8:34
12/1/2013

Znany wszystkim z udostępniania w sieci kradzionych baz danych nvm wystawił wczoraj ogłoszenie sprzedaży “całej bazy Netii S.A” lub samych danych umożliwiających logowanie się do panelu klienta. Jako dowód posiadania bazy udostępnił 40 przykładowych rekordów zawierających pesel, numer umowy, identyfikator klienta i PIN. Cena do uzgodnienia — pisze nvm.

Netia S.A. hacked - na sprzedaż oferowane są dane typu pesel, numer umowy, id klienta i PIN

Netia S.A. hacked – na sprzedaż oferowane są dane typu pesel, numer umowy, id klienta i PIN

Tak bazę zachwala sam nvm:

wpowiedź nvm

wpowiedź nvm w sprawie bazy Netii, którą oferuje na sprzedaż

Analizując numery umów w przykładowej próbce można zauważyć, że dane pochodzą najpóźniej z 2010 roku (na numer umowy składa się oznaczenie roku jej zawarcia).

Przypomnijmy, że informacje o rzekomej kradzieży bazy klientów Netii dotarły do nas już w lipcu 2011 roku, kiedy to dwóch komputerowych włamywaczy wpadło w ręce policji — jeden z nich w trakcie spotkania na stacji benzynowej w Krakowie, gdzie umówił się z przedstawicielami Netii na przekazanie 100 000 PLN okupu za wykradzioną Netii bazę klientów. Z naszych informacji wynika, że druga z aresztowanych wtedy osób stojąca za kradzieżą danych niedawno wyszła na wolność.

Netia odmówiła nam wtedy komentarza i nie wyjaśniła czy i jakie dane wpadły w ręce włamywaczy, oraz czy firma powiadomiła swoich klientów o wycieku. Obecnie poprosiliśmy Netię o zweryfikowanie pochodzenia wystawionej w internecie przez nvm bazy i wyjaśnienie do czego można wykorzystać dostęp do konta klienta Netii. Czekamy na odpowiedź — kiedy ją uzyskamy zaktualizujemy ten post.

W międzyczasie, wszystkim klientom Netii sugerujemy prewencyjną zmianę danych do logowania — o ile jest to możliwe. Lepiej dmuchać na zimne, nvm jest znany z publikowania prawdziwych baz danych.

Aktualizacja: Jak słusznie zauważa jeden z komentujących, zmiana PIN-u może nic nie dać, bo atakujący ma szansę odzyskać dostęp do konta ofiary przez infolinię, uwierzytelniając się na podstawie pozostałych wykradzionych danych…

Aktualizacja 2: Rzecznik Netii do tej pory nie odpowiedział na naszego e-maila, natomiast na blogu Netii pojawił się artykuł twierdzący, że informacje o wycieku danych są “najprawdopodobniej zmyślone” a my publikujemy “odgrzewane kotlety” — no cóż, można i tak :)

Aktualizacja 3: Opublikowaliśmy kolejny post w tej sprawie, dot. reakcji nvm na oświadczenie Netii — nvm ujawnił 500 kolejnych rekordów z bazy klientów Netii.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

97 komentarzy

Dodaj komentarz
  1. Jesli ktoś zna id_klienta i pin to jedynie zostaje zmiana pin na nowy – 4 cyfry. Dodatkowo mając te dane można zadzwonić na infolinie

    ps. Konta byłych klientów też są wciąż aktywne

  2. Ciekawe, czy wyciek dotyczy też klientów Dialogu, przejętych przez Netię z dobrodziejstwem inwentarza.

    • Netia przejęła Dialog w 2012, dane z 2010 więc klienci Dialogu są bezpieczni

    • Ew. byli klienci Tele2 mogliby być zagrożeni. Klienci
      Dialogu, jak też Crowleya są chyba (biorąc pod uwagę ten 2010r.)
      bezpieczni jeśli chodzi o wyciek z tego źródła.

  3. “Znany wszystkim z udostępniania w sieci kradzionych kilka lat wstecz przez kogoś innego baz danych nvm” – poprawiłem.

    • Like it! ;)

  4. Z poziomu konta , po zalogowaniu , mozna kupowac w sklepie netii , nawet kilkaset zlotych mozna wydac za jednym razem. No i zmiana hasla czy tez 4cyfrowego pinu nic nie da , bo i tak haker moze zmienic go przez infoliniee na podstawie pozostalego info ;]

    • Nawet nie trzeba nigdzie dzwonić, na stronie Netii jest formularz do wygenerowanie nowego pinu, wystarczy podać numer konta i pesel.

      https://www.netiaonline.pl/netiaonline/loginChangePinStep1.do

      Cały ten wyciek, to wielka wpadka bo nie ma nawet jak się zabezpieczyć.

    • Chyba jedna coś kombinują bo pomimo wymijajacej odpowiedzi na puytania jak się zabezpieczyć strona do zmiany PINu została zablokowana, a piszą że blokują tylko telefoniczna zmianę PINu.

    • Odwołuję swój pierwszy komentarz – strona do zmiany PINu dalej jest czynna, a brak uprawnień do jej otwarcia zgłaszany jest tylko wtedy jeśli w jakimś innym okienku jestem w netiaonline zalogowany. Po wylogowaniu się z Netii nadal strona jest dostępna i znając nr konta i PESEL miożna wygenerowac nowy PIN

  5. Pierwszą rzeczą jaką można wykorzystać to bezpłatny wirtualny dysk dla kientów Netii.

  6. Skur***iale leszcze z dtteam! Przypomnijcie sobie od kogo macie tą baze śmiecie! Ten cały nvm jest mega śmieszny. Się wkur**wie to cie wydam.

    • możesz mi napisać coś więcej o kompetencjach dtteam?

    • ale przestań już zdradzać prawą ręke z lewą co?

  7. Czy dane netii to nie dane internetii? Mam od 2010 umowę z internetią i się poważnie zastanawiam, co można zrobić w takiej sytuacji. W sumie może to wreszcie jakaś motywacja, żeby zmienić dostawcę. Raz zamiast wyświetlić monit o płatnościach ich serwer po prostu zwracał błąd (zamiast przekierowywać) i ich infolinia twierdziła, że to problem mojego routera jaką ich serwer generuje odpowiedź. Nie mówiąc o tym, że złote rozwiązanie u nich na wszystko to zresetować router :-|

    • To są dwie zupełnie różne bazy danych – Netia i Internetia pracują na różnych, niepowiązanych ze sobą systemach CRM; jeśli nie masz usług w Netii, nie ma powodów do obaw.

    • O moich przygodach z Netią to by można książkę napisać…
      :) Pewnego razu po zmianie umowy przez pół roku nie potrafili (mimo
      moich intensywnych zabiegów) przestawić łącza na nową, większą
      prędkość… O samoczynnie się włączających dodatkowych opłatach czy
      blokowaniu Neta za 2 dni zwłoki w płatności nawet nie wspomnę
      :)

    • Jezeli Netia kupuje sieci Ethernetowe (ETTH) to sa one
      wcielane w spolke Internetia, a tak jak ktos juz wyzej napisal,
      Internetia posiada zupelnie osobny system CRM.

  8. Wcale się nie dziwię. Panel netiaonline już po stronie samego UI wygląda jak projektowany przez kogoś, komu autobus przejechał po głowie. Szczegolnie sekcja “Faktury i finanse”. I mnie, niestety klienta netii, ich panel bardzo, ale to bardzo zniechęca do regularnego logowania i pobierania faktur, a w konsekwencji do ich opłacania w terminie. To taka kara za to maltretowanie mnie przygłupimi konsultantami przez pół roku.

    Teraz widzę, że baza jest na sprzedaż, a w samym panelu nawet PÓŁ PIERDNIĘCIA z informacją, żebym zmienił pin czy cokolwiek – zalogowałem się jak zwykle.

    Żeby było ciekawiej, nawiązując do wycieku, bo widziałem, że Piotr pytał wcześniej na FB o możliwość zmiany adresu wysyłki w sklepie netii. Zalogowałem się do netiaonline starym “pinem” i mogę swobodnie zmieniać moje dane teleadresowe (“Dane adresowe zostały zmienione”), mogę też bez problemu zmienić w tej chwili dane osoby kontaktowej – zmieniam numer stacjonarny -> “Dane osoby kontaktowej zostały zmienione”.

    Oczywiście nic nie muszę potwierdzać żadnym klikaniem w linki z maili, wszystko możliwe poprzez zalogowanie się do panelu – bez konieczności posiadania dostępu do maila właściciela – czyli do mojego.

    I teraz zabawa. Zmieniam mój adres e-mail “Ustawienia konta” -> “Dane kontaktowe” -> “Edycja adresu e-mail”. Podaję nowy adres, klikam “OK”:

    “Na podany adres została wysłana wiadomość aktywacyjna z prośbą o potwierdzenie,
    dane zostaną zaktualizowane po potwierdzeniu poprawności/aktywacji”

    “Na podany” czyli na ten NOWY, który właśnie podałem, czekam, greylisting. Jest:

    “Zmiana konfiguracji adresu email została zapisana w systemie.
    Od tego momentu wszystkie dokumenty elektroniczne domyslnie kierowane będą na nowy/zaktualizowany adres.
    Dziękujemy.”

    I proszę, zmieniłem adres email, nie mając dostępu do starego. Na stary adres też nie przyszło żadne info, że taka aktywność miała miejsce/została zainicjalizowana/whatever.

    Ale teraz nagłupsza rzecz i chyba najgłupszy komunikat jaki widziałem w życiu. Tak się wmawia ludziom, że się dba o ich bezpieczeństwo.

    Chce zmienić PIN – można! Zatem zmieniam “Ustawienia konta” -> “Dane do logowania” -> “Zmiana numeru PIN”. Są tam trzy pola do wypełnienia: 1. aktualny pin, 2. nowy pin, powtórz nowy pin. Nie chciał mi przyjąć mojego magicznego nowego pinu, więc czytam komunikat informacyjny dostępny po najechaniu myszą, a tam wspomniany ROTFL:

    “Wpisz nowy PIN. Musi on składać się z czterech cyfr.
    Dla Twojego bezpieczeństwa PIN nie może być zbyt prosty, np. 1111, 1234, itp.”

    Cudnie? Nie może być zbyt prosty ale MUSI się składać z 4 cyfr, do tego wiemy, że na pewno nie będą to kombinacje 1111,2222,3333,4444,…,1234.

    Już nie chce nawet mówić o tym, że to coś ala logo, w panelu, te kropki takie fleszowe, potrafią zarżnąć słabsze kompy. Nie wiem po co animowane flashowe “kropkilogo” w panelu.

  9. Przed chwila dzwonilem do netii, jak sie okazalo nawet o tym nie wiedzieli, z tego co mowila konsultantka to pierwsza informacja na ten temat naplynela ode mnie… Obiecala, ze sie tym zajma ale w jaki sposob to juz nie potrafila wyjasnic.

    • Sam jestem ich konsultantem i muszę przyznać, że informacja od konsultantki jest czystą bzdurą :)

  10. hmm Fubu;) Skontaktuj się ze mną ;)

    • Gadu-Gadu: 45907393 Icq : 662366803 Twiter :
      Yevdokimov_Serh Skype : serhii.yevdokimov

  11. Ja widzę proste rozwiązanie problemu, niech dadzą możliwość logowania tylko z przydzielonego przez serwer ip i nikt się nie zaloguję naszymi danymi.

  12. Takie pytanie laika: jeżeli nie logowałem się na ich żałosna stronę, a jedynym kontaktem było półgodzinne (co najmniej) wiszenie na ich infolinii, to moje konto również może być przemielone przez osoby trzecie? ;/

    • W momencie zawarcia umowy czy chociażby jej wysyłki do Ciebie, Twoje dane zostały wprowadzone do CRMa, więc odpowiedź jest tylko jedna – tak.

  13. wreszcie się okazało, że przydatnym jest codzienna lektura niebezpiecznika. właśnie zastrzegłem sobie na netii online wszelkie zmiany danych, i zakupy. btw, pan(choć miły bardzo, uczynny, i wgl) od netii trochę palił głupa, mówiąc że nie ma pewności, czy to dane netii, ale będą to sprawdzać. na moje pytanie, odparł, że jeszcze żadnych kroków nie podjęli. no cóż, na szczęście(dla mnie), wszystko się dobrze ułożyło.
    a niebezpiecznikowi dziękuję, za info. ;)

  14. Przed chwilą zadzwoniłem na infolinię Internetii, która jest częścią Netia S.A., i zapytałem dyżurującego technika czy moje dane są bezpieczne bo przeczytałem na Niebezpiecznik’u że Baza danych Netia S.A. wyciekła. Pan powiedział że nie stwierdzono żadnych naruszeń w ich (Internetia) bazie danych, a wyciek dotyczy tylko Netii S.A., zaznaczył też że na wszelki wypadek mogę zmienić hasło. Potwierdził też że jako klient Internetii nie mam dostępu (w ogóle założonego konta) do serwisu Netia Online. Na wszelki wypadek wysłałem Im też maila z kilkoma pytaniami, jak dostanę oficjalną odpowiedź to Wam podeślę.

  15. Czyżby? http://blog.netia.pl/netia/entry/niebezpiecznik-pl-odgrzewa-zmyslone-kotlety
    Serwis Niebezpiecznik.pl po raz kolejny publikuje dzisiaj (https://niebezpiecznik.pl/post/baza-klientow-netia-s-a-na-sprzedaz/) niesprawdzone – i w naszej ocenie nieprawdziwe – informacje na temat rzekomego wykradzenia bazy danych klientów Netii. Już w lipcu 2012 roku w tekście pt. Dane klientów TP S.A. i Netii na sprzedaż (https://niebezpiecznik.pl/post/dane-klientow-tp-s-a-i-netii-na-sprzedaz), serwis ten powoływał się na osobę posługującą się tym samym nickiem (nvm), która deklarowała posiadanie rzekomo skradzionych baz danych klientów TP S.A. i Netia S.A. Już wtedy Dział Bezpieczeństwa Korporacyjnego Netii kontaktował się z przedstawicielami serwisu Niebezpiecznik.pl oraz osobą posługującą się nickiem nvm w celu uzyskania próbki bazy i weryfikacji prawdziwości tych doniesień. Niestety do chwili obecnej, ani od rzekomego włamywacza, ani od przedstawicieli serwisu Niebezpiecznik.pl, Dział Bezpieczeństwa Korporacyjnego Netii nie otrzymał żadnych próbek rzekomo skradzionej bazy.
    Netia stosuje najwyższe standardy staranności i zabezpieczeń celem ochrony danych swoich klientów i każdy przypadek informacji o ewentualnych problemach w tym aspekcie dokładnie sprawdzamy. Również w tym przypadku będziemy dążyć do pełnego wyjaśnienia sprawy i liczymy w tym względzie również na pomoc twórców serwisu Niebezpiecznik.pl.

    • Panie Karolu, w dzisiejszym e-mailu do p. Małgorzaty, rzeczniczki Netii załączyliśmy link do próbki 40 rekordów. Niestety do tej pory nie otrzymaliśmy od Państwa żadnej odpowiedzi. Nieoficjalnie za to anonimowy konsultant Netii powinformował nas, że część z tych kont jest jeszcze “działająca” jak to się wyraził, a część zablokowana. Bardzo chętnie przekażę Panu ten link, jeśli koleżanka Małgorzata tego nie zrobiła — z wiadomych przyczyn, nie wkleję go tutaj.

  16. Koleżanka twierdzi, że nie otrzymała żadnego e-maila, tym bardziej linku do bazy. Proszę więc wysłać to do mnie, adres Pan zna.

    • To żadna tajemnica, wkleję go tu (został przesłany na adres e-mail malgorzata_babik@netia.pl, z którego odpowiedziała nam p. Małgorzata poprzednim razem — więc nie sądzę, że e-mail jest nieprawidłowy, zwłaszcza, że w dokładnie tej formie widnieje na Państwa stronie internetowej jako kontakt do rzecznika):


      Witam Pani Małgorzato,

      Po ponad roku, powracam z pytaniem dot. kradzieży danych z Państwa systemów.
      W internecie wczoraj pojawiła się oferta sprzedaży Państwa danych: http://pastebin.com/%5Bwycięte-wyslemy-jeszcze-raz-na-mail-p-karola%5D — w związku z tym proszę o odpowiedź:

      1. czy dane te są prawdziwe (rzeczywiście pochodzą z Państwa systemu?)
      2. do czego mogą one posłużyć osobie, która je zakupi?
      3. czy wiedzą Państwo w jaki sposób wyciekły te dane?
      4. czy dane te, to fragment wykradzionej w 2011 roku bazy, za którą dwóch włamywaczy żądało przekazania okupu 100 000 PLN w Krakowie?

      Będę wdzięczny za szybką odpowiedź.

    • “Koleżanka twierdzi…” — jak to w korporacji.
      Ech…

  17. Dziękuję, rekordy zweryfikujemy i odpowiemy najszybciej jak to możliwe. Jest weekend, więc chwilę to może potrwać.

    • Panie Karolu… czy policja działa wolniej, bo weekend? Czy
      jakby Panu wbił się zbój do mieszkania w sobotę, to działałby Pan w
      poniedziałek? CZY NETIA JEST W OGÓLE POWAŻNA? 1. Panie Karolu, ma
      Pan postawić na nogi wszystkie osoby, które mogą teraz pomóc i
      zawiadomić przełożonego o fakcie potencjalnego włamania. 2. Psim
      obowiązkiem Netii jest poinformować klientów o wycieku, a nie
      bredzić łamaną polszczyzną na blogu, że to oni są be, my jesteśmy
      cool. Przepraszam, ale zachowuje się Pan jak szczyl bez studiów…
      proszę się poprawić!

  18. Haha, proszę wybaczyć ale trochę mnie to podejście
    rozbawiło. “Jest weekend, więc chwilę to może potrwać”? Na prawdę?
    W sytuacji nawet podejrzenia wycieku tak wrażliwych danych jak te
    zwykle weekend czy nie weekend stawia się odpowiednich ludzi na
    nogach i się to weryfikuje, zabezpiecza itd. Czy w firmie Netia nie
    ma dyżurów osób technicznych, które reagują na takie sytuacje?
    Założę się, że gdyby stało się coś, co naraziłoby firmę na straty
    finansowe z jej strony to weekend czy święta wszyscy tyraliby dzień
    i noc, żeby te straty ograniczyć… ot podejście. Brak
    słów.

    • Nie napisałem, że zajmiemy się tym po weekendzie. Na nogi
      zostali postawieni wszyscy, którzy powinni i rzecz jest
      wyjaśniana.

  19. Na blogu tego Wieczorka jest moderacja komentarzy tak więc
    można zapomnieć o jakichkolwiek komentarzach na ich niekorzyść tych
    (wymoderowano)

    • @mike Nie boimy się krytyki, łatwo to sprawdzić czytając
      komentarze.

  20. Ocho, już na blogu netii nie odgrzewacie kotleta – “wiedz, że cos dzieje” ;)

  21. Ale żenada! Netia , firma od internetu, a nie potrafi odczytac maila wyslanego przez Niebezpiecznika LOL! Za takie nieslusznie najezdzanie na niebezpiecznika na blogu , pan konrad powinien przyplacic praca !!! Co za porazka ! A teraz jak pan konrad wie ze dal ciala to zmienia tytul – ROTFL normalnie!! Mam nadzieje ze im nie odpuscicie Niebezpieczniku :]

    • Pewnie ta Małgorzata to taka Jen jak z The IT Crowd
      :x

    • .K – haha daje Ci okejkę, +1, thumb up i Lubię to!

  22. Czemu Karol Wieczorek i Piotr Konieczny komunikują się w komentarzach na blogu? To jest całkiem zabawne na swój sposób. Komentarze są moderowane, ale z drugiej strony każdy je mógł napisać. Jeszcze brakuje, żeby im nvm odpisał: “tak to ja mam tę bazę, mogę wam lepsze próbki podesłać”. Jakby jeden drugiemu coś chciał udowodnić :P

    • Ja odpowiadam na blogu, tylko i wyłącznie z tego powodu, żeby nie było zarzutów, że znów coś “nie doszło” ;)

    • Piotr uratuje kolejnych klientów firmy? :D

  23. Ile czasu można weryfikować próbkę danych ?

    • Weekend się zaczął, więc nie ma komu zweryfikować ;)

    • Pewnie niewiele ale teraz myślą jak się z tego wycieku wytłumaczyć ;] jak sprawdzalem rano to szlo sie zalogowac na kilka z tych przykladowych kont. moze reszte juz chlopaki z PBM owneli.

      i dlaczego netia nie zablokowala tych kont jak ta baza zostala wykradziona po raz pierwszy? ;]

  24. Kilka dużych znanych firm ma luki w swych systemach i widzę dane ich wszystkich klientów. Co mam zrobić? Poinformować ich o tym?

    Dokładnie są to 3 firmy, największa liczba rekordów z danymi to ok. 120tys.

    • Nie wiesz co zrobic? Napisz im ze powiesz im jakie to
      dziury za odpowiednia kwote albo zglosisz ich do GIODO gdzie
      otrzymaja adekwatna kare :]

  25. Większość wpisów świadczy o bardzo małej wiedzy o rozwiązaniach w większych firmach czy w telekomach.
    To nie jest sieć osiedlowa że jest crm w php i mysql i pewnie dużo osób myśli że na tym samym serwerze.
    Netia nie uzywa takich numerów umów, to jakiś pośrednik, lub kupiona przez nich osiedlówka czy coś w ten deseń.

    • Jak najbardziej używa. Prznajmniej mój numer umowy jest w formacie NNNN/YY/XXX/NNNN, gdzie N to cyfra, X to litera a YY to dwie cyfry oznaczające rok zawarcia.

  26. Na początku, szacuneczek dla nvm.Ale swojego czasu wszystkie biura w Polszy TP i innego dziadostwa miały całe bazy danych na twardzielach, jak pamiętam z 8 lat temu pracowałem dla dużego banku to wielu pracowników wynosiło na penach duże ilości danych i nikt nie robił halo…

  27. Ktoś “wykopał”. Mam nadzieję, że ta pseudo korporacja z pseudo pracownikami partyline tym razem się nie wywinie tak łatwo. Niech “mainstream” pokroju wp.pl podchwyci temat i w końcu zacznie to wyglądać i działać jak powinno.

  28. Czy problem dotyczy również klientów Dialogu, których Netia
    przejęła?

  29. Ja sie tak zastanawiam czemu klienci jeszcze ich do GIODO
    nie skarza :P

  30. jako były klient netii (2010-2011) po zakończeniu umowy
    chciałem usunąć konto na netia online, nawet dzwoniłem na
    infolinie, gdzie dowiedziałem się że nie ma takiej
    możliwości.

    • To wynika z ustawy, operatorzy telekom muszą trzymać Twoje dane jeszcze przez 5 lat.

  31. jeśli nawet włamanie jest nieprawdziwe, to upublicznione
    pseudoprocedury Netii na okazję włamania i kompetencja ich
    pracowników pozostawiają przynajmniej niesmak.

  32. A Wy nadal nie wiecie kto to nvm…? Wystarczy powiązać
    kilka faktów, odpowiedź jest bardzo prosta.

    • Zdradź nam ją, o wielki Radnomie! A, racja, sam nie
      wiesz.

  33. Aktualizacja wpisu na blogu Netii: “Na podstawie informacji
    podanych przez przedstawiciela serwisu Niebezpiecznik.pl nie
    jesteśmy w stanie jednoznacznie potwierdzić czy zaprzeczyć tym
    rewelacjom.” czytaj: daliśmy ciała, dane wyciekły i nie wiemy jak
    Wam o tym powiedzieć.

  34. Gadu-Gadu: 45907393 Icq : 662366803 Twiter :
    Yevdokimov_Serh Skype : serhii.yevdokimov Pozdrawiam fubu xD co do
    bazy neti to ustosunkuje się do tego jutro :)

  35. “Aktualizacja II: Na podstawie informacji podanych przez
    przedstawiciela serwisu Niebezpiecznik.pl nie jesteśmy w stanie
    jednoznacznie potwierdzić czy zaprzeczyć tym rewelacjom. Z uwagi na
    powagę sprawy, do czasu ostatecznego jej wyjaśnienia, proponujemy
    Klientom zmianę czterocyfrowego kodu PIN w systemie Netia on-line
    (www.netiaonline). Doraźnie wyłączona została również automatyczna
    identyfikacja klientów poprzez kod PIN w systemie obsługi
    telefonicznej (IVR), a konsultanci weryfikują tożsamość Klientów w
    oparciu o bardziej szczegółowe dane. Dokładamy wszelkich starań,
    aby sprawę jak najszybciej wyjaśnić.” Mam wrażenie że jednak coś
    jest na rzeczy.

  36. No i coż – wychodzi na to ze netia bedzie probowala zamiesc
    wszystko pod dywan w mysl zasady ‘Najlepsza obrona jest atak’.
    Wykopanie tego nie pomoze ludziom ktorych dane sa w bazie… Cale
    szczescie nie jestem klientem netii..

  37. Jest już aktualizacja na blogu, wskazująca potwierdzenie
    wycieku.

  38. nvm opublikował kolejne 500 rekordów

    • Gdzie on je publikuje? Powiem Wam czy są
      prawdziwe.

  39. […] ostrzegaliśmy Was przed tym, że w nvm wystawił na
    sprzedaż bazę klientów Netii. Netia niestety do tej pory nie
    odpisała na pytania, które jej przesłaliśmy w tej sprawie,
    […]

  40. Ale kabaret :D uśmiałem się czytając ten artykuł i
    komentarze ale teraz się zastanawiam na jakim forum on to publikuje
    ??

  41. a gdzie jakiś link do tej niby bazy? podanie linka to chyba nie przestępstwo?

    • Są różne interpretacje – my jednak z założenia nie ułatwiamy nikomu dostępu do cudzych danych osobowych.

    • no dobra nie ułatwiacie dostępu, ale takie pisanie o czymś i nie potwierdzenie tego bezpośrednim linkiem….

    • Jest wystarczające, żeby naświetlić problem i nie łamać prawa. Możesz nam, oczywiście, podobnie jak Netia nie ufać i potem pisać aktualizacje ;)

  42. Przez jakiś czas mieliście podpowiedz od Piotra link do strony gdzie to jest tylko nie podane dokładnie ,a już nie ma :) , mogę podpowiedzieć tyle ze tam nie ma tylko od nvm są również od większości osób które chcą być popularne co z hakowali czasem nawet zdarza się 120 tyś haseł i loginów od 1 osoby :) , i wiele ciekawych rzeczy co parę sekund :)

  43. Znamienne jest to, że sprawa była prawdopodobnie Netii znana dawno temu i nic się nie działo w związku z tym (poza (niepotwierdzonym że to Netia) aresztowaniem chakiera).
    Klienci? A kogo tam obchodzą klienci, znajdzie się nowych frajerów.

  44. Na poz.23 jest link do bazy
    http://blog.netia.pl/netia/entry/niebezpiecznik-pl-odgrzewa-zmyslone-kotlety

  45. jestem ich klientem i zastanawiem sie nad zwlożeniem sprawy
    w sadzie o odszkodowanie

  46. Netia pytania o problem odsyla do rzecznika prasowego – żenada… :(

  47. a chwalicie się że netia to wasz klient :) słabo go
    chronicie :)

    • Te dane na pewno nie wyciekly z systemow ktore jak sugerujesz dla netii chronimy, bo takie systemy nie istnieją – daję sobie za to obciąć rekę, a nawet coś ważniejszego :)

  48. “Na początku, szacuneczek dla nvm” ? Dziecko je..ij się w głowę młotkiem. WTF od kiedy to szanujemy bandytów i złodziei?
    Kara dla nvm ru..nie przez stado byków bez wazeliny.

  49. A co to takie pospolite ruszenie? Macie facebook’i nasze klasy i inne sympatie, wrzucacie swoje zdjecia, podajecie dane, opisujecie kim jestescie, w jakim srodowisku sie obracacie. Wszystkie informacje podajecie doslownie na tacy, piszecie nnawet co “teraz” robicie a tutaj wrzawa bo dane wyciekly? Chory narod :)

    • Dane i hasła do kont, co umożliwia(ło?) zakup i modyfikację usług.

  50. “Kontrola zabezpieczeń baz danych Netii wykazała, że według naszej najlepszej wiedzy są one w pełni zabezpieczone przed nieuprawnionym dostępem z zewnątrz.”

    debile, jak tak można kłamać w żywe oczy, zaraz powiedzą że nic się nie stało dlatego zalecam wszystkim szybką ucieczkę od partaczy, byle by się nachapać cudzym kosztem.

  51. WAŻNE! Aktualizacja IV
    Wiązanie informacji PAP z lipca 2011 roku (cytowanych m.in. przez Telepolis.pl: http://telepolis.pl/news.php?id=22265) dotyczącej włamania do bazy danych z ostatnim wyciekiem danych (Niebezpiecznik.pl (1) https://niebezpiecznik.pl/post/baza-klientow-netia-s-a-na-sprzedaz/ Niebezpiecznik.pl 2 https://niebezpiecznik.pl/post/netia-hacked-dane-klientow-wykradzione-tak-twierdzi-nvm-ale-netia-nie-jest-w-stanie-tego-jednoznacznie-potwierdzic-czy-zaprzeczyc/) jest bezpodstawne. Takie zdarzenie miało miejsce w czerwcu 2011 roku, ale nie dotyczyło firmy Netia S.A., a pewnej małej spółki, która została przez nas kupiona. Włamano się na serwer archiwalny tej spółki, który nigdy nie był podłączony do sieci korporacyjnej Netii (nie był objęty standardami bezpieczeństwa obowiązującymi w Grupie Netia). Wykradziona wtedy baza danych została odzyskana i zabezpieczona, a sprawcy ujęci przez Policję i skazani prawomocnym wyrokiem sądu.
    Oświadczamy, iż ujawniane obecnie rekordy, dotyczące kont abonenckich nie są danymi, które zostały odzyskane po włamaniu z 2011 roku.
    Zapewniamy także, że baza danych klientów w Netii – według naszej najlepszej wiedzy – jest należycie zabezpieczona przed nieuprawnionym dostępem z zewnątrz. Bazy Netii są zabezpieczone zgodnie z najlepszymi standardami i przy wykorzystaniu wysokiej klasy narzędzi i technologii.
    Ujawniane przez szantażystę rekordy znacznie zawężają źródło ich pochodzenia. Ustalenie sprawcy – w naszej ocenie – powinno być tylko kwestią czasu.
    Konta abonenckie, które w skutek kradzieży niektórych danych ich dotyczących mogły być zagrożone, zostały odpowiednio zabezpieczone.
    Netia nie zamierza negocjować z szantażystą, ani tym bardziej, płacić mu żadnego okupu, w żadnej walucie.

  52. Czy w związku z tym iż moje dane trafiły w niepowołane ręce mam prawo wypowiedzieć umowę Netii?

    To już druga taka sytuacja odkąd mam umowę u nich.

  53. a co da zmiana pinu,jak po zmianie za pomocą starego pinu
    też się można zalogować

  54. Panie Karolu. Zamiast pisać niestworzone rzeczy należy
    opisać jasno sytuację, a nie konfabulować. W ostatecznym
    rozrachunku prawda zawsze pomaga i wzbudza zaufanie klienta, a
    kłamstwo ma krótkie nogi i pogrąża. Dane wyciekły z bazy CRM Netii
    (Clairfy), a nie jakiegoś “serwera archiwalnego” wskazuje na to
    format numeru Umowy który widać w “próbkach” – numery w tym
    formacie nadawane są przez Clarify – w bazie kupionych spółek
    numery umów mają inne formaty (poza tym często nie są migrowane bo
    to kosztuje) . Są to stare dane które kiedyś wyciekły – złodziej
    nie przedstawił nowych danych tylko te z 2009 i 2010. Tak więc jest
    to nowa odsłona starej sprawy. Poza tym PIN do konta jest tylko w
    bazie CRMa i IVRa (skopiowane z CRMa) – kupiona spółka nie miała
    raczej tych danych w swojej bazie przed jej kupnem :-). Tylko CRM
    Netii ma pełen zestaw danych umożliwiający pobranie tych danych.
    Skąd wyciek ? Jak w większości takich przypadków wyciek wystąpił od
    wewnątrz firmy. Przecież do tych danych musi mieć dostęp
    kilkadziesiąt. Systemy są z sobą powiązane np. system billingowy,
    system raportowy, system IVR, etc. Ponadto przy zwariowanym tempie
    zmian którego żądają zarządzający firmą trzeba wielu osób żeby
    developować, testować i weryfikować. Często są to dostawcy
    zewnętrzni. Baza danych musi być powielana w celu przygotowania np.
    na środowiska testowego. Cześć danych wrażliwych jest zamazywana na
    bazach testowych, ale wszystkiego zamazać nie można bo … testy
    będą niemiarodajne. Jest jeszcze kopia produkcji służąca np.
    produkowaniu raportów tam też „kilka” osób musi mieć dostęp, bo
    inaczej nie wyprodukują raportów którymi karmieni są kierownicy,
    dyrektorzy i zarząd. Należy wyjaśnić że nie jest to specyfika Netii
    – każda firma która ma większą bazę danych klientów musi dać dostęp
    do tych baz pewnej liczbie osób. Niestety niektórzy z nich są
    nielojalni w stosunku do pracodawcy / zlecającego pracę. Zagrożenia
    wewnętrzne są największą bolączką zarządzających danymi i trudno z
    nimi walczyć oraz wykrywać. Dlatego tłumaczenie że nie znaleziono
    śladów włamania jest jak najbardziej prawdziwe – bo włamania z
    zewnątrz nie było. A wydanie komendy „select * from table_….” nie
    zostawia śladów, zatem jeśli złodziej nie zostanie złapany przy
    próbie sprzedaży to nie da się go ustalić. Netia robi mniej lub
    więcej żeby dane zabezpieczyć, ale w obliczu wewnętrznego sabotażu
    nie ma szans. Po prostu nie da się tego zrobić w Netii jak i żadnej
    innej firmie. Jednak gadanie że kolejne próbki do czegokolwiek
    kogokolwiek przybliżają to po prostu kłamstwo. Można ograniczać
    dostęp i zmniejszać potencjalne niebezpieczeństwo, ale wciąż takie
    istnieje.

  55. gdzie ta lista? i czy mogę teraz jakoś zerwać umowę(nie
    mogę sie doczekać):)pozd

    • Tak, oczywiście możesz zerwać umowę. A w ramach odszkodowania muszą Ci oddać samolot. I furę też.

  56. Ciekawe, czy moje dane też się tam znajdują

    Bo mimo, że ja umowy z Netią SA nie podpisałem, to i tak zostałem ich “klientem”; a jeszcze potem Netia zrobiła ze mnie dłużnika i przeprowadzała windykację fikcyjnego długu

    Całą sprawę dotyczącą tego przestępstwa opisałem na http://pokazywarka.pl/netia-sciagala-fikcyjny-dlug-i-zignorowala-postanowienie-prokuratury/

  57. […] serwisu mówią prawdę, co do tego co rzeczywiście zostało wykradzione (czasem wręcz sugerują, że wyciek jest zmyślony). Ale skoro bazy są opublikowane w internecie i każdy może je pobrać oraz sprawdzić, czy […]

  58. Jak ja sié ciesze ze nie mieszkam w POlsce i gdyby nie nvm
    i niebezpiecznik to pewnie do konca zycia bym nie uslyszal o
    jakiejs tam zapchlonej netii, ktora tak bezczelnie klamie, Tego
    pana K i Pania M powinno sie wsadzic do lochu i przywalic
    krata

  59. […] osłodę losu klientów UPC dodajmy, że w sieci TOR wystawione na sprzedaż były już bazy Netii oraz TPSA — sprzedawał je za ok. 60 PLN od rekordu, obecnie wielki nieobecny, czyli […]

Odpowiadasz na komentarz Michał

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: