20:43
24/8/2017

Po brawurowych akcjach policji parę lat temu, długo nie wspominaliśmy o forach internetowych w sieci Tor. Nie było o czym pisać, ponieważ najbardziej aktywni użytkownicy zostali wyłapani. Ale przedwczoraj w nocy, na najpopularniejszym obecnie polskim forum w sieci Tor, Cebulce, użytkownik o nicku hackmachine opublikował interesujący post wraz z paczką zawierającą dane wykradzione z firmy Inpost.

Pozostałości po włamie do sieci inpostu, w paczace takie rzeczy jak:
– baza danych portalu od administracji bezpieczeństwem informacji (o ironio):
* spis pracowników w tym: imię, nazwisko, pesel, seria dokumentu, data rozpoczęcia i zakończenia pracy + numery telefonów i adresy skrzynek e-mail tych ważniejszych
* spis budynków należących do firmy, w tym dokładny opis zabezpieczeń fizycznych
* od zajebania innego gówna
– screen z ustawieniami konsoli do zarządzania paczkomatami (miejsce gdzie przechowywane są dane do paczek)
– dane logowania do dwóch serwerów smtp
Miałem jeszcze dostęp do bramki sms z której można było wysyłać smsy jako paczkomat albo inpost oraz podgląd smsów z informacji do odbioru paczki, ale został już sprzedany. Nie gwarantuję aktualności powyższych danych z racji tego, że włam miał miejsce lekko ponad miesiąc temu.

I rzeczywiście, jak poinformował nas tajemniczy przyjaciel, pod podanym przez hackmachine linkiem znaleźć można było i dane dostępowe do serwerów SMTP (z silnymi, losowymi hasłami):

…i zrzut z konsoli wewnętrznego inpostowego systemu administracyjnego (co ciekawe, jak udało nam się dowiedzieć, do tego systemu nie mają dostępu wszyscy pracownicy):

Ale zdecydowanie najciekawszym kąskiem, jaki upublicznił hackmachine był ponad 200 megabajtowy plik z bazą danych systemu wspierającego pracę ABI.

Co jest w wykradzionej bazie?

Ustawowo, ABI musi mieć dostęp do pewnych danych, stąd nie dziwi, że w systemie który jest przeznaczony dla administratorów bezpieczeństwa informacji takie dane się znajdują. A są to m.in.:

  • Spis budynków i lokali zajmowanych przez odziały (wraz z informacjami o zabezpieczeniach, np. żaluzje antywłamaniowe, alarm, etc.)
  • Zestawienia kilkudziesięciu tysięcy umów z kontrahentami i partnerami, a także pism od organów ścigania (policji, ABW, CBŚ, straży granicznej, itp.) z różnymi prośbami związanymi z konkretnymi przesyłkami:

  • Nazwiska, e-maile i hasła i adresy IP ponad 1000 pracowników punktu obsługi klienta
  • E-maile i hasła (jawnym tekstem) kilkuset osób pracujących bankach, a mających konta w różnych systemach Inpostu, niektórzy z bardzo prostymi hasłami:

  • Dane na temat ponad 57 000 pracownikow Inpostu:

    Jak widać na tym screenie, w bazie znajdują się rekordy wskazujące na ostatnie logowanie przez sieć Tor z 2 node’ów (zaznaczone na czerwono). Czyżby to ślady zostawione przez włamywacza?

Co do pracowników, tabela pozwala na umieszczenie następujących typów danych:

    imię i nazwisko
    stanowisko
    data zatrudnienia i zwolnienia
    upoważnienia
    typ umowy
    numer dokumentu (dowodu)
    PESEL
    adres zameldowania
    telefon
    e-mail
    dostęp do zbiorów i rejestrów
    data ostatniego logowania
    data ostatniego IP

Ale nie każdy pracownik ma uzupełnione wszystkie dane (brak PESEL-ów i adresów).

Warto zauważyć, że logi w niektórych tabelach kończą się 3 lipca 2017 (ten sam dzień co logowania z sieci Tor odłożone w logach bazy), a więc najprawdopodobniej z tego dnia pochodzi zrzut.

Niewiele wiadomo na temat tego jak hackmachine pozyskał tę bazę, ale biorąc pod uwagę nasze ustalenia (że jest to system dla niektórych pracowników i że dostęp do niego nie jest publiczny) można przypuszczać, że hackmachine musiał najpierw dostać się na komputer upoważnionego użytkownika. Czy był nim ktoś z komórki ABI, czy jakiś zewnętrzny partner — tego nie wiemy. Phishing dziś działa cuda, a w firmie w której pracuje 50k osób, na pewno znajdzie się ktoś, kto kliknie na “złośliwą fakturę”…

Inną teoria, to — jak zwykle — wyniesienie danych przez pracownika, który miał do nich dostęp. To się dzieje. Kolejny post na Cebulce pod wątkiem o Inpoście dotyczy właśnie takiej sytuacji, choć z innej firmy:

Kilka lat temu opisywaliśmy realizowaną w ten sposób sprzedaż danych klientów UPC.

Korzystam z Paczkomatów — co robić, jak żyć?

Pierwszy raz w tej sekcji mamy dobre informacje. Ten atak nie miał wpływu na użytkowników Paczkomatów, a na pracowników firmy Inpost. Jako odbiorca przesyłek w Paczkomatach, nic Ci nie grozi. Choć niepokojące jest jedno zdanie w poście włamywacza:

Miałem jeszcze dostęp do bramki sms (…) oraz podgląd smsów z informacji do odbioru paczki, ale został już sprzedany.

To sugeruje, że część z osób mogła zamiast swojej przesyłki w paczkomacie zobaczyć cegłę. Osoba, której włamywacz rzekomo sprzedał dostęp do podglądu SMS-ów dysponowała bowiem wszystkimi informacjami, które pozwalały odebrać czyjąś paczkę. W ostatnich tygodniach nikt nie zgłaszał nam jednak, że zamiast swojej przesyłki w paczkomacie zastał pustą przegródkę, a więc nie spodziewamy się, że kradzieże przesyłek — jeśli w ogóle występowały — dotyczyły wielu osób.

Co na to Inpost?

Kiedy skontaktowaliśmy się z Wojciechem Kądziołką z Inpostu w tej sprawie, firma była świadoma incydentu i błyskawicznie przesłała nam oświadczenie o następującej treści:

Opisywana sprawa dotyczy incydentu z zakresu bezpieczeństwa danych naszych pracowników z połowy ubiegłego miesiąca. Co ważne, bezpieczeństwo danych naszych klientów nie zostało w jakikolwiek sposób naruszone. Incydent ten został zgłoszony na Policję, obecnie prowadzone jest śledztwo w sprawie podejrzenia popełnienia przestępstwa więc o szczegółach nie możemy informować. Dział Bezpieczeństwa InPost niezwłocznie podjął odpowiednie działania zabezpieczające.

Wiemy, że jeszcze przed publikacją przez hackmachine danych na Cebulce, sprawa była już przez Inpost analizowana i zgłoszona organom ścigania. To sugeruje, że albo Inpost wcześniej zauważył incydent samodzielnie, albo hackmachine po udanym włamaniu próbował szantażować firmę, ale niczego nie wskórał.

Wiemy także, że Inpost dziś rano poinformował pracowników o incydencie i przekazał wyczerpujące oraz zgodne z prawdą informacje na jego temat. Pracownicy otrzymali też instrukcje, co należy zrobić ze względu na to, że ich numer dowodu został ujawniony. Firma zobowiązała się także do pokrycia kosztów wykonania nowych zdjęć do dowodu. Ataki i incydenty się zdarzają. Różnie na nie firmy reagują, ale reakcja Inpostu czyli brak chowania głowy w piasek i chęć wsparcia pracowników — co rzadko zdarza nam się pisać — wygląda na wzorową.

Jeśli jesteś pracownikiem Inpostu i zastanawiasz się czy dowód warto wymienić, to miej świadomość, że przestępca i wszyscy, którzy pobrali bazę Inpostu poprzez link udostępniony na Cebulce, mają dostęp do twojego nazwiska, numeru dowodu i firmowego adresu e-mail. Ale, wbrew temu co można wnioskować z posta hackmachine, niekoniecznie PESEL-u, bo nie przy każdym z pracowników został on podany. W naszej ocenie, ciężko jest na podstawie tych danych wykonać taką kopię dowodu osobistego pracownika, która naraziłaby go na problemy w związku np. z zaciągnięciem przez kogoś chwilówki (do tego potrzebny jest jeszcze PESEL i adres, a czasem dodatkowe informacje). Nie jest to oczywiście niemożliwe, ale naprawdę, przestępcy mają łatwiejsze metody zdobycia kompletu danych pod chwilówkę niż parsowanie baz Inpostu. Oczywiście, jeśli jest szansa na wymianę dowodu na czyjś koszt, to zawsze warto to zrobić — zwłaszcza jeśli “pokazywało się go” także innym firmom, które mogą go obecnie przechowywać w szerszym zakresie niż Inpost (np. jako kopię, por. Tysiące skanów dokumentów Polaków jest publicznie dostępnych oraz Kiedy można skserować Ci dowód?).

Naszym zdaniem większe powody do obaw powinni mieć zewnętrzni partnerzy Inpostu, w tym pracownicy praktycznie wszystkich banków, którzy z jakiegoś powodu widnieli w bazie z hasłami (zapisanymi jawnym tekstem). Jeśli z tych samych haseł — lub algorytmu ich konstruowania — korzystają w innych miejscach (może w systemach swoich banków), to ktoś może próbować przejąć ich dostępy. Tego typu bazy to także źródło cennych informacji wspomagających ataki spear phishing. Dlatego każdy kogo dane przetwarzał Inpost, powinien wzmóc swoją czujność pod tym kątem. Dobry opis mechaniki tego typu ataków, wraz z poradami co robić, aby się przed nimi ochronić znajdziecie w naszym artykule pt. Każdy użytkownik GMaila powinien się zapoznać z tym atakiem.

PS. Jeśli na przestrzeni ostatniego miesiąca zamówiłeś coś do Paczkomatu i przy odbiorze nie zastałeś swojej paczki, daj nam znać.


Aktualizacja 25.08.2017, 08:16
Jedna z nadesłanych przez czytelników historii, raczej nie związana z incydentem, ale pokazująca, że operator paczkomatu może zdalnie otworzyć paczkomat — wyobrażacie sobie sytuację, w której atakujący pisze skrypt otwierający w tej samej chwili wszystkie paczkomaty w Polsce?

Przedwczoraj odbierałem paczkę z paczkomatu przy dworcu PKP w Lublinie. I zastałem tam dziwną sytuację. Gdy przyszedłem odebrać, to właśnie był pan z firmy zewnętrznej dostarczającej paczki. I z telefonem przy uchu szukał jakiejś paczki. A co chwila otwierały się różne skrytki. To zdalnie musiał otwierać ten z drugiej strony jego słuchawki. Stałem tam z pół godziny czekając, aż będę mógł odebrać swoją. W międzyczasie jeszcze ktoś przyszedł po paczkę. I okazało się, że skrytka jest pusta. No to ten od paczek znowu zadzwonił i od nowa zaczęły się otwierać skrytki. Paczka tego gościa znalazła się w innej skrytce. Wreszcie się doczekałem. Moja była na szczęście na miejscu, ale po odebraniu jeszcze kilkakrotnie skrytka się otwierała. Wczoraj dostałem wiadomość, że moja paczka jeszcze na mnie czeka. A przecież już ją odebrałem. Dzisiaj zadzwoniła do mnie pani z InPostu, czy odebrałem paczkę i czy wszystko w porządku.

Dodatkowo, w ramach tej aktualizacji w tekście dopisano jeszcze jeden możliwy wektor ataku — sabotaż pracownika.


Aktualizacja 25.08.2017, 08:37
Wiadomość od innego Czytelnika, która sugerować może świadomość incydentu przez Inpost na długo przed publikacją bazy na Cebulce:

Ostatnimi czasy “mniej więcej” od połowy lipca (dokładnej daty nie jestem w stanie określić) ale jest zbliżona do przytoczonego w artykule ‘3 lipca 2017’ na jeden z moich adresów IP przestały odpowiadać wszystkie możliwe serwery powiązane z domenami należącymi do InPost.
Przez pierwszy dzień myślałem że awaria ale gdy wciąż nie działało sprawdziłem z ciekawości z innych dostępnych mi łącz/adresów… i boom, wszystko działa jak w zegarku. Chwila zastanowienia i wiem, … [mój] adres hostuje router sieci TOR.
Czyżby InPost przestraszył się i wyciął wszystkie adresy z listingów sieci Tor ?
Czyżby to właśnie oznaczało zdanie “Dział Bezpieczeństwa InPost niezwłocznie podjął odpowiednie działania zabezpieczające.”
Tak na marginesie to w bardzo nieładny sposób ponieważ nie odfiltrowali ‘exit nodów’ tylko polecieli po wszystkich i odcięli również mój niegroźny (jedynie relay).

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

42 komentarzy

Dodaj komentarz
  1. Z racji tego ze jestem pierwszy to poprosze o wiecej podcastow bo nie mam czego w robocie sluchac a ruskie techno dla nieslyszacych jest juz nudne

    • Przesłuchaj te które mamy jeszcze raz, ale od tyłu, są tam ukryte tajne informacje :)

  2. Raczej nie ma opcji “niezastania swojej paczki” – InPost wysyła maila w momencie odbioru, więc od razu wiadomo, że coś nie tak.

    • To zależy jak działa to zdalne otwieranie skrytek. Jeśli tylko je otwiera, to system może myśleć że ma paczkę dla adresata… i adresat też tak będzie myślał aż zobaczy pustą skrytkę.
      Co innego jeśli ktoś wykradnie/podsłucha kody z maili/smsów. Wtedy wykonuje akcję jak prawowity odbiorca i pEwnie nie da rady uniknąć powiadomienia prawowitego odbiory że właśnie został okradziony. Co niewiele zmienia… no chyba że odbiorcą jest strażnik z parkingu przy którym jest paczkomat – on ma jeszcze wtedy szansę dopaść amatora cudzej własności.

    • Paczkomaty są obsługiwane przez Windows Embedded. Gdy pracownik łączy się zdalnie z urządzeniem może otwierać dowolne skrytki bez wysyłania powiadomienia o odebranej paczce.

  3. Czy to w ogóle możliwe by zastać cegłę zamiast paczki? Jeśli ktoś odbierze moja paczkę to dostaje emaila i smsa i podejrzewam, że nie otworze ponownie skrytki w paczkomacie…

    • miałem niedawno taką sytuację, że żona odebrała paczkę z paczkomatu a chwilę potem wyświetliło jej smsa że paczka czeka na odbiór. Poszedłem więc do paczkomatu otworzyłem ponownie (może czegoś zapomniała), a tam pustka.

  4. I to jest solidna firma. Dane pracowników wyciekły, ale klientów już nie. Netia mogłaby brać przykład.

    • Moze dane klientow opchnal wczesniej albo ‘zabezpieczyl’ dla siebie?

  5. Dodam tylko że dane do otwarcia skrytki wygasają od rasu po pierwszym użyciu.

    • Mając dostęp do panelu administracyjnego może zalogować się do danego paczkomatu i zdalnie otwierać skrytki po kolei. Miałem tak w przypadku gdy podczas odbioru paczki przyjęło mi kod, a skrytka nie “odbiła” bo nie była przesmarowana. Pan wtedy na infolinii zalogował się do paczkomatu i powiedział mi dokładnie które skrytki będzie otwierał – najpierw jedną “testowo”, póżniej już tą właściwą, z moją paczuchą.

  6. Wzorowa reakcja? Chyba daliście się ugłaskać jakimiś PR-owymi oświadczeniami. Absolutnie żadna z tych reakcji o których piszecie nie odbyła się z inicjatywy InPostu, a po wyraźnych żądaniach oburzonych pracowników, których dane hulają po Internecie od 1,5 miesiąca, a spółka która o włamaniu wiedziała – nie miała nawet przygotowanego oświadczenia na tę okazję licząc chyba, że sprawa nie wyjdzie publicznie. I chyba dobrze się stało, że te dane na tym forum wylądowały – dzięki temu pracownicy mają szanse przynajmniej jakoś zareagować.

  7. skąd tam pracownicy tych banków się wzieli? to zgodne z prawem?

  8. Trzeba znać adres, żeby wziąć chwilówkę na czyjś dowód? Przecież na obecnych dowodach nie ma podanego adresu.

  9. Niecałe 3 lata temu byłem pracownikiem tej firmy. Jestem zaniepokojony, że moje dane prawdopodobnie gdzieś teraz latają po necie. Jak mogę sprawdzić czy na pewno tak się stało i jakie środki zaradcze mogę podjąć? Zmienić dowód, zastrzec gdzieś aktualny numer?

    • Jeśli Twoje dane wyciekły, to inPost ma obowiązek Cię poinformować.
      Czy go dotrzymają to inna sprawa, ale warto się z nimi skontaktować.

    • jest tylko jedna osoba zdolna zrobic ten wlam.
      o kurde, wlasnie sie zorientowalem, ze mam flaka z tylu, musze napompowac kolo w moim onyksie

  10. Z nimi nie ma żadnego kontaktu. Mają to w dupie.

  11. Na mój pieski nos zastanowiłbym się komu na odcisk nacisnął ABI.

    @Marcin
    ADO nie ma obowiązku kogokolwiek informować o wycieku danych (w świetle UODO; wraz z RODO to się zmieni). Wyjątek stanowią telekomy – te zobowiązane są informować nadzór o incydentach.

  12. Ciekawe czy gdyby do włamania doszło z puli adresów clearnet to wycięliby cały internet czy tylko adresy z których doszło do włamania. Analizując logikę a raczej jej brak w przypadku zablokowania ruchu z sieci Tor to powinni zablokować wtedy cały Internet! Byłoby bezpieczniej.

  13. Zaniepokojeni wyciekiem swoich danych podobno mogę pisać z zapytaniem na adres: abi@inpost.pl.
    Co do kwestii zdalnego otwarcia skrytki to oczywiście jest taka możliwość – chyba to nikogo nie dziwi.
    A co do reakcji: “wzorowa”? Serio? Wręcz karygodna. Przecież firma wiedziała o wycieku, ukrywała to i nie poinformowała nawet własnych aktualnych pracowników, aby mogli zareagować, bo myśleli że sprawa może nie wyjdzie i wszystko uda się zamieść pod dywan – pomylili się i “podstęp” wyszedł na jaw.

    • Napisałem a podany adres prośbę o zweryfikowanie czy moje dane i w jakim zakresie zostały wykradzione. Odpowiedź nadeszła wręcz błyskawicznie. Pan z którym korespondowałem wykazał się profesjonalizmem. Kontakt perfekt. Chętnie podał bym jego nazwisko, ale sami wiecie. W moim przypadku wyciekły imię i nazwisko, stanowisko, daty zatrudnienia i nr dowodu, całe szczęście już nieaktualny, w międzyczasie wymieniłem.

  14. Kolejna historia o tym, że ktoś poznał mój PESEL i numer dowodu osobistego, więc sytuacja jest beznadziejna, bo dowód mogę zmienić, ale PESELu już nie.

    A wszystko dlatego, że jakaś firma od chwilówek albo bank może na te dane udzielić kredytu jakiemuś oszustowi. I to jest chore! Czytam komentarze o konieczności zwiększeniu kar za niedostateczne zabezpieczenie danych osobowych i radość, że UE nowym rozporządzeniem to dopiero da/dała popalić tym, u których zdarzył się wyciek…

    Dziwne, że nikogo nie oburza to, że istniejące prawo nie nakłada na bank lub firmę pożyczkową takiego udokumentowania przyznanego kredytu, by było to dla każdego sądu jednoznacznym dowodem, a wszystkie niejasności powinny być interpretowane na korzyść „kredytobiorcy”. Że zdarzałyby się wtedy szwindle kredytowe? Nie moja sprawa tylko banku. Że bank zaostrzyłby kryteria przyznawania kredytów wymagając się podpisu umowy kredytowej krwią (DNA) w obecności 10 świadków i trzech kamerzystów, itp… To też nie moja sprawa, tylko banku i chętnych do wzięcia kredytu. Ja mógłbym wtedy założyć sobie konto na fejsbooku i jako zdjęcie profilowe dać skan mojego dowodu osobistego. Że ktoś mógłby wykorzystać zawarty tam PESEL do złożenia za mnie fałszywej deklaracji podatkowej? Znów – kto powiedział, że to dobre i jedyne rozwiązanie?

    Ochrona danych osobowych to w 90% bzdura i mydlenie oczu.

    • @Milton

      Zgadzam się z tym, zaostrzanie przepisów o ochronie danych to “rozwiązywanie” problemu od końca

    • Ulicą szedł facet w koszulce z logo znanego banku. Wpłaciłem mu 20 kPLN a on dał mi balonik z logo banku. Teraz bank nie chce wypłacić mi gotówki. Chyba wystawie Kliencki Nakaz Płatniczy – niech im komornik zajmie siedzibę. – Czy dostrzegasz, że problemem jest tu niezwykłe uprzywilejowanie prawne pewnych podmiotów i całkowity brak równowagi uprawnień stron, a nie samo “poszanowanie danych osobowych”? Wystarczyłoby równe traktowanie przez prawo, i takich historii by nie było.

  15. Jako byly pracownik INTEGER ktore swiadczy wsparcie IT dla Inpostu nie dziwie sie ze stalo sie to co sie stalo. W dziale IT nie ma ludzi do pracy a ci co sa zaraz odejda gdyz warunki pracy (niskie zarobki, brak szkolen, decyzje zarzadu) i niedofinansowany dzial skutecznie zniechecaja do dalszej pracy w tej firmie.

  16. Robi na mnie duże wrażenie liczba 57000 pracowników – średnia przetrwania (okresu zatrudnienia / kontraktu) w tej firmie nie wygląda na szczególnie długą

    • Zauważ, że większość na umowy śmieciowe. I to zapewne krótkie. Co nowa umowa na tą samą osobę to nowy rekord – wtedy ta cyfra ma sens.

  17. Ziew… Ale jestescie szybcy i wsciekli… Sprawa byla omawiana na innych portalach (tylko posrednio zwiazanych z bezpieczenstwem) ponad tydzien temu.
    Kolejna sprawa – jakos nie widze akcji powiadamiania tych dziesiatkow tysiecy osob z listy i firm wspolpracujacych. Nie pamietam tez aby zlozyli ‘niezwlocznie’ info do stosownych instytucji. A ABI to pewnie pojechal wczesniej na urlop…

  18. Pracowałem w firmie, w której pojawił się wyciek danych. Przez 1,5 miesiąca dane krążyły po sieci, przez ten czas dyrekcja nie fatygowała się informować osób, których dane wyciekły. Pracownicy oraz współpracownicy dowiedzieli się o całej sprawie z Internetu, żenujące ! Spółka tłumaczy się, że zarząd dla dobra śledztwa, zabronił informować ludzi o tym, co się stało z ich danymi. Szok. Odnosząc się do komentarzy, owszem, słabe zabezpieczenia i brak wykwalifikowanej kadry, umożliwiają odebranie cegły z paczkomatu (dokładnego procesu nie chcę omawiać dla dobra firmy). Mogę tylko napisać tyle, nie zdajecie sobie sprawy drodzy Państwo, z jakimi systemami muszą pracować admini (distro i wersje tych dystrybucji), nie zdajecie sobie sprawy jaki kameleon jest po stronie sieciowej, ostatecznie jaki burdel jest w aplikacjach pisanych dla klientów InPost. Są plany, duuuuże plany, ale gówno z tych planów, skoro firma nie staje na wysokości zadania, tracąc ludzi, którzy są już wdrożeni i liczą na większy zarobek, na lepszą jakość pracy, lepsze warunki. Ostatnio modny temat w firmie, automatyzacja ! Jakiś koleś jeden z drugim, wpadli na pomysł zautomatyzowania środowisk (bez zbędnych szczegółów), wszystko super, tylko co 6h kończy się miejsce na dyskach, osoby odpowiedzialne kasują pliki ręcznie zwalniając reszkę wolnej przestrzeni :D Teraz już rozumiecie co się tam dzieje ? Na kilka aplikacji przypada jeden tester, najwyraźniej osoba odpowiedzialna za dział testów nie jest w stanie prowadzić tego kramu. W dziale aplikacji .. … nawet nie chcę nic pisać, szkoda klawiatury. Firma sama w sobie nie jest zła, ale osoby odpowiedzialne za proces, wyglądają na takie, które nie mają pojęcia co robią, to wszystko doprowadziło prawdopodobnie do omawianego w artykule incydentu, prowadzić będzie w dalszym ciągu do kolejnych incydentów, jeśli ktoś mądry nie weźmie się za przebudowę systemów, aplikacji, hardware, a co najważniejsze, nie da pracownikom oraz współpracownikom lepszego miejsca pracy. Na koniec chciałbym odnieść się do wystawienia na widok publiczny danych wrażliwych, osób pracujących i współpracujących z firmą lub spółkami Integera. Wystawienie tych informacji na widok publiczny nie jest ciosem wyłącznie w firmę, jest przede wszystkim ogromnym problemem dla wszystkich osób pracujących w firmie, szkoda, że matołek, który to zrobił, nie pomyślał o tym wcześniej, widocznie ludzie ambitni, posiadający umiejętności, również mają problemy z myśleniem. Pozdrawiam.

    • Piszesz takie głupoty, że głowa boli. Widać, że nic nie wiesz co się dzieje aktualnie w firmie. Może pracowałeś lata temu, dużo się zmieniło w ostatnich miesiąc. Piszesz o sprawach o których nie masz pojęcia. To smutne, bo teraz ktoś może przeczytać Twój komentarz i w to uwierzyć bo przecież kiedys pracowałeś w tej firmie…

    • @Farmazony Łubu dubu, łubudubu niech nam żyje prezes naszego klubu!

  19. Kilka miesięcy temu firma borykała się z ogromnymi problemami finansowymi, groziło jej bankructwo, pracownicy nie otrzymywali wynagrodzeń na czas. Farmazony to jest to o czym ty piszesz. Prawdopodobnie jesteś tyłkowłazem jakiegoś pożal się Boże dyrektorzyny :-)

  20. Bezpieczeństwo…. :D
    No tak ABI musi mieć dostęp do danych :D
    Musi mieć bazę… :D
    A kto kontroluje bezpieczeństwo ABI?
    KE powinna szybko wydać dyrektywę która nakazywała by każdej firmie posiadać 10 ABI którzy by się kaskadowo kontrolowali. Wszyscy by mieli dostęp do baz, informacji o zabezpieczeniach i wielu innych danych…

    Jak pokazują kolejne wtopy to nie działa.
    Nowa cudna dyrektywa też nie będzie działać bo biurokracja rodzi zagrożenia a nie redukuje ich. dodatkowym problemem jest to że zabezpieczanie wymaga wiedzy. A kolejni ABI i inne skróty generują silny niedobór fachowców. I na te stanowiska z zasady idą ludzie bez pojęcia czasem po jakimś kursie który gówno warta.

    A teraz pytanie do sznaownej redakcji….

    “znaleźć można było i dane dostępowe do serwerów SMTP (z silnymi, losowymi hasłami):”
    Co stanowiło o ich sile….
    Wątpliwa losowość? Wielokrotnie się przekonaliśmy że losowe jest słabe bo trzeba zapisać… A jak już się je łamie to w sumie robi to komputer i mu wszystko jedno czy losowe czy nie.

    Więc co stanowi o sile tych haseł?
    To że było zapisane w jakiejś bazie :D:D:D:D:D:D
    No ale przecież ABI musiał mieć dostęp…

    Bezpieczeństwo to niejawność. Bezpieczeństwo to minimalizm.
    A my obrastamy w kaskadowe systemy do kontroli do raportowania do analizy do….
    Każdy z nich jest podatny każdy jest przerośnięty i musi mieć błędy które czekają na odkrycie.

  21. Problem nie jest tylko w tym, że dane wyciekły. Problem jest też w tym, że nasze Państwo nie chroni obywatela przed użyciem tych danych. Wystarczy prosty mechanizm informowania na maila lub telefon o zawarciu umowy, aby zlikwidować wiele problemów.

  22. @Farmazony – mam rozumieć że nagle wszyscy dostali umowę o pracę na pełną kwotę?
    Firma pisała do pracowników na B2B że wypłata będzie za tydzień, a potem i tak kasy nie było. A zus i podatek to się sam zapłaci hehe.

  23. Wrzuci ktos ta baze na chomika albo torrent i poda link?

    • Też bym prosił o upload.

  24. Potwierdzam #Aktualizację 1; Jak zawiesił się (i nie chciał do końca uruchomić poprawnie) jeden z Paczkomatów w Gli..cach po śnieżycy i ulewach… to przy rozmowie z HelpDesk’iem (numer tel. na Paczkomacie, w razie problemów), Pan zasugerował, że może mi otworzyć zdalnie drzwiczki, jeśli podam mu dane, które przychodzą w SMSie – to był z 2 lata temu.

  25. Szkoda tylko że tyle osób z IT rekomendowało zrobienie porządku z tym cudownym portalem wewnątrz organizacji i w końcu musiało się coś stać skoro abi ze swoim dostawcą taką świetną aplikację napisali – hasła plain textem – brawo. Panowie z niebezpiecznika – świetny spOnsorowany artykuł, stąd zapewne opóźnienie wobec innych portali – pewnie nadal na kuponach?

  26. Pracuję w firmie ZPAS, która zajmuje się produkcją paczkomatów dla Inpostu. Mogę was zapewnić, że nie ma możliwości zdalnego otworzenia paczkomatu. Zdarza się natomiast, że skrytki się zacinają, widnieją jako otwarte, pomimo że są fizycznie zamknięte. Helpdesk może jedynie je zamknąć w systemie i zresetować licznik.

    • Niestety muszę podważyć Twoje zapewnienia – 2 miesiące temu paczkomat z którego miałem odebrać przesyłkę wyświetlał komunikat z błędem (nie pamiętam już jakim) i nie dało się z niego skorzystać. Telefon do InPostu, zrestartowali system paczkomatu, ten sam błąd. Po podaniu danych z SMS skrytka została zdalnie otwarta, paczkę odebrałem, a paczkomat nadal wyświetlał ten sam błąd.

Odpowiadasz na komentarz hoek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: