20:42
15/7/2011

“Haker” wykradł dane klientów jednej z firm telekomunikacyjnych. Okup miał być przekazany na stacji benzynowej pod Wawelem. Nie wyszło, można wręcz powiedzieć, że to był bardzo zły pomysł ;)

Ułańska fantazja

Policja nie ujawniła która z firm padła ofiarą włamywacza, ani jak funkcjonariusze wpadli na jego na trop. Jak jednak podaje PAP, policja potwierdziła, że za włamaniem stał 25-latek z Jastrzębia Zdroju, a jego 19-letni wspólnik z okolic Krakowa miał odebrać okup pod Wawelem. Pierwszy został aresztowany, drugi trafił pod policyjny dozór.

Mieliśmy już w Polsce kilka lat temu przypadek pewnego “hakera”, który za ujawnienie informacji na temat podatności zażądał od serwisu home.pl 200 tys. złotych. Sprawa trafiła do prokuratury. Jak widać, nie wszyscy potrafią uczyć się na błędach innych… Na swoich też nie, bo z nieoficjalych informacji wiemy, że aresztowany 25-latek miał już w przeszłości do czynienia z wymiarem sprawiedliwości (wyrok w zawieszeniu).

Zatrzymanie włamywacza z Jastrzębia Zdroju

Zatrzymanie włamywacza z Jastrzębia Zdroju

P.S. Ddosował, ddosował, zostało mu podarowane, ale jak widać oliwa sprawiedliwa…

Aktualizacja 18.07.2011
Bazując na informacjach otrzymanych od anonimowych czytelników, którzy sugerowali, że firmą telekomunikacyjną jest Netia postanowiliśmy się skontaktować z Małgorzatą Babik, rzecznikiem Netii. Zadaliśmy następujące pytania:

    1. Czy prawdą jest, że co najmniej jeden z podejrzanych w/w sprawie uzyskał nieautoryzowany dostęp do danych klientów Netii?
    Jeśli tak, to:
    2. Jak dużo i jakich informacji udało mu się wykraść? Adresy? Numery telefonów? Pesele? Skany dowodów osobistych?
    3. W jaki sposób przełamane zostały Państwa zabezpieczenia?
    4. Czy zamierzacie Państwo wnieść akt oskarżenia przeciw 25-latkowi?
    5. Jak powiadomiliście Państwo klientów, których dane znalazły się w rękach włamywaczy, czy zaoferowaliście im Państwo pomoc w ochronie swoich danych?

Otrzymaliśmy następującą odpowiedź:

Niestety, w tej kwestii mogę tylko powiedzieć: bez komentarza.
Pozdrawiam serdecznie
Małgorzata Babik

Przeczytaj także:

72 komentarzy

Dodaj komentarz
  1. Ale idiota, mógł sprzedać komuś innemu takie dane.

  2. polscy złodzieje ;D

  3. Tysiące filmów szpiegowskich-terrorystycznych na temat wymian okupu a tutaj jak zawsze wpadka przy przekazywaniu , lipnie ;D

  4. A mógłby mnie ktoś oświecić w temacie pokrętnej logiki związanej ze “zwrotem” wykradzionych danych? W jakiejś innej wiadomości na ten temat, że właśnie za to miał być ten okup. Dla mnie to jest trochę tak, jakby ktoś kupował od szantażysty zdjęcia zostawiając mu negatyw, albo jeszcze lepiej – w zamian za okup odbierał od niego płytkę z nagraniami hipotetycznymi “kompromitującymi zdjęciami”, które oczywiście “na pewno” nie istnieją w żadnej innej kopii…

    • Paweł: i to właśnie jest zdumiewające ;-) Podatności w serwerach znaleźć potrafią, a business logic faila w swoim działaniu nie… Po prostu nie mogę uwierzyć, że jakakolwiek osoba z IQ wyższym niż temperatura pokojowa mogłaby sądzić, że próba wymuszenia okupu się uda.

    • Piotr, to zależy… Od tego kto takie coś robi i co najważniejsze JAK.
      O kim my tu gadamy w ogólę. Voodoo totalny amator niezdolny do abstrakcyjnego myślenia… Od ziomka kiedyś pieniążki na fajki sępił, mimo, że chłopak 25+, nie wiem czy to prawda, takie coś mi się obiło o uszy. Groszem nie śmierdział nigdy, bieda go przycisnęła jak narkomana na głodzie, dlatego wyrwal babie torbe.

      Inaczej by to rozegrały osoby mądre, niepotrzebne by były spotkania na wawelu oraz inne niepotrzebne czynności. Mądra osoba, rozegrałaby to tak, że netia sama by się prosiła o współpracę ewentualnie sama by zapłaciła. Po co im było rozmawiać z pstrągami? Stało się, nie życze chłopakom źle, ale jak sobie przyrządzisz, tak sobie zjesz.

      Tyle.

    • Jaka pokojowa…
      Make love at war!

  5. Może wykradł im dane i zrobił drop table, a oni nie mieli backupu ? ;)
    Wtedy okup za zwrot miał by sens nawet jeśli by miał kopie.

    To jest dość mało prawdopodobne.
    Poprostu fail.

    • Wówczas to jest scenariusz taki, jak wykorzystuje ransomware. Owszem, ofiara ma wówczas interes w odzyskaniu danych, ale NADAL ma też interes w tym, by atakujący nie pozostawał dłużej w ich posiadaniu :)

  6. Znalazłem błąd :)
    wpadli na jego na trop

    Podstawa to dobry plan, oni go nie mieli xd

  7. Ktoś tu ostatnio pisał o frustracie… ciekawe czy tych dwóch frustratów nie puści tego (w akcie zemsty) za free przez BitTorrent.

  8. to nie pierwsze zdjęcie gdzie widze fubu pod okiem policjanta, ehh… tępy ch*j! :\

  9. Heheh zawsze mowilem Fubu ze tak skonczy…ehh.

  10. Taki z niego haker, a o bitcoin nie słyszał?

    • A mógłbyś myśl rozwinąć?

    • Tyle że bitcoin to raczej zabawka – nie zapłacisz tym w normalnym sklepie netowym (o spożywczaku na rogu nie wspominając)

    • Darek: ale zdajesz sobie sprawę z tego, że BTC możesz zamienić na inną walutę i wypłacić/zapłacić nimi? :>

    • Tak Dareczku, taka zabawka, że ludzie kupują za nie konta bankowe,
      karty kredytowe, dragi i przy okazji piorą nią pieniądze…

  11. Wy nic nie rozumiecie, biedny chłopak, skrzywdzony przez los chciał po prostu zarobić ;(

    • sergiusz skrzywdzony przez los ?? dobre ;] on byl skrzywdzony ale chyba tylko przez swoja glupote ;] od dawna mu sie nalezalo . jak paly wyciagna inne epizody w ktorych bral udzial ten dzieciak to do konca zycia z pierdla nie wyjdzie ;] i dobrze !

    • nie życz drugiemu co tobie niemiłe buraku. zachowałes sie jak typowy zawistny polak idz stąd i niewracaj

  12. “Mieliśmy już w Polsce kilka lat temu przypadek pewnego “hakera”, który za ujawnienie informacji na temat podatności zażądał od serwisu home.pl 200 tys. złotych.”
    Drobny błąd logiczny – on tych pieniędzy żądał za NIEujawnienie.

    • exti: afair wyslal maila do home, ze “znalazl dziure” ale nie powie im gdzie, dopoki mu nie zaplaca. Wiec jednak za ujawnienie ;) (chociaz nie mozna wykluczyc, ze byl tez watek “nieujawnienia” opinii publicznej).

  13. Trzeba bylo przekazac dane na HackLeaks..

  14. A mógł rozegrać to inaczej, miał by i dane i finanse :) ciesząc się wolnością. Ahh ten brak wyobraźni obecnej młodzieży, czy opiekunowie prawni nie uczą was jak dobrze kraść by nie wpaść? Wychodzi na to, że nie dbają o pociechy.

    • rozwiń tę myśl — jak kraść, żeby nie wpaść?

    • @jurek tak, żeby nikt nie widział.

  15. Zaczną się jaja jak przestępcy zażyczą sobie płatności w bitcoinach…

    • Zdaje się że ma to miejsce już teraz

    • Doprecyzuje, chodzi mi o lokalnych, krajowych bandziorów i ich porwania, kradzieże aut dla okupu itd.

      Ci jeszcze bitcoina chyba nie odkryli.

    • Ci nie, miałem na myśli strefe handlu. Chociaż obserwuje się coraz większe zainteresowanie wśród tradycyjnej, “starej” przestępczości nowymi technikami i branżą cyberprzestrzeni.

    • @Torowisko dane z 95r. cy co? Już dawno się interesują tylko nie wszyscy, im bardziej ich cisną z jednej strony tym bardziej przerzucają się na inną.

  16. Szkoda gościa , niestety takie są w Polsce realia że ludzie tracą zdrowy rozsądek
    Jedni kopią doły na wyspach i budują sobie tu wille za miastem
    inni poświęcają swój czas żeby się rozwijać i żyją w tym Polskim gównie
    gdzie nie stać ich na utrzymanie samych siebie
    Doskonale go rozumie bo były chwile kiedy sam twierdziłem że w gruncie rzeczy nie ma różnicy czy mnie zamkną czy nie bo gorszego więzienia od tego w którym jestem być nie może
    szkoda tylko że zrobił to w dość naiwny sposób

  17. Ja powiem tak firma to netia i w skład danych wchodziłą cała baza adresy, imona nazwiska faktury etc :]

  18. Jak ktoś wcześniej wspomniał Bitcoiy… rozwiązały by całą sprawę do tego laptop na hotspocie(przemieszczasz się i jesteś nie uchwytny).

    Btw. Czy karalne jest to że wykonam pentesta np. jakiejś firmy i okaże się że jest luka następnie wyślę zapytanie czy nie chcieli by tego naprawić ? Bo kurde to troszkę zawiły temat a jednak na radce prawnego mię nie stać a na necie nie ma jasno wytłumaczone…

    • Dorzucam się do pytania ; )) Znajduję dziurę, wiadomo że w tym kraju ciężko z wszystkim więc chciałbym za swój poświęcony czas parę groszy : )) Powinien być taki tutorial HOWTO.

    • Co to w ogóle za podejście “jak znajdę dziurę to chciałbym za nią pare groszy”? Kto Ci kazał jej szukać? Patrzeć w inną stronę, nie hackować :>
      A zupełnie serio, to jak komuś *nieproszony* pomalujesz dom, to nie możesz oczekiwać, że ktoś Ci za to zapłaci. Może się tylko zdenerwować, bo zamiast wybranego przez ciebie koloru różowego, on akurat preferuje czarny ;-) Strategie oparte na roszczeniach/szantażu w kwestiach “niezamówionych pentestów” mają nikłe szanse na powodzenie — w momencie poinformowania firmy o błędzie *ty* przyznajesz się do tego, że już popełniłeś przestępstwo z któregoś z paragrafów tzw. prawa komputerowego (naruszenie integralności, zapoznanie się z nieprzeznaczonymi dla ciebie danymi, podsłuch).
      Są firmy, które mają bug bounty, może warto tam spróbować swoich sił? Tylko, że tam nie nagradzają za xssy ;) Albo po ludzku, zacznij pracować jako pentester, wykonuj legalne testy bezpieczeństwa.

    • imho nie latwo o posade pentestera w polsce. Ludzie tutaj są zacofani […] audyt kojarzy im sie ze sprawdzeniem, czy strona przechodzi przez walidator i szybko się ładuje a prawdziwe testy penetracyjne zamawiaja zapewne same wielkie korporacje….. no chyba, ze Ty nas Piotrze zatrudnisz ;)

    • Podeslij cv, zobaczymy :)

    • Kurde ja to bardziej rozumiem coś w stylu Widzę otwarte okno dzwonie do właściciela i pytam się czy mogę zamknąć. Po drugie można robić PoCa bez uszkadzania ale to tylko moje prywatne wywody :D pewnie prawo to inaczej zinterpretuje i pójdę siedzieć :F

    • @Krzysiek – nie ma takiej opcji HOWTO, kłania sie bowiem art. 269a KK (KK- czyta sie Ku… po co Ku… ja to zrobilem :)) .. HOWTO mozna by podciagnac nawet po nakłanianie w pewnych sytuacjach

    • Wystarczy powiedzieć, że pentest nie był wykonywany z terytorium Polski (przedstawiając wiarygodną alternatywę) i nasz Kodeks Karny przestaje być groźny.

    • Czy może ktoś potwierdzić wypowiedź KrzaQ’a? byłbym wdzięczny za wszelkie opinie na ten temat :)

    • @Q7
      Potwierdzić nię, ale mogę zaprzeczyć.
      Rzuć okiem na komentarzę do http://prawo.vagla.pl/node/9338, szczególnie:

      –cytat xpert17–
      Powtórka z WOS-u:

      Personalny zakres obowiązywania prawa wyrażony jest w dwóch regułach ogólnych:
      1) prawo obowiązuje wszystkich przebywających na terytorium Rzeczypospolitej Polskiej, niezależnie od ich przynależności państwowej (od zasady tej są wyjątki, które dotyczą np. dyplomatów posiadających tzw. immunitet),
      2) prawo Rzeczypospolitej Polskiej obowiązuje wszystkich obywateli, niezależnie od miejsca ich pobytu i miejsca, w którym nastąpiło zdarzenie prawne.
      –koniec cytatu–

      Druga sprawa, zakładając, że są trzy strony sprawy:
      1. Firma w kraju A
      2. Serwer w kraju B
      3. Atakujący w kraju C
      To chciałoby się wierzyć, że Atakującego będzie obowiązywać tylko prawo kraju C.
      Natomiast bardziej prawdopodobne jest, że sąd w każdym z trzech wymienionych krajów (A, B, C) będzie uważać, że Atakującego obowiązkuje również jego prawo.
      Tak więc, bezpieczenie jest zakładać, że Atakujący musi się liczyć z prawem w A, B i C.
      Odpowiadając na “wishful thinking” pod tytułem “nie! atakującego obowiązuje tylko prawo w kraju C” – zachęcam zostawić tego typu tłumaczenie na nadchodząca rozprawę ekstradycyjną ;DDD

  19. Gość był “prawie” niewykrywalny. Jest sobie w Jastrzębiu pewna firma która oferuje dostęp do internetu (teraz jest to część Netii). Jak to bywa dają router Wifi. Wszystko ok tyle że zabezpieczenie to WEP a hasła są do bólu słownikowe. Można powiedzieć, że atak nastąpił od wewnątrz używając słabych zabezpieczeń które stosuje firma.

  20. […] się do post-a na niebezpieczniku. Jeśli jeszcze nie słyszałeś o tym serwisie, to może warto zacząć go […]

  21. Nie ma żadnego odniesienia do okien,domów,samochodów
    Polskie prawo wspiera patologie , niszczy branże , i doprowadza do tego że
    ludzie są w niej traktowani jak śmieci mało tego prawo w tych kwestiach
    jest tworzone na modłę przedsiębiorstw i ma w dupie przeciętnego użytkownika internetu
    Sądzę że sieci www nie powinny w ogóle dotyczyć prawne regulacje
    może poza sytuacjami takimi jak ta gdzie w gre wchodzą pieniądze
    , kradzież kart kredytowych,ataki na banki etc
    cała reszta – wolna amerykanka i tyle wtedy skończyło by się cwaniactwo,zlecenia przez net , umowy śmieciowe,cała ta fuszerka i fakt że jedna adress na trzy jest na 99% krytycznie dziurawy.
    Chcecie być liberalni to bądźcie bo w chwili obecnej macie prawo rodem z najczarniejszych okresów PRL-u
    “departament bezpieczeństwa pomogał policji…” żałosne stado lamerUF amen

  22. Widzę, że teraz sami geniusze kryminalni się wypowiadają i wszyscy wiedzą, jak najlepiej popełniać przestępstwa :)

  23. Jak mial dane osobowe to moglby sprobowac phishingu albo socjotechniki – lud glupi to costam by wyciagnal
    BTW moglby mi ktos wytlumaczyc dlaczego rzucil sie na gotowke? Mogl chyba zarzadac jakiegos przelewu przez neta – baze danych tez by im tak przeslal

    • “przez neta”, anonimowość w sieci to jak owoce w lesie.

  24. Niestety, w tej kwestii mogę tylko powiedzieć: bez komentarza.

    Czyli proste mają w dup*e wszystkich. Nie lubię tej firmy a to utwierdza mnie przy własnym zdaniu.

  25. “Niestety, w tej kwestii mogę tylko powiedzieć: bez komentarza.
    Pozdrawiam serdecznie
    Małgorzata Babik”

    To właśnie nas czeka. Wszechwładza korporacji takich jak MS, IBM czy HP i wielkich telkomów. Nawet służby specjalne i wojsko dostaną od nich tyle informacji ile te będą chciały im udostępnić i tylko takie jakie będą chciały. Cenzura internetu wprowadzana przez rządy jest poddana dyskusji obywatelskiej. Czy ktoś może powiedzieć w 100%, że telkomy nie cenzurują tego co chcą, nie robią przekierowań, nie podstawiają fałszywek, nie przeglądają komputerów? Czy nad telkomami i międzynarodowymi korporacjami jest jakaś kontrola?

    A może już niedaleko do filmów z Bondem o jakimś prezesie telkomu, który chce rządzić światem?

    • Spokojnie, oddychaj… znowu zeżarłes za dużo płatków śniadaniowych z koffeinką… wyrzuć kompa na smietnik i najlepiej go spal, komórkę rozwal młotkiem, dzwoń z budki telefonicznej… będziesz wolny…

    • a ty spij dalej… baranku bozy pulskawy…

  26. hmm… to ja już wiem czemu mi się spóźnia… okres rozliczeniowy oczywiście xD

    Nie wiem czy “wyciekły” moje dane, ale tak czy siak żadnych informacji nie dostałem.

    A co do polityki tej “wspaniałej” firmy to Ci mili Państwo podłączali mi internet przez niecałe trzy miesiące. Byłem odsyłany do TP, a z TP prosto do Neti. Nikt nie chciał się pofatygować i zrobić głupie gniazdko. Kosztowało mnie to około 300 złotych, tak tak 300 złotych za wiszenie na telefonie słuchając przez średnio 45-60 minut głupiej charczącej melodyjki. Myślę, że bawiłbym się z nimi w ciuciubabkę do dzisiejszego dnia gdybym wreszcie nie zaczął grozić sądem. Jeśli ktoś będzie miał podobny problem to odrazu kierujcie sprawę do sądu :)

  27. Olsztyńscy policjanci wspólnie z funkcjonariuszami z Jastrzębia Zdroju zatrzymali wczoraj komputerowego hakera. Sergiusz J. dwa tygodnie temu włamał się na stronę internetową elbląskiej policji i pozamieniał dane. Teraz 20-latkowi grozi kara do 3 lat pozbawienia wolności.

    Dwa tygodnie temu stronę elbląskiej komendy odwiedził haker, który za pośrednictwem sieci internetowej usunął i zmienił dane informatyczne witryny komendy.
    Policyjni informatycy ustalili internetowego przestępcę już kilkanaście godzin od zaistniałego zdarzenia. Okazało się, że mieszka on na południu Polski w Jastrzębiu Zdroju.

    Wczoraj rano jastrzębscy funkcjonariusze wspólnie z olsztyńskimi zatrzymali 20-letniego Sergiusza J. w jego mieszkaniu. Szczegóły całej sprawy wyjaśniają teraz elbląscy policjanci.

    20-latkowi grozi do 3 lat pozbawienia wolności.

    Źródło: policja.pl

    A ten 25 latek z krakowa to jakie pseudo miał ?

    • Jak juz kolego czytasz artykul jakis, to sprawdzaj jeszcze date jego napisania/wyslania ;) Sytuacja miala miejsce w 2006r – to ta sama osoba. A myslalem, ze po takiej wycieczce na strone policji, beda miec go na oku ;) A to prosze, 5 lat minelo.

  28. Podejrzewam, że sprawa dotyczy Internetii tak naprawdę, ktora wykupila jastrzebska spolke Netis Systemy Informatyczne Sp. z o.o. pare lat temu. Gdy pare lat temu sprawdzalem niektore “rzeczy”, to (napisze wprost) php na ich serwerach pozwalalo na wykonanie system() na prawach root’a. Do tego sporo innych dziur, ale daruje sobie pozostale szczegoly. Tak to jest, jak nie ma czasu na zabezpieczenia i robienie… byle dzialalo.

  29. Zawsze można zostać gwiazdą telewizji i zostać zatrudniony przez duży koncern ;)

  30. Gdy siedziałem w pracy jakiś czas temu (+- 2 tygodnie temu )nawiedzali mnie promocjami dzień po dniu ( telefonicznie ). Tłumaczyłem, że jestem tylko pracownikiem swojej firmy i że muszą miłe panie spamować centralę mojej firmy ( podawałem namiary ) bo mi nic nie wcisną. Niby notowali, niby rozumieli co do nich mówię… Po czym następnego dnia zadzwoniły 3 słownie trzy blondynki w odstępach kwadransowych prubując jedna po drugiej mi wcisnąć promocję z nowej oferty ( po 3 telefonach jednego dnia myślałem że komuś zrobie krzywdę…). Zadzwoniłęm na infolinię gdzie jakis młodzian trzymał mnie 12 minut bo 3 razy drukowanymi mu musiałem tłumaczyć o co mi chodzi, obiecał, że skasują numer mojego punktu i zadzwonią do centrali… – Zadzwoniła następnego dnia jakaś niby bardziej kompetentna pani, która tez mi chciala coś wcisnąć… z zaciśniętymi zębami powiedziałem z resztką kończącej się cierpliwości gdzie mają dzwonić, obiecała, że skasują numer ekspozycji ( mój ) i nikt już nie będzie nas niepokoić i że zadzwonią juz do firmy do centrali…za dwa dni zadzwonił z tym samym już Pan…i od początku tłumaczenie tego samego…W Netii mają taki burdel za przeproszeniem, że w nic co zapewniają lub udostępniają prasie nie uwierzę. Pracują tam tępi, niekompetentni do bulu ludzie, zarówno pracownicy jak i szefostwo – nigdy w życiu nikt mnie tak nie wkużył i nie napierdzielał 8 ? razy aby wcisnąć tą samą promocję po raz N-ty nie bacząc co mówię i co mam do przekazania ( mając to poprostu w dupie ). Bardzo dobrze, że ich okradli i ktoś im utar nosa. Tylko czy coś to zmieni jak u nich tam panuje haos, sodoma i gomora a każda kolejna osoba z którą rozmawiasz jest ciemniejszą masą od poprzedniej…?!?

  31. Kasujecie komentarze, co? kasa ucieka? obrazacie innych, pokazcie co sami umiecie oprocz kopiowania tresci z innych stron i pisania o czyms, o czym nie wiecie. Ten mlodszy wymyslil wszystko, on powinien bardziej odpowiadac. Gdyby nie on, nie bylo by sprawy ;]

    • @Asd: Wszystkie komentarze, w których przejawiasz totalny brak kultury, bezpodstawnie obrażając innych czytelników Niebezpiecznika, nazywając ich “kretynami”, były, są i zawsze będą kasowane — nie ma od tego wyjątku. Z reguły nie komentuję tak miałkich wypowiedzi jak twoja, ale że jak widać, tak mocno ci zależy, więc proszę bardzo:

      1. Zrozum, że nie ma znaczenia, kto wpadł na tak poroniony pomysł jakim jest okup — zarówno ten co go zażądał, jak i ten, który włamał się i ukradł dane popełnili przestępstwo i powinni za nie odpowiedzieć — i z całym szacunkiem, to sąd, a nie ty zadecyduje, który z nich odpowie i w jakim stopniu. Nie mogę zrozumieć, dlaczego młode pokolenie myśli, że jak się gdzieś włamie i rozpowie o tym na prawo i lewo to “zbuduje sobie markę” i każda firma będzie chciała ich zatrudnić? Przestańcie wierzyć Hollywood — życie to nie film o hakerach. Fubu i jemu podobni, niezależnie od umiejętności, zamknęli sobie drogę do poważnych firm w tej branży (powiedz mi, jak z wyrokiem przejdziesz postępowanie sprawdzające w sprawie dostępu do informacji poufnych? Albo która firma zaryzykuje i zatrudni cię, jeśli w przeszłości wykradłeś i chciałeś sprzedać bazę klientów?). Umiejętności to jedno, rozsądek i zaufanie to drugie. Pracodawcy zwracają uwagę na wszystkie te cechy. Ludzi którzy umieją jest dużo, ludzi którzy umieją i są rozsądni niewiele.

      2. Z chęcią dowiem się z jakiego to serwisu wg ciebie kopiujemy newsy.

      3. Nie do końca rozumiem, co masz na myśli każąc nam “pokazywać co umiemy”. My naprawdę nie musimy sobie budować CV, ani szukać poklasku, a na pewno nie wśród tobie podobnych :>. Najbliższe wolne terminy na zlecenia mamy w połowie przyszłego roku, a baza naszych klientów ciągle się powiększa i obecnie należą do niej nie tylko największe w Polsce firmy, ale i międzynarodowe korporacje (por. https://niebezpiecznik.pl/wp-content/uploads/2010/02/logotypy-klienci.png). Jeśli myślisz, że zdobyliśmy ich włamując się na ich serwery, patrz punkt pierwszy. Jak widać można działać i “pokazywać co się umie” inaczej niż ci się wydaje, nie robiąc wokół siebie niepotrzebnego szumu, a przede wszystkim ZGODNIE Z PRAWEM — i mam wrażenie że naszymi metodami osiągnęliśmy lepszy rezultat niż cytowani w artykule twoi koledzy.

      Jeśli chcesz dalej dyskutować w tym temacie, rzucać bezpodstawne oskarżenia, obrażać innych, miej chociaż na tyle odwagi, żeby podpisać się imieniem i nazwiskiem — inaczej z mojej strony EOT. Liczę jednak na to, że potrafisz wziąć odpowiedzialności za swoje słowa.

  32. Dziekuje za odpowiedz. Przepraszam za swa ignorancje i dzeki za to ze uswiadomiles mi kilka rzeczy. Sadze ze masz duzo racji, nie powinienem czepiac sie niebezpiecznika, a niektorych komnetujacych.

  33. Wasi klienci: https://niebezpiecznik.pl/wp-content/uploads/2010/02/logotypy-klienci.png

    NETIA :))

    No to ładnie sprawdziliście zabezpieczenia, renoma jest. Czyli Fubu przewyższa całą Waszą ekipę krocie liczby w niej uczestniczących. :))

    • Chyba na głowę upadłeś :)
      W przypadku Netii nie wykonywaliśmy żadnych usług “sprawdzenia zabezpieczeń”, jak o nazywasz, a gdyby nawet umowa pomiędzy nami dotyczyła tego typu usług, to jak się zapewne domyślasz, testy zlecane są na konkretny fragment infrastruktury (niekoniecznie ten, który wykorzystał włamywacz; tu infrastrukturę firmy przejętej przez Netię). Nie wspomnę już nawet o tym, że klienci nie mają obowiązku łatania wszystkich podatności, które są zidentyfikowane w raporcie przez nas sporządzonym (i często z tego przywileju korzystają, bo bezpieczeństwo to kompromis pomiędzy …bezpieczeństwem a aspektami biznesowymi (często rozumianymi jako “wygoda”).
      Abstrahując od powyższego, gwarantuje ci, że zdolności fubu nie nie robią na nas wrażenia. Naprawdę każdy potrafi ddosować albo posługiwać się dorkami do znaleznia SQLi/RFI — jak to mówią, i ślepej kurze czasem trafi się ziarno.

  34. Dziwne dla mnie jest, ze netia niby SQLi by nie zalatala, co jak co, ale to… Czyli z takich uslug nie warto wcale korzystac, bo i tak taki fubu znajdzie powazna luke na ktorej zabezpieczenie nie bylo ich stac, a mogli by to sobie w sumie sami naprawic, i wykradnie baze. Nie chce nikogo obrazic, ale to jest dziwne.

    • @Asd: nie chce tu bronić ani Netii ani firmy, która robi im pentesty, ale weź pod uwagę, że proces rozwoju oprogramowania i testó∑ w skrócie wyglada tak:
      0. atakujący próbują znaleźć dziurę i się włamać
      1. programiści piszą kod
      1.5 atakujący próbują znaleźć dziurę i się włamać
      2. pentesterzy go testują
      2.5 atakujący próbują znaleźć dziurę i się włamać
      3. programiścy poprawiają kod

      Czas pomiędzy 1-3 jest zazwyczaj na tyle długi, że czasem coś się prześlizgnie. Można sobie z tym poradzić, nie wypuszczając na produkcję kodu, który nie został przetestowany (ale czasem, z różnych mniej lub bardziej zasadnych powodów się tego nie robi, w końcu biz is biz). Można też próbować przygotować się na włamanie (czyli założyć pesymistycznie, że pomimo naszych “super” zabezpieczeń, zostały one przełamane, np. jest SQLi) – i zastanowić się, jak chronić dane na kilku warstwach (tzw. security in depth), to że jest sqli na webserwerze wcale nie oznacza, że atakujący zrzuci dane klientów z centralnego systemu.

      W tym przypadku Netii podejrzewam, ze ta lokalna firma miala jakiś home-made solution, który nigdy nie został przetestowany, a jego obsługa nie znała tzw. “dobrych praktych” posługiwania się pewnego rodzaju danymi ;)

  35. Dzien dobry, od razu mlodszy wymyslil, jak by mi fubu powiedzial (o ile on to zrobil) ze usunal im baze z serwerow to jasne ze bym sie tam nie pakowal, asd zdradz swoj nick, moze tkwisz w blednych przekonaniach i chcialbys je porzucic.

    Dziekuje za uwage

  36. […] chyba trochę na wyrost, ale będąc właścicielem serwisu zdecydowanie warto wykazać się ludzkim podejściem do osoby, […]

  37. […] na stacji benzynowej w Krakowie, gdzie umówił się z przedstawicielami Netii na przekazanie 100 000 PLN okupu za wykradzioną Netii bazę klientów. Z naszych informacji wynika, że druga z aresztowanych wtedy osób stojąca za kradzieżą danych […]

  38. […] Ciekawe co Netia na to? Czy ta próbka danych pozwoli Netii jednoznacznie potwierdzić fakt kradzieży danych klientów? Czy Netia rozważa zapłacenie okupu w Bitcoinach? (ostatnio Netia “zgodziła się” na przekazanie okupu, ale zamiast pieniędzy, złodzieje ujrzeli policję i zostali aresztowani). […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.