11:30
10/6/2011

Na serwerze FTP należącym do firmy Acer znalazł się 13MB plik .ZIP zawierający dane przeszło 40 tysięcy klientów z Europy.

Kradzież danych z Acera

W pliku Country Wise Customer Data.zip znalazły się takie informacje jak: imię i nazwisko, kraj pochodzenia, adres e-mail, model kupionego sprzętu i jego numer seryjny. Nie wiadomo jak swieże są te informacje.

Acer EXCEL

Fragment pliku z danymi klientów Acera

Do włamania doszło, bo login i hasło do serwera FTP z którego wykradziono dane opublikowano uprzednio na forum supportowym Acera. W styczniu 2008 roku jeden z pracowników firmy za pomocą tego serwera FTP udostępnił HotFix, a następnie podał innym internautom login i hasło potrzebne do jego ściągnięcia.

Acer Password

Hasło do FTP Acera

Do kradzieży przyznała się PCA (“Pakistańska Cyber Armia”), która oprócz tego pliku podobno weszła również w posiadanie bliżej nie sprecyzowanych fragmentów kodu źródłowego. No cóż, zalogować się i pobrać dane z FTP potrafi każdy…

Serwer FTP Acer-Euro, z którego wykradziono plik został już zablokowany, ale Acer odmawia komentarza w tej sprawie.
Wniosek 1: Okresowa zmiana haseł czasem jest dobrym pomysłem.
Wniosek 2: Wystawianie plików na FTP za hasłem nie zawsze jest dobrym pomysłem.

Przeczytaj także:


28 komentarzy

Dodaj komentarz
  1. Czasami się zastanawiam czy niebezpiecznik nie powinien zmienić swojego sloganu na: Niebiezpiecznik – o ludzkiej głupocie i innych niebezpieczeństwach..

    To co ostatnio dzieje się w świecie szeroko pojmowanego secuirity zakrawa na kpinę..

    • Uogólniasz. Nie dzieje się nic co by się kiedyś nie działo, zwyczajnie dzięki Internetowi takie sprawy są nagłaśniane i o każdej słychać w świecie.

  2. “Do kradzieży przyznała się PCA (“Pakistańska Cyber Armia”)…”
    Cyber-Armia ? :D Do kradzieży ? No litości…
    To nawet pod paragraf nie podpada, skoro hasło i login były dostępne dla każdego…

    • W Polsce kilka paragrafów by się znalazło. Pewnie na siłę Art. 267. i jakieś związane z dystrybucją danych osobowych.

    • No niestety, u nas podpada :-(

    • Zgadza się. W Polsce, nawet jak ktoś Ci poda sam dane do logowania, ale nie upoważni Cię do wglądu w dane chronione tym loginem i hasłem, to się odpowiada za uzyskanie dostępu do danych nieprzeznaczonych dla Ciebie. do 3 lat więzienia z tego co pamiętam

    • W Polsce nawet udostępnienie hasła osobie uprawnionej jest zabronione (“udostępnianie danych umożliwiających dostęp do systemu teleinformatycznego”).

    • Chwila, moment… Jak znajdę w necie login/hasło do FTP, zaloguję się i ściągnę sobie jakieś ‘głęboko ukryte pliki’ to jest paragraf, dzięki któremu można mnie ścigać ? o_O
      Nie mówię tu o udostępnianiu tych danych, tylko o zapisaniu ich na dysku ‘na użytek własny’.

      Paranoja…

    • Proponuje poczytać o…delegalizacji Internetu w Polsce i np.ROZDZIAŁ XXXIII
      Przestępstwa przeciwko ochronie informacji wraz z zmianami na np.http://prawo.legeo.pl/prawo/kodeks-karny-z-dnia-6-czerwca-1997-r/ .

      Art. 269b. § 1. Kto wytwarza,[…]lub udostępnia innym osobom […] hasła komputerowe, […]lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.

    • Zen Vantalye – wg. tego artykułu to nie mnie powinni ścigać tylko gościa, który te hasła do FTP upublicznił ;)

      A resztę poczytam w ‘wolnej chwili’.

    • Tak, ale …

      Warto się przyjrzeć do głębokiego ukrycia – sytuacja podobna.

      Art. 267. § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

      Czyż to nie było ominięcie? Gość dał dostęp do fragmentu, a oni to wykorzystali i przez to ominęli autoryzacje.

    • Art. 269b. § 1.: “[..] Kto wytwarza, [..], a także hasła komputerowe, kody dostępu [..]” — czyli jak? Generatory haseł, kluczy i etc. są nielegalne? Wesoło..

    • Ostatnio rozmawiałem z Wojciechem Wiewiórowskim (GIODO) o tym paragrafie. On jest martwy. Było z niego tylko jedno skazanie — i to w specyficznym przypadku.

    • Skazywanie za wytwarzanie kodów/haseł ma sens przy pirackich kartach do dekoderów TV. Przecież to powinno być karalne!

  3. W Polsce podpada.

  4. Rozumiem, że publikacja pod paragraf podpada, ale ściągnięcie? Przecież tak sobie pliki przeglądali..·

  5. Zerknijcie na screena, i kolumna HouseNumber, ktoś ma numer domu 97793475? :D Chyba bym zapominał gdzie mieszkam ;)

  6. Za to lubię tą stronę.Bez większego przelewania (krzyku) o wielkich hackerach z Pakistanu którzy pewnie przez przypadek odkryli, że jakiś plik jest na FTP. Znając życie i mentalność tych ludzi już pewnie wywiesili swoje podobizny na ścianach każdej kawiarenki internetowej.
    Zwykły błąd w rozumowaniu.
    Pewnie dane posłużą do?
    No właśnie do czego można użyć tych danych :)

    • Nie wiem do czego na pewno można wykorzystać, ale wiem do czego można by było wykorzystać, gdyby Acer był jak inne firmy (nie wiem, może jest…)

      1. Do phishingu (Jeśli Acer daje jakieś płatne konta, por. Mobile Me od Apple.)
      2. Do ataków na urządzenia sieciowe Acera (o ile Acer coś takiego produkuje i o ile jak inne firmy ma “backdoora” pozwalającego na wyliczenie “superhasła” na podstawie numeru seryjnego i MAC-adresu ;)

    • Choćby do rozesłania trojanów jako superistotne hotfixy od acera po posortowaniu według modeli sprzętu.

  7. I jak ufać firmom których sprzęt jest totalną porażką a programiści nadstawiają zadka zamiast robić co do nich należy?
    Sony to moloch o tragicznej jakości produkowanego śmiecia,acer to krzak.
    Jak to dobrze że nikt przy zdrowych zmysłach nie korzysta z ich produktów a żerować można tylko na tych głupich.

    • ty sobie chyba jaja robisz? sprzet acera jest totalna porazka? sorki chlopie ale sprzedalem sporo tego, naprawialem sporo teg [ tylko software ]
      jedyna wada Acera [ laptopy, dekstopy itp ] jest software i tylko software, wadliwa budowa systemow i oprogramowania z nim zwiazanego, ale to jest niestety bolaczka nie tylko Acera ale rownierz Della, HP i paru innych
      co do czesci to lepszej ceny/sprzet nie znajdziesz ze swieca, zamiast gdybac najpierw porownaj i NIE, nie pracuje dla acera

    • Półki w serwisach uginają się pod acerami tak jak obudowa acera pod naciskiem palców.
      Przegrzeb sobie kolego portale aukcyjne i porównaj ile starszych acerów jest na sprzedaż a ile delli i nie mów mi proszę że dell wyprodukowal więcej i dlatego jest ich więcej.
      Acer,fujitsu – zwłaszcza serie amilo,HP-za wyjątkiem HP Compaq to wszystko tania marketowa szmira.
      Konkretne sztuki nie latające po serwisach,nie walące artefaktami i nie przegrzewające się zdarzają się równie rzadko jak serwisowane delle czy IBMy i mam tu na myśli IBMy a nie lenovo.
      Software to inna bajka,ale tandetnego hardware’u w domu nie poprawisz.

    • Co do stosunku cena/sprzęt to bardziej mnie interesuje przy wyborze sprzętu stosunek cena/jakość i pewność że będę miał swojego laptopa przy sobie a nie w serwisie jak i to że nie zdechnie mi po przypadkowym upadku z niewielkiej wysokości a także to że nie będzie mnie parzył w kolana w pociągu.
      Tak,wolę zapłącić za używaną pewność i solidność niż nową gwarancję serwisowania kilka razy do roku.

    • przeczytaj jeszcze raz mojego posta ze zrozumieniem to mozemy pogadac :P
      sprzet/ cena – jesli nie rozumiesz tego pojecia to prosze wskocz na jakas strone benchmark to ci to chlopaki wytlumacza :P reszta danych ktore podales to po prosty czysty belkot
      polecam marke HP – ostrzegam tylko ze jednorazowego uzytku, nie parzy w nogi, chodzi pieknie, tak ok 1 roku, potem sie przegrzewa i nadaje sie do wyrzucenia
      twoja wypowiedz swiatczy o calkowitym braku wiedzy na ten temat, jest to wypowiedz uzytkownika slepo zapatrzonego w marke, zaloze sie pewnie iPhona masz :D

  8. A tak z ciekawości czy ktoś z was się rejestrował kiedykolwiek w acerze?
    Bo ja byłem szczęśliwym posiadaczem 3 modeli i nigdy mi nie przyszło przez myśl żeby się tam zarejestrować. Faktycznie z pytaniem do czego można to wykorzystać przesadziłem, ale dobrze usłyszeć opinie innych.

  9. Przeceniacie internet. To nic innego jak przystawka do telewizora. Myszka Miki i Kaczor Donald namalowali palcem na ścianie w ubikacji. To jest internet. Owszem, są w internecie i pożyteczne rozwiązania, jak np. dokumenty, książki i możliwość załatwienia wielu spraw urzędowych, ale nawet w najbardziej zapyziałym kiblu dworcowej stacji PKP w Białym stoku w głębokiej komunie, była szczotka do obtarcia wnętrza muszli.

  10. […] od początku roku z poważnych w skutkach włamań można przywołać: Acer, Ashampoo, Citi, Codemasters, Comodo, Barracuda Networks, Fox TV, Honda, IMF, LastPass (?), […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: