16/10/2013
Ekiosk poinformował właśnie “próbie nieautoryzowanego dostępu do bazy danych”. Jak informuje rozesłany do klientów e-mail, wśród danych które mogły zostać wykradzione przez atakujących są: adres e-mail, nazwa użytkownika i “zaszyfrowane hasło”.
PROCEDURA BEZPIECZEŃSTWA: PROSIMY O ZMIANĘ HASŁA TWOJEGO KONTA W SERWISIE EKIOSK.PL (AKTUALIZACJA ZABEZPIECZEŃ)
Szanowna Czytelniczko – Szanowny Czytelniku,
Nasz system wykrył próbę nieautoryzowanego dostępu do baz danych ekiosk.pl.
Nieautoryzowana próba wejścia została zablokowana, podjęliśmy też działania w celu ustalenia sprawców oraz wdrożyliśmy specjalną dodatkową procedurę zabezpieczeń wszystkich naszych systemów.Wśród informacji, które mogły być celem ataku znalazły się: nazwa użytkownika, adres e-mailowy lub zaszyfrowane hasło. Uwaga: Powyższe dane nie umożliwiają dokonywania zakupów. Przypominamy, że ekiosk.pl nie przechowuje żadnych informacji wrażliwych dotyczących płatności dokonywanych przez użytkowników kont. Wszelkie dane związane z kartami bankowymi naszych klientów nie były i nie są przechowywane przez ekiosk.pl.
W trosce o bezpieczeństwo rekomendujemy zmianę hasła dostępu do konta poprzez kliknięcie na poniższy link.
Ze względu bezpieczeństwa uprzejmie przypominamy Panu/Pani, by nigdy nie używać takiego samego loginu lub hasła w celu logowania się do innych serwisów lub kont, a zwłaszcza kont bankowych.
Na wszelkie Państwa pytania odpowiadamy pod adresem bok@ekiosk.pl.Przepraszamy za wszelkie niedogodności. Bezpieczeństwo Państwa danych jest naszym priorytetem dlatego już teraz prosimy o dokonanie zmiany hasła (proces jest uproszczony i zajmuje nie dłużej niż 2 minuty). Wystarczy kliknięcie na poniższy link.
To dobrze, że Ekiosk informuje o incydencie. Źle, że w mailingu, linki do zmiany hasła są generowane przez platformę newslettera (inna domena). Przypominamy, że aby nie uczyć klientów złych nawyków, które mogą wykorzystać phisherzy, lepiej jest podać instrukcję krok-po-kroku, co należy zrobić, aby zresetować hasło samodzielnie.
Ufff… Dobrze że niebezpiecznik.pl czytam dokładniej niż maile od ekiosk.pl bo właśnie wywaliłem do kosza powiadomienie o włamaniu xD
Link do zmiany hasła prowadzi na stronę z wygasłym certyfikatem
Jeszcze nie wygasły. Ale nie dość, że wysyłają newsletterem to jeszcze podają w nim akurat tą domenę, na którą nie mają certyfikatu. Co kolega ko celnie skomentował poniżej. Kto ma oczy niechaj czyta (byle ze zrozumieniem).
niby cert wygasa 14/11/2014 ale to rapidssl i pewnie cos nie gra w cert chain bo nie jes wiarygodny
@kramer:
Technical Details
ekiosk.pl uses an invalid security certificate.
The certificate is only valid for the following names: *.e-kiosk.pl , e-kiosk.pl
(Error code: ssl_error_bad_cert_domain)
pod jaką domeną jest ten link do zmiany hasła i stary certyfikat?
ale xss nie usuneli