fakturze widnieje nazwa klubu ENERGY2000, który się mieści w Katowicach, a Energylandia to parka rozrywki w Zatorze…

    • Ale zdajesz sobie sprawe, że te obiekty są w posiadaniu jednego właściciela i nazwa jest podobna nie z przypadku? I faktury są wystawiane tak jak mają ochotę bo to nie ma znaczenia, są właścicielami obu tych terenów i wszystko jest w ramach jednej spółki.

    • Kolego E2K pierwsze było w Przytkowicach, a właściciele są też właścicielami Energylandii…

    • Energylandia należy do ENERGY2000…. siedziba biedronki jest w portugalii a ty kupujesz w polsce, też Cię to dziwi? Może zanim się wypowiesz, sprawdź jakie głupoty pleciesz….

    • Energy2000 to nazwa dyskoteki w Przytkowicach (gm. Kalwaria Zebrzydowska) pierwszej firmy państwa Goczałów – właścicieli Energylandii. :)

  24. Tak, w Enerygladnii. Jakbyś trochę poczytał to byś się dowiedział, że Energylandia należy do Energy2000.

  25. Ciekawe te informacje, fajnie zobaczyć ile faktycznie zarabiają influencerzy na Polskiej scenie. Czesto sie w ich filmach pojawia temat zarobków, ale nikt nie mówi raczej wprost o zarobkach. Mimo, że akcja niezbyt przyjemna to troche mnie cieszy :)

  26. Szykuje się ciekawy temat dla redakcji niebezpiecznika

    bankier.pl/wiadomosc/Warszawa-ma-2-07-mln-mieszkancow-ale-w-weekend-o-prawie-200-tys-mniej-7733055.html

    W oparciu o jakie przepisy prawa firma Orange mogła dokonać tego komercyjnego badania na zlecenie władz Warszawy.
    Czy nie doszło do złamania przepisów RODO. Wątpię żeby klienci Orange wyrazili zgodę na śledzenie ich tras przemieszczania się po terenie kraju. Tego typu analiza ponadto raczej nie wchodzi w zakres dopuszczalnego użycia danych.
    Gdybym był klientem Orange natychmiast zrezygnowałbym z ich usług po tak bezczelnym wybryku i totalnym braku szacunku dla danych klientów.

    • Nie musisz być klientem Orange aby wziac udział w tym badaniu, wystarczy, że byłeś w zasięgu jednego z BTS’ów Orange i twój telefon złapał z nim kontakt (nie musi dojść do logowania w sieci) – Zczytali wszystkie IMEI w ciagu danego dnia w zasigu swoich BTS’ow, usuneli duble, i maja gotowa analize. Nie widze tu danych RODO, ani naruszania przepisów, każda firma może wykorzystujac swoja infrastrukture zapisywac logi urzadzen bedacych w ich zasiegu. I kazda to robi … a ze pomarancza ma ich najwiecej w aglomeracjach … taki mamy klimat

    • To chyba normalne, że firma telekomunikacyjna analizuje jakie ma obciążenie sieci, ilu użytkowników jest podłączonych w danym momencie i gdzie. Dane osobowe wcale nie są do takich statystyk potrzebne.

      PS. dziwię się, że w ogóle korzystasz z jakiegokolwiek telefonu…

  27. Gdyby ktoś chciał sprawdzić czy coiny wskakują :) https://zcashnetwork.info/address/t1bCGws98q3NfP3YeWK9cysMa6qCQXbXNzE

  28. Adres do exploratora bloków: https://zcashnetwork.info/address/t1bCGws98q3NfP3YeWK9cysMa6qCQXbXNzE

  29. Właściwie zastanawiam się, co niby miało by skłonić agencję do zapłacenia okupu, skoro faktury zaczęły wypływać i wtopa wizerunkowa się rozlała.

  30. A gdzie “pan przebraniec” może tutaj podać jego adres tego torla?

  31. jak ktos ma te faktury to niech podeśle proszę na szymon@lykamspam.pl

  32. Bardzo dobrze, nalezy tepic to dziadostwo ktore zalewa yt. 50 tyś ? Chlopie ich stac na milion zlotych i nawet nie poczuja!

  33. Nie wiem czy te informacje są tyle warto. Swoją drogę ci cali influenserzy to trochę patologia. Pozują na bezstronnych, a wciskają kit. Jednak przestępstwo to przestępstwo i służby powinny ścigać takich wymuszaczy okupu z całą stanowczością.

  34. 50000? Przecież więcej na waciki w miesiącu wydadzą!

  35. Wszystkie faktury ujrzały światło dzienne a i US też im się dokładnie przyjrzał!

  36. Pfff co to dla nich 50tyś xD

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: