20:14
7/2/2014

Zdzisław Dyrma to były administrator “podziemnego” forum w sieci TOR o nazwie PB&M (przez niektórych nazywanego przestępczym). Na jego “clearnetowym” blogu pojawiła się interesująca relacja z rzekomo ..kilkumiesięcznej pracy w Allegro, której efektem ma być wyniesienie z firmy 17GB dokumentów wewnętrznych. Zdzisław nie opublikował żadnego z wykradzionych dokumentów, a Allegro zaprzecza, żeby sytuacja opisana w poście Zdzisława miała miejsce. My też w to nie wierzymy, ale warto pochylić się nad tym przypadkiem — to mogło się zdarzyć w każdej firmie.

Zdzisław twierdzi, że łatwo zatrudnia się w Allegro

Jak przedstawia to Zdzisław, w kwietniu 2013 roku miał odpowiedzieć na ogłoszenie o pracę w Grupie Allegro na stanowisko programisty PHP (ERP) i zostać zaproszonym na rozmowę rekrutacyjną z niejakim “Gorzkowskim” (Zapytaliśmy Allegro, czy ktoś taki u nich pracuje: zaprzeczyli). Efektem rozmowy była propozycja pracy (pensja 8000 PLN brutto), którą Zdzisław miał rozpocząć pod koniec czerwca. Dopiero podczas podpisania umowy miał zostać wylegitymowany po raz pierwszy — ale, jak pisze, pokazał fałszywy dowód, kupiony jeszcze na Torowisku (poprzedniku PB&M).

Ogłoszenie o pracę w Allegro

Ogłoszenie o pracę w Allegro

Jak pisze Dyrma, miano zlecać mu proste zadania “przepisać dwie funkcje tak, żeby pasowały do nowego API” i dawano długie terminy ich wykonania. Dzięki temu mógł rozglądać się po firmowym intranecie — i jak przyznaje — łącznie udało mu się “wynieść” 17GB dokumentów, w tym kopie repozytoriów kodu, nad którym pracował. Zdzisław Dyrma sugeruje ponadtno, że w niektórych miejscach zamieścił parę “ulepszeń” (czyt. backdoorów), ale nie chce o nich nic więcej napisać, aby nie zostały wykryte przez pracowników Allegro.

Formalnie Dyrma miał zakończyć pracę 15-tego stycznia, jako powód rezygnacji podając podjęcie pracy zza granicy.

Czy to prawda?

Cała historia brzmi dość wiarygodnie. Zdzisław zdaje się znać realia pracy w Allegro, od nazw budynków, osób jak i technologii. Podaje też prawdziwe dzielnice Poznania — w sieci rzeczywiście można znaleźć ogłoszenie pracy dla programisty ERP, ale — i tu zaczynają się nieścisłości — pochodzi ono ze stycznia tego roku (choć jak niektórzy dowcipnie sugerują, chodzi o zapełnienie pozycji zwolnionej przez Zdzisława :).

Pixel - nowy budynek Allegro w Poznaniu

Pixel – nowy budynek Allegro w Poznaniu

Dyrma jak najbardziej mógł zebrać wszystkie “szczegóły” swojego wpisu z internetu lub z rozmowy z którymś z wielu pracowników Allegro (nota bene, kilku zapytanych nieoficjalnie przyznaje, że wpis Dryrmy nawet dla nich brzmi całkiem wiarygodnie). To co jednak najbardziej poddaje w wątpliwość wpis Dyrmy jest sama postać Zdzisława. Dyrma ma ogromną świadomość tzw. operational security i raczej nie ryzykowałby ujawnieniem swojego wizerunku, a już na pewno nie przyznałby się do tego w tak krótkim czasie po “incydencie”.

Allegro zaprzecza, a Zdzisław nie pokazuje dowodów

Dla pewności zapytaliśmy jednak Allegro, czy wymieniony w poście Dryrmy rekruter (p. Gorzkowski) pracuje w Allegro. Otrzymaliśmy odpowiedź odmowną, uzupełnioną o to, że w okresie podawanym przez Zdzisława nie trwała rekrutacja na stanowisko programisty ERP.

Poprosiliśmy też samego Zdzisława o to, aby na dowód swych słów ujawnił jakiś dokument z tych, które rzekomo udało mu się wynieść z Allegro. Zdzisław nie odpowiedział na tę wiadomość — odezwał się jednak na naszego e-maila z informację, że Allegro zaprzecza jego doniesieniom. Zapytał:

A jakie mieli miny? :)

Brak jest więc potwierdzenia dla historii przytoczonych przez Zdzisława. Może Dyrma robi sobie żarty? W końcu poczucie humoru ma całkiem niezłe :-) Albo nie pisze o Allegro… a sprawa dotyczy zupełnie innej firmy?

Kret w firmie to realne zagrożenie

Abstrahując od tego, czy post Zdzisława jest prawdziwy, czy nie — kret w firmie to zupełnie realne zagrożenie. W dzisiejszych czasach, w firmach związanych z IT bardzo łatwo jest się zatrudnić mając nawet elementarną wiedzę z tego obszaru (każda dynamicznie rozwijająca się firma potrzebuje nowych pracowników, wręcz o nich walczy).

Podczas realizacji zleceń w ramach naszego zespołu bezpieczeństwa prowadziliśmy już analizy, które ujawniły ślady działań wrogich pracowników, trudniących się tzw. szpiegostwem gospodarczym, czy mówiąc wprost, sprzedających dane firmowe konkurencji… To nie sa filmy.

Zagrożenia płynące z “wrogiego pracownika” opisywaliśmy także kilkukrotnie na łamach samego Niebezpiecznika. Ostatnio przy okazji ogromnego wycieku danych finansowych z jednej z koreańskich firm ubezpieczeniowych. Innym ciekawym przypadkiem, wartym wspomnienia w tym kontekście, był pewien leniwy pracownik, który aby móc oglądać w pracy zdjęcia kotów zatrudnił Chińczyka. Ten miał za niego pracować i dlatego otrzymał pełen dostęp do firmowych zasobów. Zresztą, wszystkie historie o “wrogim pracowniku” bije …Edward Snowden i jego niekończące się pasmo rewelacji związanych z ujawnianiem wyniesionych z NSA ściśle tajnych dokumentów.

Być może Zdzisław Dyrma nie zostanie pierwszym polskim Edwardem Snowdenem. Niewykluczone jednak, że będzie nim któryś z waszych współpracowników…

Aktualizacja 9.02.2014, 21:33
Zdzisiek wysłał nam kolejnego e-maila:

Macie jak najzupełniej rację w tym, że trochę nazmyślałem, a trochę jest na serio. Ale każde słowo, które chciałbym teraz dopowiedzieć, zawęża zbyt mocno kręg podejrzanych, nie tylko przez Allegro, ale i przez innych, którzy mnie szukają. Wybaczcie, że nie odpisuję na maile tego samego dnia, ale emerytura ma swoje prawa. :)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

37 komentarzy

Dodaj komentarz
  1. Faktycznie troche jak z komiksu.
    W historii liczy sie czy wyniosl kwity i źródła czy nie :-).
    Nie trzeba być geniuszem zeby wydedukowac ze cała treść dookoła historii wyssał z palca.

    Rownie dobrze mogl napisac ze na nazwisko ma Wawelski na imie Smok, zatrudnili go na testera i “cały dzień w pracy siedział na allegro” i jeszcze mu płacili, pracował tylko na stażu z urzędu pracy przez miesiąc, za 600zl i ze nie pije kawy.

    Bo i tak istotne jest tylko czy tam pracowal kiedykolwiek robiac cokolwiek i czy ma źródła.

    Reszta to tylko smentna historyjka.

  2. Nie wierzę, w allegro jest duża rotacja programistów i wiecznie szukają, głównie dlatego że oferują połowę podanej stawki… ale ludzie i tak ciągną tam bo ładnie w cv wygląda.

  3. według archive w kwietniu 2013 roku Grupa Allegro w ogóle nie posiadała konta na stronie pracuj.pl , jeżeli ktoś wie, gdzie allegro umieszczało oferty pracy rok temu to można pokusić się o znalezienie zlecenia właśnie w archive.

  4. “15-tego” – trochę litości dla języka polskiego proszę. Nie napisałbyś “kompóter”, prawda?

    • Yyyy,,, że co? 15-tego brzmi poprawnie.

    • “Yyyy,,, że co? 15-tego brzmi poprawnie.”

      Jak Ci się udało skończyć jakąkolwiek szkołę?

    • To ktoś sobie tak powiedział że to nie jest poprawnie. Tak się jednak przyjęło i zostało (na stronie rządu też tak piszą [ale tam pracują głąby]).

      “Przepis o tym, że nie należy dopisywać końcówek fleksyjnych po cyfrach
      arabskich i rzymskich liczebników, pochodzi z 1936 r. Wprowadził go Komitet
      Ortograficzny Polskiej Akademii Umiejętności, powołany do życia rok wcześniej
      „żeby się zajął uporządkowaniem spraw ortograficznych w Polsce’’. Zwolennikiem
      zasady był przede wszystkim prof. Kazimierz Nitsch.”

    • To ktoś sobie tak powiedział że to nie jest poprawnie. Tak się jednak przyjęło.

      Bzdura. To jest błąd i to niestety dość powszechny, ale to jest błąd.

      http://poradnia.pwn.pl/lista.php?id=7412

      1-szy, 2-gi i podobnie pisano przed wojną. Nie sprawdzałem, kiedy dokładnie nastąpiła zmiana, ale z całą pewnością było to kilkadziesiąt lat temu, a nie kilka ani kilkanaście. Dziś piszemy np. dnia 1 września, nie dnia 1-szego września. Kropki po liczbie nie ma potrzeby stawiać, jeśli kontekst jednoznaczenie wskazuje, że oznacza ona liczebnik porządkowy. W wielu konstrukcjach (m.in. w zapisie daty, por. przykład wyżej) byłoby to wręcz niewskazane.

      Więcej pytań?

    • BRAWO MICHAŁ, URATOWAŁEŚ JĘZYK POLSKI OD ZAGŁADY, BRAWO !!! Dostaniesz medal z ziemniaka za swój trud! :D

    • @Michał: pytań brak, jest natomiast zlecenie o dzieło: wyszukaj i popraw błędy w swoich wypowiedziach.

    • Tak samo “podaje w wątpliwość”, a nie “poddaje w wątpliwość”, w kontekście z artykułu “otrzymaliśmy odpowiedź negatywną”, a nie “otrzymaliśmy odpowiedź odmowną”. Przykłady można mnożyć :)

  5. Ściema. Sława Zdzisława ostatnio trochę zbledła, więc postanowił przypomnieć o sobie.

  6. Faktem jest, że w wielu firmach “programistycznych” wynieść kod źródłowy jest bardzo łatwo. Dostęp do repozytorium ma każdy deweloper, a nikt nie sprawdza przy wyjściu, czy ktoś nie ma pod językiem karty microSD ;-)

    Tylko co z tego wynika? Niewiele.

    Na przykład gdybym wyniósł kod z firmy X, to mógłbym go sobie uruchomić… na sprzęcie kupionym od tejże firmy, bo na czym innym by nie działał. Nawet opchnięcie go konkurencji nie miałoby sensu, bo przepisanie na inny hardware to byłaby kompletnie nonsensowna mordęga.

    Z kolei w firmie Y soft działał na zwykłych serwerach x86, ale zastosowanie było dość niszowe i używały go naprawdę duże firmy z dość wąskiej branży, konkurujących ze sobą dostawców rozwiązań tego typu było raptem kilka, a software był tylko częścią kontraktu z klientem, firma zarabiała na supporcie i dostosowaniu do specyficznych potrzeb, co było nietrywialne. Wyniesiony kod nie przydałby się więc nikomu z zewnątrz, bo nie wiedziałby, jak go użyć; żaden z użytkowników nie kupiłby usługi od firemki typu krzak, bo liczyło się dośwaidczenie operacyjne; zaś nawet gdyby jakaś inna firma już istniejąca na rynku chciała wykorzystać ten kod w swoim produkcie, to natychmiast by się wydało, skąd został ukradziony.

  7. Malgond: wyniesienie kodu = analiza kodu = szukanie słabych punktów.

    Nie trzeba sprzedawać oprogramowania aby na nim zarobić w takim przypadku. Zawsze będzie ktoś zainteresowany lukami bezpieczeństwa.

  8. Wyrasta konkurencja Kominkowi.

  9. ale bajka

  10. Po co tyle zachodu, przecież wystarczy jedno z niezałatanych SQLi na allegro i cierpliwość. Jakość stron coraz bardziej schodzi na psy, wystarczy przejżeć, jakieś forum dla “hakerów”. Teraz nawet dzieci, które jeszcze z podstawówki nie wyszły “hakują” sklepy internetowe, ot pierwszy z brzegu przykład
    http://haker.com.pl/threads/26990-Co-mo%C5%BCna-z-tym-zrobi%C4%87-%29
    To jest paranoja.

  11. Zdzisiek pewnie sciemnia albo jak wspomnieliscie to mogla być inna firma. mnie jednak interesuje to jak zareagowalo allegro. jakby do mojej firmy dotarly takie informacje ze to u nas sie on zatrudnil to pewnikiem spanikowaliby wszyscy od haeru po rade nadzorcza bo to bardzo mozliwe co zdzisiek opisal. dobrze ze zwracacie na to uwage. wiele firm w polsce nie jest przygotowanych na taka sytuacje. nawet nie wiedzieliby co zrobic wtedy.

    • Allegro odpowiedziało błyskawicznie.

    • i co odpowiedziało ‘Allegro’ (potwierdzili/zaprzeczyli/ czy nie udostępnili informacji) , bo trudno mi się doszukać info w artykule.

    • No, bo specjalnie zakodowaliśmy ich odpowiedź w artykule (w tytule też). Podwójnym ROT-em 13.

  12. Zacznijmy inaczej:
    1.Wpisujemy w google “gorzkowski poznań”
    2. Pierwszym wynikiem jest “Piotr Gorzkowski” który w wymienianych stanowiskach ma “Payu.SA” (to on: http://www.goldenline.pl/piotr-gorzkowski/) – może jego konto jest podpuchą jak iphone 6rs za 1200 złotych na tablica.pl a może a nie
    3. Pisze że był programistą – a przecież w internetach nie da się znaleźć ani jednego nazwiska programisty z allegro, czyż nie?

  13. @Szwagier_Krzysiek_Rutkowski, i co że niby pili razem ze Zdziskiem na roczku :D ?

  14. każdy pracownik ma robioną fotkę
    jeśli zwolnił się 15 stycznia, to za chwilę jego buźka będzie tu wklejona.
    a po paru godzinach będzie znana faktyczna tożsamość – i polecony z sądu przyjdzie pod właściwy adres.

    żaden PHP-klepacz “z ulicy” nie dostanie 8000zł – w tej, czy w innej firmie… z tego chociażby względu opowieść brzmi niewiarygodnie.

  15. Czy naprawdę nikt nie widzi zbieżności z tym bohaterem? zasadniczo…:)
    http://www.youtube.com/results?search_query=zdzis%C5%82aw%20dyrman&sm=3

  16. Oook, firma przez pół roku płaciła zaliczki na podatek dochodowy oraz składki na ubezpieczenia społeczne używając nieistniejącej kombinacji imię – nazwisko – PESEL i nikt się nie pokapował?

    Bo w to, że miał plastik pasujący do rekordów urzędowych to nie wierzę.

  17. @kwk: zdziwiłbyś sie jak bardzo firmy są zdesperowane na dobrych programistów ;)

  18. a czemu myślicie, że daty są prawdziwe ? Przy założeniu, że rdzeń historii jest prawdziwy, wszystkie poboczne informacje powinny być celowo zmyślone/zmienione aby utrudnić poprawną identyfikacje…

    • Chyba pierwszy “myślący” komentarz. Dryman, Zdzisław, daty są pozmyślane. Czy Allegro? Może nie Allegro, a PayU. Przecież gdyby napisał – nazywałem się XY i pracowałem od do podając prawdziwe daty to w momencie publikacji tego posta na nbzp już by siedział.

    • jedna linijka z bloga wystarczy…

      Zdzisław napisał: – “co najwyżej mają mój rysopis”

      i tutaj się cała historyjka rozwala o kant d…
      bo gdyby pracował w tej firmie, to napisać by musiał:

      – “co najwyżej mają zdjęcia hi-res mojej twarzy w dziale HR, oraz nagrania z kamer na każdym piętrze”

      również informacja o umieszczeniu backdoorów w kodzie (PHP!) jest śmieszna – czy Zdzisław myśli, że kod nie jest audytowany?

      I tyle w temacie.

  19. tu jest nagrane wszystko http://www.youtube.com/watch?v=SLFOunyoMFs

  20. Nazmyślane, za dokładnie podał godziny i np w co był ubrany. Jeśli historia ma za dużo szczegółów to już można przypuszczać, że jest nieprawdziwa :)

  21. ok, ale chyba Ci co czasem wchodzili na TOR’a, pamietają że na polskiej ukrytej wiki był tutorial tworzenia realistycznej maski? jesli to co zdzichu pisał, jest prawdą to mógł użyć tego sposobu aby pozostać inco gnito
    BTW dzieki temu detektywowi że przedstawil nam postac filmową zdzisława dyrmana, bo nikt z nas nie znał :) hahah

  22. czesio lubi gnito…

  23. Zdzisiek, przestań pierdolić! Milicja do ciebie.

  24. heh znajmy ze nie byl uprzedniego kometarza , nie doczytalem tytułu :D

  25. Dyrma to zbok wspierający pedofili i innych spierdoleńców .A gdyby pracował dla Allegro to co za problem go zdeanonimizować przecierzoni nie płacą bitcoinami ani gotówką ?

Odpowiadasz na komentarz kwk

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: