20:55
23/4/2020

Włamanie? Hakerzy? Nie… błąd administratora serwera. Co ciekawe, prokuratura już tego administratora zatrzymała. Grozi mu do 5 lat pozbawienia wolności. Ostro! Czy nie za ostro? — zadają sobie pytanie niektórzy.

Do więzienia za brak .htaccess na serwerze?

Prokuratura Regionalna w Lublinie poinformowała wczoraj o zatrzymaniu Krzysztofa J., pracownika spółki zewnętrznej, która na drodze przetargu świadczyła usługi utrzymania serwerów dla KSSIP. To przez niego, wedle pokuratury, doszło do wycieku bazy zawierającej dane osobowe 50 000 pracowników wymiaru sprawiedliwości, który niedawno opisywaliśmy.

Jak pisze PK:

Krzysztof J. w trakcie migracji danych szkoły na nową platformę utworzył katalog, do którego przeniósł dane osobowe pracowników wymiaru sprawiedliwości, zapisane w systemie informatycznym KSSiP. Następnie katalogowi nadał uprawnienia publiczne, tzn. umożliwił pobranie danych z katalogu dowolnej osobie, mającej dostęp do internetu. Pliki te zostały pobrane przez dotychczas nieustalone osoby i zamieszczone w serwisach internetowych.

Czyli, jeśli dobrze rozumiemy, Pan Krzysztof, zamiast przerzucić pliki bezpiecznym protokołem z jednego serwera na drugi, ułatwił sobie sprawę, wystawiając je przez HTTP. Dane ze starego serwera “wgetnął” na nowy, ale zapomniał (?) je skasować ze starego. Dlaczego? Może myślał, że nazwa katalogu była nieprzewidywalna i to wystarczy jako zabezpieczenie, może działał w pośpiechu?

Niestety, prawdopodobnie roboty Google nazwę “przewidziały”. A raczej albo automatycznie pozyskały (przez generowaną sitemapę serwera) albo zdobyły przez przechwycenie linku ze swoich modułów osadzonych na serwerze (AdSense, Analytics), ew. podesłał im go jakiś system generowania podglądu w komunikatorze, którym z jednej maszyny na drugą Krzysztof J. przesłał sobie URL-a. Katalog mógł być też przewidywalny i odwiedzony na siłę prze osobę która pobrała bazę (np. /backup, /old, etc.).

Możliwości różnych wpadek w tym zakresie jest naprawdę sporo. O wielu z nich mówimy na naszym szkoleniu z “Atakowania i Ochrony Webaplikacji”, teraz także w wersji online!

Prokuratura zapewne ma logi z serwera i skoro ustaliła sprawcę, to i to jak po raz pierwszy pobrano dane będzie w stanie odtworzyć.

Jeśli plik został zindeksowany, to pewnie dość szybko ktoś go odnalazł Google Dorkiem, którego regularnie puszcza się, aby tego typu przez-przypadek-ujawnione bazy przechwytywać. Jak i dlaczego warto to robić tłumaczymy na naszym szkoleniu z OSINT-u, czyli pozyskiwania informacji na temat firm i osób z tych publicznie (i nie do końca publicznie) dostępnych źródeł, także w wersji “przez internet” :)

To nie pierwszy taki incydent

Dokładnie tak samo ciała dał jakiś pracownik banku PKO BP, a w zasadzie dwóch. Najpierw jeden z nich umożliwił pobranie dziesiątek tysięcy CV pełnych danych osobowych, a potem drugi — w kolejnym incydencie — umożliwił pobranie danych tysięcy dłużników. Kilka lat temu, ówczesny rzecznik prasowy PKO BP tłumaczył tę wpadkę tzw. “głębokim ukryciem“, terminem tak naiwnym i zabawnym, że doczekał się wpisu w Wikipedii jako przykład niekompetencji.

Sposób wycieku danych z KSSIP, to nie pierwszy tego typu incydent, ale pierwsza tak ostra reakcja prokuratury. Nie znamy sprawy, ale ciężko nam uwierzyć, że administrator taką konfigurację zrobił celowo, aby dane “wyciec”. Raczej był to przypadek przy pracy i wynik braku jego umiejętności, przeoczenie lub chęć podążenia na skróty. Niech pierwszy rzuci kamieniem, kto danych z jednego serwera na drugi nie przewalał bez zaszyfrowania, “bo kto by to tam zauważył”.

Czy prokuratura nie przesadziła z reakcją?

Czy konieczne było “aż” zatrzymanie? To pytanie zadaje sobie w różnych miejscach w internecie wielu administratorów i devopsów.

Rzeczywiście, reakcja prokuratury w tym przypadku jest chyba mocniejsza niż w innych tego typu sprawach. Ale i dane, które wyciekły bezpośrednio dotyczą prokuratorów, pewnie wielu także z Lublina. W zasadzie tak to powinno zawsze wyglądać, ale… czy nie lepiej byłoby pochwalić się zatrzymaniem tego, który bazę pobrał? Może i to nastąpi niebawem. Prokuratura oświadczyła, że “śledztwo jest rozwojowe i nie wyklucza zatrzymania kolejnych podejrzanych.”

PS. Zastanawia nas, czy któryś z polskich prokuratorów kupował coś w Cyfrowe.pl lub prąd dostarcza mu firma Fortum. Może wtedy i w tych sprawach równie szybko namierzeni zostaną, odpowiednio: sprawca i administrator, który popełnił błąd.

Przeczytaj także:



44 komentarzy

Dodaj komentarz
  1. “zatrzymaniem tego, który bazę pobrał”
    tak mi kiedyś Pani z obsługi wspólnoty powiedziała (parafrazując) “nie popełnia przestępstwa ten, który hasło udostępnia, tylko ten co nieuprawnienie o nie prosi”
    Sytuacja wyglądała tak, że zresetowali hasła dostępowe do e-czynszu. Zadzwoniłem, przedstawiłem się, Pani mi hasło wyrecytowała. Zapytałem, skąd może wiedzieć, że ja to ja bez jakiejś głębszej autoryzacji. No to dostałem odpowiedź.

    • To tak jak z podawaniem publicznie numeru konta – haker może ci po złości przelać pieniądze. Albo zapłacić czynsz!

    • Ta pani poniekąd miała rację. Nie ma jednoznacznie penalizacji braku ochrony haseł. Natomiast kary za niewystarczający poziom ochrony danych osobowych wprowadziło RODO, a dokładnie ustawa z niego wynikająca. No chyba, że uznać hasło za daną osobową, ale to nie jest jednoznacznie jasne obecnie.

    • “Hacker może ci po złości przelać pieniądze”. Pomyślmy, jak można sprawić człowiekowi bardzo dużo problemów przelewając mu anonimowo pieniądze… ;)

    • Na szczęście teraz mamy w końcu RODO. Bo nasze durne karne prawo polskie mówi tak: KK Art. 267. §1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
      §2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

    • “Pomyślmy, jak można sprawić człowiekowi bardzo dużo problemów przelewając mu anonimowo pieniądze… ;)”
      > No nie uwierzysz, ale można. Może to być potraktowane jako pranie pieniędzy – historia zna już przypadki “ogłoszeń o pracę” w której rekrutuje się słupa, który udziela swojego konta bankowego do… przyjmowania wplat, zatrzymuje 30% jako prowizja a reszte wysyla dalej również za granice. Nie ktoś z zewnątrz, ale on sam. Kto zawinil ? wszystkie wplaty realizowane sa gotówkowo w całej Polsce, wiec na blankiecie wplaty możesz wpisac jako nadawce Krolewne Sniezke i każdego z krasnali… i wierz mi to wtedy JEST problem. I tłumaczenie się, ze “chciałem inaczej nie wiedziałem” nic nie zmienia.

  2. Miałem coś podobnego panel admina na stronie ukryty ale było google analitics i plik do exportu do programu księgowego nie miał autoryzacji. Dostęp do panelu admina jedynie był dla mnie i trzeba było wpisać hasło dodatkowo przy wejściu na stronę podwujna autoryzacja whoo 10 lat temu to pewnie wystarczy. Aż pewnego dnia plik w stulu 938838383838727836876873264873268724.php który nie miał autoryzacji pojawił się w google o kurwa tysiące emaili pytań totalny rozpierdol bo Google sobie indexuje co leci. W tym wypadku zapewne wysłał link przez Gmail chata bo o takich przypadkach słyszałem więc zasada nr.1 jebać Google Gmaila Analitics itp bo pewnego dnia możesz skończyć jak ten koleś . Pro TIP

  3. Prokuratura sieje zament, przeciez o ile tego nie zrobil celowo albo nie dzialal sprzecznie z jakimis ustalonymi zasadami, to odpowiada pracodawca. Zwlaszcza, ze zwykly gostek raczej przeciez nie splaci kosztow poszkodowanym…

    Osobiscie, bazujac na opisie sprawy, wyglada mi to na TPKO (Typowego Polskiego Kozla Ofiarnego). Jesli nie bylo jakis specjalnych okolicznosci skazanie go postawi nas 100 lat za najbardziej zacofanymi republikami bananowymi. Tak samo jak mandaty bez prawa odwolania (bo wieloletni proces w ktorym trzeba udowodnic, ze *wszystkie* mandaty wydane zostaly bezpodstawnie raczej sie nie kwalifikuje…) wydawane na podstawie “widzimisie” wladzy. Czy fiskus zajmujacy jaka chce czesc majatku firmy na podstawie podejrzenia.

    Tak nie robi sie nigdzie! z bardzo prostych powodow – takie skorumpowanie podstawowych zasad prawa umozliwia rozpi* panstwa w perzyne przy zaledwie kilku skorumpowanych jednostkach (nie trzeba nawet wywolac duzej ilosci “obrazen” – wystarczy tylko wywolac pozytywne sprzerzenie zwrotne) i trzeba byc naprawde chorym zeby myslec ze sie to ominie…

    • I nie bronie tutaj niekompetencji, ale to bardzo podobnie jakby pozywac gostka z bazaru ktory sprzedal firmie lotniczej za 5 zlotych zamiennik czesci silnika kosztujacej originalnie 5000000, bez zadnych dokumentow, ktora sie rozpadla doprowadzajac do katastrowy.
      1. Gdzie problemem byla osoba dokonujaca zakupu komponentu niespelniajacego wymogow.
      2. Chociazbysmy rozstrzelali sprzedawce nie rozwiaze to tez problemu, bo co stoi na przeszkodzie zeby oszczedzic kolejne 4999995 zlotego (gdzie incentywa jest a konsekwencji zadnych).
      3. Nawet gdyby to byla jego wina, to prawidlowym ciagiem postepowania bylo by oskarzenie firmy a potem na jego podstawie wyciaganie konsekwencji wobec pracownika.
      4. Etc. etc.

      Skutek? Koziolek zostaje poswiecony. Faktycznie winni nie ponosza konsekwencji. Wyciek sie powtarza (oczywiscie, przeciez Koziolek go nie warunkowal). Koziolek zostaje poswiecony. Faktycznie winni nie ponosza konsekwencji. Wyciek sie powtarza (oczywiscie, przeciez Koziolek go nie warunkowal). Koziolek zostaje poswiecony. Faktycznie winni nie ponosza konsekwencji. Wyciek sie powtarza (oczywiscie, przeciez Koziolek go nie warunkowal). Koziolek zostaje poswiecony. Faktycznie winni nie ponosza konsekwencji. Wyciek sie powtarza (oczywiscie, przeciez Koziolek go nie warunkowal). Koziolek zostaje poswiecony. Faktycznie winni nie ponosza konsekwencji. Wyciek sie powtarza (oczywiscie, przeciez Koziolek go nie warunkowal). Koziolek zostaje poswiecony. Faktycznie winni nie ponosza konsekwencji. Wyciek sie powtarza (oczywiscie, przeciez Koziolek go nie warunkowal)…

      I cykl “wpadek” mozna kontynuowac az wypala sie ostatnie gwiazdy, przy kazdym cyklu *de facto.: nagradzajac winnych (oszczednosciami, pozycja zbyt wysoka wzgledem kompetencji, etc.)*.

    • Spokojnie, przecież gość został tylko zatrzymany. On nie miał pojęcia co robi, oni zatrzymali nie tego co trzeba, a koniec końców nikogo nie wsadzą. Czyli norma.

    • @Tfff
      Tylko, ze jak juz go zwolnia (zanim to sie stanie) koles pewnie bedzie mogl sobie dopisac do umiejetnosci w CV:
      rectal yodeling…

    • Nieumyślne popełnienie przestępstwa to też przestępstwo. Za nieumyślne zabicie kogoś też można trafić do więzienia – nawet jeżeli się zabiło kogoś w trakcie pełnienia obowiązków służbowych (np. w ramach wypadku na budowie). Pracodawca miałby odpowiadać za pracownika przestępce? Tylko gdyby prowadził mafię ;) Okolicznością zaostrzającą wymiar kary będzie rażące niedbalstwo podejrzanego, które w tym przypadku miało ewidentnie miejsce.

    • @NCC1701D
      Ale jakie przestepstwo? Skopiowanie pliku (w ramach swoich obowiazkow) i nadanie mu jakichs wlasciwosci (w ramach swoich obowiazkow) to przestepstwo?

      Ktos chce zabezpieczyc bankowy sejf, wynajmuje firme ktora za cene systemu zabezpieczen ktory mozna zobaczyc w ktoryms z filmow “Mission Impossible” sprzedaje mu drewniany skobelek – a potem w razie kradzierzy zwala wine na skobelkowego strugacza a ty uwazarz ze to ma sens, zarowno z punktu widzenia odpowiedzialnosci jak i przeciwdzialania podobnym sytuacja w przyszlosci?

      I nie mowie ze facet nie zawalil – ale jesli zawalil to do k* nedzy niech napisza jak!!!
      Ja prawie codziennie wykonuje w kuchni nozem ruchy posuwisto-zwrotne (w celach kulinarnych), ale jesli chcesz mnie oskarzyc o morderstwo to trzeba czegos wiecej niz tylko generalnego opisu oblugi noza i pierwszego lepszego trupa…

    • Przedewszystkim, jak jego dzialanie mialo sie do projektu calego przedsiewziescia.
      “bo BYL PROJEKT” taaaaaaak?

  4. Mam mieszane uczucia, reakcja może mocna, ale… może też skończy się zatrudnianie przypadkowych ludzi, tworzenie różnych firm oferujących pseudo usługi, czasami robionych tylko pod konkretny transfer kasy, fundusze UE itp. a na koniec za sterami tam siedzą osoby totalnie przypadkowe, nieprzeszkolone i robiące szkolne błędy. Chyba jednak lepiej, gdyby dopadli pracodawcę i firmę przykładnie ukarali, jako ostrzeżenie dla innych tego typu firm. Albo coś robimy profesjonalne, albo zmiana branży.
    Ale pewnie jak zauważył już ktoś – pewnie tu poszły jakieś układy, firmy nie ruszą, bo pewnie jakiś deal po znajomości, szybko wystawiono kozła ofiarnego, który owszem zawinił, ale umówmy się – nie powinien zostać zatrudniony, jeśli nie dysponował stosownymi umiejętnościami, a za dobór pracowników odpowiada pracodawca. Na kierowcę autobusu nie bierze się daltonisty. A na adminów wskakują często osoby z przypadku.

    • Może gdyby jeszcze lepiej rekrutowali i lepiej płacili. Może też działał pod presją czasu. Dopóki nie usłyszymy jaki wyrok. Dopóty możemy gdybać

  5. Natomiast ciekawi mnie jak to wplynie na koszty zatrudnienia technikow w administracji (gdzie juz teraz najlepszych technikow wysysa sektor prywatny) ~ bo stara zasada: admin dostaje grosze wzgledem wartosci kontraktu ale ryzyko ponosi firma wiec ma ona motywacje zeby bylo wszystko cacy (bezpieczne procedury, testy etc.) chyba wlasnie przestala istniec.

    Patrz tez koncept.: Vicarious Liability “Odpowiedzialność sprawcy za wyrządzoną przez niego szkodę to jedna z podstawowych zasad prawa cywilnego. Na gruncie prawa pracy ciężar odpowiedzialności za błędy zatrudnionego pracownika, będącego sprawcą szkody, ponosi wyłącznie pracodawca.”

    • Odpowiedzialność cywilnoprawną (za niewykonanie umowy, szkody) ponosi pracodawca, ale karną (za popełnienie przestępstwa) – ten kto je popełnił.

      Nie wiem czy i jaki zarzut miałby tutaj postawiony pracownik (niby grozi mu 5 lat, ale za co?). Moim zdaniem to by mogło podpadać pod:
      KK, art. 266. § 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

    • @ZZZ
      Tylko ze z tego co wypisuja na wszystkich portalach, ujeto faceta pod zarzutem wykonywania nozem kilku ruchow posuwisto-zwrotnych…

      Informacja pojawiajaca sie praktycznie we wszystkich notkach prasowych to: “w trakcie testowego migrowania danych szkoły na nowo utworzoną platformę utworzył katalog, do którego przeniósł dane osobowe pracowników wymiaru sprawiedliwości, zapisane w systemie informatycznym KSSiP. Dane te w postaci imienia i nazwiska, adresu mailowego i numeru telefonu pracownicy przekazywali KSSiP w celu uzyskania możliwości dostępu do internetowej platformy szkoleniowej prowadzonej przez uczelnię. Następnie katalogowi Krzysztof J. nadał uprawnienia publiczne”

      Po pierwsze, w testowych migracjach danych wrazliwych generalnie nie stosuje sie faktycznych danych tylko sieczke wygenerowana skryptem, bo takie dane maja same w sobie charakterystyki systemu produkcyjnego. Ale pomijajac juz ta kwestje, pomiedzy “testowego” a “nadał uprawnienia” w czyms co przedstawia sie jako opis przewinienia, pojawiaja sie opis standardowych obowiazkow pracowniczych informatyka “ucharakteryzowany” na kradziez, gdzie przeciez logicznie samo przeniesienie danych bylo jak najbardziej zasadne (testowego, migrowania, nowo platforme, przekazali, umozliwienia dostepu).
      Powinno byc ewentualnie: “nadal katalogowi uprawnienia publiczne” tyle ze to samo w sobie nic nieznaczy, bo to moze oznaczac nawet “read: other” na samym serwerze w niewspoldzielonym katalogu. Moze oznaczac udzial w wewnetrznej sieci firmy, albo szkoly. Ponadto wciaz moglby byc zabezpieczony haslem poniewaz sami napisali ze to katalog jest dostepny publiczne a nie jego zawartosc (patrz analogia: zamykane, publicznie dostepne skrzynki depozytowe). Nie ma tez nic o zlamaniu jakichkolwiek procedur (dokumentacja pracy). A nawet jesli to byla jego wina, facet moglbyc zwyczajnie niekompetentny – tylko przeciez ktos musial mu to zadanie powierzyc.

      Potem pojawia sie masakryczna nadinterpretacja ktora nijak nie wynika z przytoczonych informacji, majaca zapewne zmanipulowac tzw. pospolstwo:
      “tzn. umożliwił pobranie danych z katalogu dowolnej osobie, mającej dostęp do internetu.”
      Dodatkowo zle zredagowana bo zupelnie niepotrzebnie pojawilo sie “dowolna osoba” ktora oznacza wszyskich, gdzie wyjatkow bedzie przeciez niemalo).

      Manipulacia czytajacym. Bzdurne/naciagane zarzuty. Zaciemnianie faktow. To wyglada tak jakby facet byl najzwyklejszym “analfabecko-wiesniackim” (niekompetencja wykonania, bo nawet na moja babcie nieboszczke, od lat dobrych kilku, sam moge zwalic wine za ten wyciek w sposob bardziej przekonujacy) kozlem ofiarnym…

  6. A czemu ten, kto pobrał z otwartego zasobu miałby być karany? To guglową kaszę i webarchive też poślemy do więzienia? Nonsensy. Tylko gość, który tego nie zabezpieczył odpowiada.

    • A temu, że osoba, która ma dostęp do nieuprawnionych danych podlega karze. Tak jak kradzież występuje niezależnie od tego, czy drzwi były zamknięte (z włamaniem), czy nie (bez włamania).
      Inną sprawą jest odpowiedzialność pracownika przed pracodawcą lub pracodawcy przed poszkodowanymi.

    • Należy posłać tego który tę bazę udostępnił ;-)

    • Pobrać mógł. Ale jak się zorientował, że tego nie powinien mieć, to od razu skasować. Nie mówiąc już o puszczaniu tego dalej.

    • Czy baza była dostępna bez zabezpieczeń?

      Czy leżała jawna na wierzchu?

      Czy w jej tekście nie znajdował się zapis, po którym można by rozpoznać, że stanowi treść chronioną?

      Jeżeli na wszystkie te pytania odpowiemy TAK, to jakim cudem osoba, która pozyskała do niej dostęp ma odróżnić te dane od danych CELOWO udostępnionych?

      Analogia do kradzieży przy otwartych drzwiach nie jest prawidłowa. Bliższe temu jest: drzwi były otwarte, człowiek wszedł i poczytał sobie stojące na półce książki po czym wyszedł.

  7. A jest taki Dork na pastebin.com? Co tam ludzie wklejaja… Wystarczy posiedziec i popatrzyc…

  8. Tak sie konczy wystawianie ogloszen na fachowe stanowiska za minimalna krajowa, zeby zatrudnic pociotkow.

  9. Ukrzyżować albo na stos. A tak na poważnie to legislatorzy zrobili dziurę prawną z wyłudzaniem pożyczek ale ścigać należy administratora bo dane osobowe to święty gral nowej religii pod nazwą cyfryzacja. Państwo absurdów.

    RODO to gwóźdź do trumny małych startupow i małych przedsiębiorców. Żeby nie było, że jestem defetystą, jakimś rozwiązaniem jest przeniesienie wszelkich baz danych do niepublicznego internetu, ipv6, vpn, vps, webproxygate.

    • Słusznie kolega zuważył. RODO faktycznie uderza w małe firmy, w zwykłych ludzi utrudniając im życie i karając surowo. (W końcu każde dane kiedyś wyciekną, co trafia do sieci zostaje tam na zawsze a informacja chce być wolna.)
      Natomiast przestępcy i zarabiające na nich banki czy telekomy, które przyjmują dane osobowe bez weryfikacji i pozwalają na zakładanie lewych kont by na tym zarobić śpią spokojnie. RODO powstało by chronić interesy wielkich.

  10. No cóż, nie zapłacił (na przykład Niebezpiecznikowi) za szkolenie, to teraz posiedzi :-)
    Z drugiej strony (o ile przypuszczenia Redakcji są słuszne), to naprawdę dupa a nie admin, scp nie miał?

    Kurde, ja też sknerus jestem, wysłałem żonę na prelekcję Piotra, ale córki nie, no i ktoś ją przekręcił na 100 zł plus VAT.

    • Jak wspomnialem wczesniej, na dobra sprawe nie wiesz jeszcze nawet czy admin faktycznie zawalil, bo to co ujawniono jako zarzut jest mocno naciagane. I pod wzgledem prawnym i technicznym.

      Powiem jak to wyglada z punktu widzenia admina.
      1. Dostajesz zadanie.
      2. Piszesz szefowi, klientowi, urzednikowi ze zadanie to czysty idi*zm i powinno zostac wykonane inaczej (co niestety generuje wiecej kosztow).
      3. Zostaje ci przypieta latka defetysty i tworzyciela problemow, ale zadanie natal masz wykonac i z puntku widzenia prawa nie masz wlasciwego uzasadnienia zeby odmowic – co jest akurat logiczne i wspoldziala z faktem ze to pracodawca odpowiada za ewentualne problemy (odbierajac prawo dodaje rownowarzacy je przywilej (przenosi odpowiedzialnosc)).

      Wiec:
      A. Wykonujesz prace ktora ci powierzono, w sposob w ktory okreslono, ryzyko jest po stronie pracodawcy dlatego/ale to on decyduje.
      B. Jesli to sensowny firma/czlowiek, i sa ku temu jakies powody mozesz (ale moze nie powinienes) poswiecic wlasny czas i pieniadze zeby spelniajac technicznie zalozenia zadania, wykonac je w sposob uniknajacy ryzyka katastrowy. Ale tylko jesli to jest mozliwe.
      Tylko ze w ten sposob psujesz rynek pracy stajesz sie ofiara standardowego (i glupiego) szyderstwa: “bo przeciez firma sie bez tego nie zawali” (glupiego, bo to tak jak z byciem wyjatkowym, to ze kazdy czuje sie wyjatkowy nie oznacza jeszcze, ze osoba myslaca ze jest wyjatkowa sie myli – a niektorzy z ludzi myslacy, ze ich praca jest ktytycznie wazna tez maja racje…).

      Ta sytuacja jest swietnym przykladem typowo polskiego rodzaju moralnej korupcji (reliktu katolickiego/komunizmu ktory za pomoca przemian ustrojowych zostal zmieniony w krwiopijczy kapitalizm, a potem troszke ucywilizowany przez wejscie do uni). A mowie typowo polski, bo jest to cos tak niszczacego, ze zadna z cywilizacji, plemion, narodowosci, etc. ktora go stosowala *nie przetrwala* wiec ciezko pokazywac palcem do kogo sie upodobniamy…
      Dziala to tak:
      Mamy systemy X i Y dotyczacy relacji miedzy podmiotami I i II. Kazdy ma swoje kozysci i wady. Co robi skorumpowana moralnie (na ten sposob) osoba? Wykorzystujac swoja przewage:
      Patrzy na system X – bierze z niego tylko kozysci
      Patrzy na system Y – bierze z niego tylko kozysci
      Tworzy w ten sposob moralna abominacje. Ktora *nie ma prawa* funkcjonowac w zdrowy sposob czy wogole, bo te systemy nie powstaly bez powodu czy z “dobroci serca”.

      To jest tak jak z budowa bunkra przeciwatomowego w smiglowcu. Nie mozesz miec mobilnosci i grubych na 8m scian z zelbetonu. Po prostu ku* nie…

    • “ale zadanie natal masz wykonac i z puntku widzenia prawa nie masz wlasciwego uzasadnienia zeby odmowic”

      Oczywiście że masz prawo odmówić, jak pracodawca każe ci popełnić przestępstwo. A nawet masz taki obowiązek. A już co najmniej w takim wypadku trzeba poprosić o polecenie na piśmie.

      Jakbyś był behapowcem w fabryce, i np. szef by ci kazał zostawić gołe kable na podłodze, albo dziurę w wannie z kwasem, to też byś tak zrobił?

    • @ZZZ
      Podobnie jak juz odpowiedzialem wczesniej, jakie przestepstwo?

      Natomiast, co do:
      “Jakbyś był behapowcem w fabryce, i np. szef by ci kazał zostawić gołe kable na podłodze, albo dziurę w wannie z kwasem, to też byś tak zrobił?”

      Swietny przyklad (naprawde, patrz): kable same w sobie nie sa niebezpieczne, gdyby je podlaczyc do pradu to moze tak (ale “gdyby babcia miala wasy”) ale teraz podlaczone nie sa. Mozna tez sie o nie podknac ale od czego sa oznaczenia – nie mowiac o tym ze moga byc dokladnie na wlasciwym miejscu (podloga w magazynie golych kabli).
      Dziura w wannie z kwasem tez ma sens bo przeciez trzeba ja jakos oprozniac.

      Wszystko zalezy od kontekstu. Technicznie, czlowiek zapobiegawczy moze zwrocic uwage na to ze te kable wygladaja jak czesc instalacji ktora ktos moze sprobowac pozniej wlaczyc do pradu, ale to nie jest samo w sobie przestepstwo – zwlaszcza jesli uswiadomiony zarzadca stwierdza ze wie i ze one na pewno podlaczane nie beda…

  11. Dlaczego o tym kto pobral baze mowicie “sprawca”? Skoro baza byla niezabezpiecznona zadnym mechanizmem autoryzacyjnym / uwierzytelniajacym to znaczy ze byla publiczna, czyli dostepna dla kazdego. Gdyby tak okreslac sprawce jak to postulujecie to mozna zaczac karac za wchodzenie na wp, o2, czy dowolna strone internetowa. Prosze sie zastanowic co sie postuluje. Pytanie czy sciagajacy mial wiedze co sciaga, jest to nie udowodnienia…

    Pozdrawiam

    • Dlatego, że pobrał coś, czego nie miał prawa mieć na dysku, nie mówiąc już o udostępnianiu tych danych komukolwiek. Jak ktoś nie zamknie mieszkania, a ty wejdziesz i wyniesiesz mu fanty, to jesteś winien kradzieży (bez włamania wprawdzie). Jak znajdziesz czyjś portfel i np. zapłacisz kartą zbliżeniowo to też jest paragraf. W omawianym przypadku przepis chyba mówi o “uzyskiwaniu dostępu do systemów nieprzeznaczonych dla osoby uzyskującej ten dostęp” (było już o tym przy okazji włamu na wykop).

    • Przykro mi, ale ta analogia jest nietrafna. Cala idea internetu polega na laczeniu sie roznych urzadzen ze soba. Oznacza to ze z samej swej istoty urzadzenia maja sie laczyc i wymieniac sie danymi (czyli dokladnie odwrotnie niz w przypadku mieszkania do ktorego z zasady ma nikt nie wchodzic, chyba ze go zaprosisz). Gdyby przyjac Twoj tok rozumowania to oznaczaloby, ze wyszukiwarki internetowe ktore indeksuja caly internet nie powinny w ogole istniec, shodan powinien byc nielegalny oraz ze za kazdym razem gdy wchodzisz na strone internetowa to mozesz kliknac w cos co okaze sie przeznaczone nie dla Ciebie i jestes od razu przestepca mimo iz nie przelamales zadnych barier zabezpieczajacych.

      Poza tym powszechnie znanym faktem jest, ze porownywanie skopiowania czegos w przestrzeni cyfrowej do kradziezy jest zupelnie nietrafione. Gdy kradniesz komus przedmiot w swiecie fizycznym, to oznacza ze wlasciciel go traci. Natomiast w swiecie cyfrowym nie, nadal go posiada. Nie jest to wiec kradziez. Nie przenos prostych kalek myslowych ze swiata fizycznego do cyfrowego.

      Zastanow sie co mowisz, poniewaz Twoj tok rozumowania bije w fundamenty internetu i wypacza jego charakter.

      Pozdrawiam

  12. Ważne że “pracownik spółki zewnętrznej” był najtańszy, a spółka zewnętrzna znajoma…

  13. Z tym że dla pokazówki po prostu wskazali winnego ktory wykonywal sam dump. Od kiedy to serwerownia zajmuje się zawartością stron danych ? przeciez to nie firma zewnetrzna zajmuje sie szkoleniami i ich bazami danych … i to raczej nie znana serwerownia tworzy czy przenosi aplikacje… Potrzeba szybkiego sukcesu ważniejsza niż prawda. Współczuje i temu czlowiekowi i tej firmie. Zdaje się że byli w niewłaściwym miejscu i w niewłaściwej porze.

  14. Jak wyplynely hurtowo dane klientow z banku Polkomtela, to wszyscy mieli to w d… Jak wyplynely dane wielmoznych sedziow i prokuratorow to mamy histerie i polowanie na czarownice.

    Temu towarzystwu naprawe wydaje sie, ze sa nietykalni.

    • Tak to już jest z policją, że jak im każesz to się biorą do roboty. Prokuratorzy kazali i jest wynik. Zdziwiony?

  15. Co jest najbardziej pokrecone: ze poszkodowanymi sa sedziowie i prokuratorzy, czyli potezna/wplywowa grypa. Ja sam zawsze uwazalem (moze blednie?) ze jak sie padnie ofiara przestepstwa, zaniedbania, etc. to czlowiek samolubnie chcialby zeby osoba ktora za to beknie byla ta faktycznie odpowiedzialna raczej niz jakis frajer z lapanki…

    Naprzyklad, gdyby ktos podszedl i splunal mi w twarz, nie wyobrazam sobie udawac ze nic sie nie stalo a potem wyzyc sie na losowej osobie. Czy moze to jest norma funkcjonowania? Czy tez jestesmy w sytuacji ze osoba ktora uniknie tutaj odpowiedzialnosci jest tak potezna i tak wplywowa ze cala trzecia wladza podkula przed nim ogon? Jesli tak to kim jest ten czlowiek?!? Dlaczego sie ukrywa? I dlaczego do jasnej ciasnej nie mam jeszcze jego portretu na scianie ?!?

    • Dla ścisłości, to nie trzecia tylko druga władza przymknęła admina.

  16. Ciekawa Dyskusja na temat zakresu odpowiedzialności – choć do końca nie przeczytałem. Nie widziałem jednak jednej kwestii: co, jeśli tzw pracownik był formalnie podwykonawca, bo strony chciały zaoszczędzić na zusie? Ponosi zarówno odpowiedzialność karna jako sprawca, jak i cywilna?

  17. […] ostatnich (tygo)dniach mieliśmy całkiem sporo wycieków danych. Cyfrowe, KSSIP, dostawca energii, a nawet ZUS. W przypadku Zippo, atakującym udało się pozyskać — poza […]

  18. Te dane są jednak nieco inne niż dane klientów elektrowni czy dłużników banku, reakcja jest adekwatna. To 50 000 m.in. prokuratorów ścigających m.in. osoby zaangażowane w przestępczość zorganizowaną. Tu nie idzie tylko o RODO czy wzięcie na kogoś pożyczki, a o bezpieczeństwo prokuratorów i ich rodzin oraz o ukaranie przestępców. Więc tak, to jest adekwatna reakcja. Bo tu nie jest błahe pójście na skróty, a pośrednie narażenie życia ludzi.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: