13:29
25/7/2016

Ciekawą wiadomość przesłał nam nasz czytelnik, a jednocześnie użytkownik Instagrama należącego do Facebooka. Oto, jaki komunikat zobaczył:

7ea969cf-0cbe-49c8-9c92-4634ace548a2

Nie jest niczym nowym, że duże firmy (np. Amazon, por. Stracił 25 tys. PLN) pobierają i analizują bazy danych wykradzione i opublikowane w internecie, szukając w nich swoich użytkowników (po np. e-mailu). Następnie porównują hasła (lub ich hashe) do przechowywanych po swojej stronie hashy, albo — jeśli to nie jest możliwe — po prostu ostrzegają swoich użytkowników, że ich dane wyciekły z innego serwisu i powinni zmieni hasła.

Co ciekawe, Polskie firmy nie mogą chronić swoich użytkowników tak jak Amazon czy Facebook. U nas pobieranie i przetwarzanie kradzionych baz danych jest przestępstwem:

Art. 269b. § 1.
Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej,podlega karze pozbawienia wolności do lat 3.

M.in. z tego powodu, powstanie takiej usługi jak haveibeenpwned.com w naszym kraju nie jest możliwe. Choć usługa taka, jest niewątpliwie wartościowa i mogłaby być zasilona wieloma wykradzionymi od rodzimych firm bazami danych (por. Netia zhackowana — wykradziono dane klientów). Polacy muszą mieć więc nadzieję, że ktoś ryzykując (“(…) lub udostępnia innym”) prędzej czy później podeśle polskie bazy do serwisu haveibeenpwned.com.

Przeczytaj także:

40 komentarzy

Dodaj komentarz
  1. Bardzo dobra praktyka ze strony Facebooka – jednakże w dobie ACTA ludzie mogą źle takie komunikaty odebrać ;)

  2. Wystarczy to zrobić poza granicami kraju i będzie legalne :)

  3. Skoro wiedzą, że hasło jest takie samo, to znaczy, że instageam przechowuje niesolone hashe?

    • może mają te same posolone hashe?

    • Niekoniecznie. Może hasło wykradzione solić tym samym ciągiem co u siebie, następnie hashować i porównać wynik ze swoją bazą danych. Dokładnie tak samo jak robi z hasłem wpisanym przez użytkownika.

    • Ewentualnie sprawdzenie może nastąpić po udanym logowaniu użytkownika. W tym krótkim czasie strona ma dostęp do hasła i może je zahashować w ten sam sposób jak było to robione na stronie z której hasła wyciekły.

    • Mi się wydaje że pobrali bazę otwartych haseł które gdzieś wyciekły, posolili je facebookowym algorytmem szyfrującym i porównują z hashami użytkowników fb i instagrama.

  4. Been there, done that. jakieś parę tygodni temu fb przysłał mi info że gdzieś ktoś ujawnił zestaw mail+hasło, takie jak podane na fb.. Tylko że nie przypominam sobie, abym miał taki sam zestaw gdziekolwiek użyty..

  5. co stoi na przeszkodzie, aby taka usługa dla polaków powstała poza polską jurysdykcją?

  6. Informują, że jest takie samo jak na instagramie. No ok, bo instagram (czy też whatsapp) jest ich. Czy to jednak na pewno dobrze, że mają i tu i tu takie same metody hashowania? Bo gdyby było inaczej, czy mogliby stwierdzić, że hasła są takie same (przynajmniej w teorii – zawsze możliwy jest konflikt)? No chyba, że jest jakiś inny sposób.

    • Screen jest z instagrama. Informacja mówi, że w innym serwisie jest takie samo hasło, jak w instagramie.

      Nawet gdyby było, jak piszesz, to możliwe byłoby sprawdzenie haseł.

  7. Czy to nie jest Wasza nadinterpretacja przepisu? Jeżeli mamy bazę z haszami haseł, to nie może być mowy o pozyskaniu “danych umożliwiających dostęp do…”.

  8. Bo Polska to nie jest kraj. Polska to stan umysłu.

  9. Niestety nie zgodzę się z Waszą interpretacją Art. 269b. § 1.
    Kluczem w tej sprawie jest “dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej” – Hash hasła nie umożliwia dostępu do informacji itp. Kolejna sprawa to pogrubione słowo “pozyskuje”, tu interpretacja będzie zależała od sędziego, bowiem nie znajduje się wyjaśnienie tego pojęcia w prawie, a jedynie w powszechnie dostępnych słownikach, w związku z czym możliwym jest, aby interpretacja dotyczyła pozyskania w skutek przestępstwa, gdyż pobranie danych z ogólnodostępnego serwera nie traktowane byłoby raczej jako pozyskanie, a jedynie uzyskaniem dostępu, co raczej nie znajduje zastosowania w tym artykule. Ciekawostką na pewno jest fakt, iż w takiej sprawie można by było podważyć oskarżenie na podstawie prawa prasowego.

    • Zakldasz, ze w bazach publikowanych na darknecie/pastebine itp sa hashe. To bardzo mylne zalozenie…

    • Btw. Niestety wiem co znajduje się w wyciekach i za każdym razem martwi mnie ten fakt.

    • To tak jakbyś znalazł czyjeś klucze i… postanowił sobie dorobić ich kopię. Pozyskałeś je w legalny sposób, ale czy ich posiadanie jest legalne? A w szczególności sprawdzanie, do których drzwi w okolicy pasują.

    • ale sprawdzasz te klucze tylko w swoich drzwiach.

    • Bo ich interpretacja to takie typowe amatorszczenie: “przeczytałem jedno zdanie wyrwane z całości i do niego coś pasuje”. Otóż KK należy czytać w całości, a już na samym początku mamy:

      Art. 1. § 1 Nie stanowi przestępstwa czyn zabroniony, którego społeczna szkodliwość jest znikoma.

      Zatem działania literalnie nielegalne, ale podjęte w celu wyłącznie zapobieganiu przestępstwu, nie będzie penalizowane. Nie trzeba tu nawet sięgać do rozdziału III, który wyłącza odpowiedzialność.

      Mówiąc krótko: jeżeli nie robisz nic złego (nie da się nie tylko wskazać, ale nawet określić potencjalnego poszkodowanego) i masz dobre (tzn. realne, udowadnialne) uzasadnienie, to nie masz się czego obawiać, nawet robiąc rzeczy teoretycznie zabronione.

    • “Nie stanowi przestępstwa czyn zabroniony, którego społeczna szkodliwość jest znikoma.” Sie nie znam ale czy w tym wypadku czyn zabroniony nie będzie po prostu (penalizowanym) wykroczeniem?

    • @adf88 – a zgadnij, od czego rozpoczyna się Kodeks Wykroczeń? Tak, od tego samego – brak społecznej szkodliwości wyłącza jakąkolwiek odpowiedzialność.

      W przeciwnym wypadku pracownik firmy tworzącej zabezpieczenia nie mógłby ich nawet skutecznie testować, a więc nigdy by nie powstały. Dlatego właśnie tak często bada się intencje podejrzanego, a w oczywistych przypadkach odmawia wszczęcia postępowania.

      Oczywiście trzeba też wiedzieć, co oznacza owa tajemnicza “społeczna szkodliwość”. Bo “społecznie szkodliwe” może być popalanie trawki czy naruszanie bezpieczeństwa publicznego przez bieganie z legalnie posiadaną bronią po ulicy. Ale w przypadku sprawdzania haseł swoich użytkowników nie ma najmniejszych wątpliwości, że nie chodzi o skrzywdzenie nikogo niewinnego, lecz utrudnienie działań przestępców. Żaden “branżowy” prokurator nie wniósłby aktu oskarżenia, no chyba że na zlecenie uberministraprokuratoraherrzero.

  10. Zakładam, że znajdują się tam hasła, ale to nie znaczy, że strona, która będzie weryfikowała prawdziwość musi je posiadać w takiej formie w jakiej zostały wykradzione. W przepisach nie znajdziemy zapisów, które by zabroniły hashowania takiej bazy.

  11. Poza tym e-mail jest zaliczany do danych osobowych. Gromadzenie adresów wymagało by więc zgody ich właścicieli na przetwarzanie danych.

  12. Te artykuły 269(literka) to mogli by już zmienić bo je chyba Kiszczak z Wałęsą układali, wedle tego co piszecie to nie tylko amazon to przestępcy ale nawet ludzie analizujący malware. Oczywiście nie jestem prawnikiem w tych klimatach są podobno jeszcze jakieś wykładnie i duchy ale gdyby wszystko interpretować zero-jedynkowo to faktycznie popełniam przestępstwa każdego dnia, jakby do tego dodali jazdę bez biletu to koniec

  13. @behegrzmot nie widzę tu nigdzie czynu zabronionego. Mogę znaleźć klucze, dorobić je, posiadać, nosić w kieszeni oraz wkładać gdzie chcę. Przestępstwo to będzie jak otworzę tymi kluczami zamek/drzwi i coś ukradnę lub naruszę “mir domowy”. Zawsze mogę powiedzieć, że chciałem je oddać i nie udowodnisz mi, że tak nie było.

    • “Panie władzo, ja tylko chciałem oddać mu to hasło, bo jak zgubił to nie może się biedak nigdzie zalogować”

    • zejdź na ziemię, w Polsce wszystko jest czynem zabronionym

  14. Ciekawe dlaczego Allegro zaczęło wymuszanie zmiany haseł…

  15. Moglibyscie na niebezpieczniku zrobic jakis poradnik dla _normalnych_ ludzi dotyczacy skrzynek mailowych. Taki dla srednio technicznych osob ktore skrzynke miec musza (komunikacja z bankami/kontrahentami/klientami, rejestracje w roznych serwisach itp) a jednoczesnie boja sie zostawiac wszystkie swoje dane (np. z umow bankowych) zarowno w rekach krajowych graczy (wp, onet) jak i miedzynarodowych monopolistow (gmail).
    Jest np. Proton Mail, tylko troche strach robic z protona glowna skrzynke gdy z dnia na dzien moze sie okazac, ze serwis zostaje ukatrupiony z wiadomych powodow.

    • Zgadzam się, poradnik zakładania własnego serwera pocztowego byłby przydatny. Ja na przykład wiem jak to zrobić, ale to dość skomplikowana procedura i pewnie bym się pomylił kilka razy w czasie próby postawienia takiego serwera.

    • Wystarczy wykupić zwykły serwer wirtualny (dostawca wg preferencji) i tam postawić serwer pocztowy (są całe tutoriale krok po kroku jak to zrobić) i wtedy jesteś panem sam u siebie :)

  16. Zbyt literalnie czytacie ustawę. Dosłowne brzmienie budzi sporo kontrowersji, natomiast czytając komentarze do tej normy, a także jej pierwowzór (art. 6 konwencji o cyberprzestępczości ) dośc łatwo dojśc do wniosku, że mamy tu do czynienia z niechlujnością ustawodawcy, a nie systemowym penalizowaniem dobrych ludzi :)

    Realizując zasadę CYA można zamówić dostawę pliku zahashowanego (np, od jakiegoś CERTU z zagranicy), jeżeli oryginalny dump zawiera hasła.

    • Też mi się tak wydaje bo równie dobrze można to zrozumieć tak:

      “Kto wytwarza […] hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.”

      czyli nielegalne jest ustawianie sobie hasła na Windowsa i/lub sieć WiFi…
      Tak, wiem że to nadinterpretacja, wydziwianie itp…ale to przepis i taką samą swobodną interpretację może obrać przecież sąd, a nam zostanie się z nim szarpać i czekać na zarekwirowany sprzęt…

  17. Facebook Tak zwolnił z powodu Dni Młodzieży w Krakowie że myślałem Firefox ma wirusa .Ładuje się jak stara Lokomotywa.

  18. Podobnie postepuja tez amerykanskie banki – w momencie jak ktorys odkryje ze witryna w ktorej robilem zakupy padla ofiara ataku, przysylaja mi automatycznie nowa karte z informacja ze zaistaniala taka sytuacja. Stara karta jest wazna do momenu aktywacji nowej.

    “We’re letting you know your card may have been part of a compromise at an undisclosed merchant. This doesn’t mean that fraud has or will occur on your account and as always, you are not liable for fraudulent transactions when reported promptly. However, as a precaution, we’re issuing you a new card which will arrive soon.
    You may continue to use your current card until your new card arrives. Once you receive your new card, the old one will no longer be valid. Please activate your new card as soon as you receive it.”

  19. Ostatnio Atlassian przy logowaniu do Bitbucket też zgłosił mi coś podobnego

  20. Bardzo dobra praktyka, teraz będzie łatwiej wyłudzić hasła, akcja na “twoje hasło zostało wykradzione z innej witryny, zmień hasło” i ciach link do podstawionej strony…

    • Przecież nie ma obowiązku stosowania się do wszystkich poleceń jakie widnieją na stronach internetowych. Każdy myślący człowiek waży komu ufa a komu nie oraz na ile wiarygodne są dla niego konkretne strony/serwisy i komunikaty.

    • nie ma obowiązku, ale skoro niebezpiecznik pisze to ludzie będą bardziej skłonni

  21. Przede wszystkim trzeba zwrócić uwagę na bardzo ważną rzecz związaną z rzekomym zakazem pobierania informacji z kradzionych baz danych. Przede wszystkim należy tutaj zauważyć, że zgodnie z Rozdziałem I, Art. 1. §2. Kodeksu Karnego, “nie stanowi przestępstwa czyn zabroniony, którego społeczna szkodliwość jest znikoma”.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.