21:23
28/7/2014

Catering dietetyczny cieszy się dużym wzięciem wśród polskich celebrytów. Wiadomo, jeśli występuje się w telewizji, albo startuje w wyborach, trzeba dobrze wyglądać. W utrzymaniu diety celebrytom pomaga m.in. firma “Fit And Eat”, która nie tylko odpowiednio dobiera posiłki, ale podwozi je pod sam dom gwiazdy. To właśnie baza danych klientów tej firmy cateringowej została wykradziona i opublikowana w internecie.

Co znajduje się w pliku BAZA.xlsx?

Bazę na Torepublice, forum dyskusyjnym w sieci Tor, udostępnił Polly Pocket, który czytelnikom Niebezpiecznika jest znany także z wcześniejszych włamań — m.in. udanego ataku na router jednego z oficerów ABW i publikacji w sieci jego danych i służbowych pism.

Post Polly Pocketa informujący o udostępnieniu bazy adresowej zawierającej dane m.in. polskich celebrytów.

Post Polly Pocketa informujący o udostępnieniu bazy adresowej zawierającej dane m.in. polskich celebrytów.

Jak informuje Polly, w bazie znajdują się dane adresowe ok. 1000 osób, w tym VIP-ów, m.in. Dariusza Michalczewskiego, Borysa Szyca, Patrycji Markowskiej i Ewy Farnej, czy Krzysztofa Ibisza (czyżby fit-dieta była także sekretem się niestarzenia?). Najnowszy wpis pochodzi z z początku tego roku, co sugeruje że wykradziona została nie baza “produkcyjna” a jakaś jej archiwalna kopia.

Dodatkowo — jak twierdzi Polly Pocket — dane nie zostały wykradzione bezpośrednio z serwisu internetowego firmy Fit and Eat, a z serwera FTP należącego do firmy obsługującej Fit and Eat, na który Pocket miał się przypadkiem natknąć (być może za pomocą tzw. Google Dorków wyszukiwał wszystkie serwery FTP, na które da się zalogować na konto anonymous?).

W pliku o nazwie BAZA.xlsx znajdują się:

  • Imię i nazwisko,
  • adres dostawy (często odpowiadający adresowi zamieszkania),
  • adres e-mail
  • numer telefonu komórkowego
  • wzrost,
  • waga
  • informacje o chorobach i alegriach (a także innych stanach zdrowotnych, np. niedawnej ciąży)
  • opis sprawności fizycznej

…a przy niektórych rekordach także wypełnione pole “Uwagi”, które zawiera ...kody do domofonów i bram. A że niektóre z adresów dostawy to firmy, jest to cenna wskazówka jak można “obejść” ochornę, przyzwyczajoną do regularnego wnoszenia “diety”.

Urywek bazy opublikowanej w internecie

Urywek bazy opublikowanej w internecie

Przykładowa uwaga zawierająca klucz wejścia do budynku

Przykładowa uwaga zawierająca klucz wejścia do budynku

Jedna z rubryk zawiera informacje o stanie zdrowia.

Jedna z rubryk zawiera informacje o stanie zdrowia.

Hasło zmienisz, z adresem nie pójdzie tak szybko…

Ten wyciek jest dość niecodzienny. Zazwyczaj wyciekają loginy i hasła, bo dzięki nim przestępcy mogą przejąć inne, wartościowe konta ofiary (np. na Allegro czy w banku), co może przełożyć się na finansowy zysk. W tym przypadku, podobnie jak i w przypadku wycieku bazy z UPC (która także została opublikowana na tym samym forum) opublikowano dane z systemu “sprzedaży”, czyli dane osobowe wraz z adresami zamieszkania.

Niestety, w przypadku tego typu wpadek ciężko jest cokolwiek poradzić ofiarom (poza naszymi standardowymi 10 radami, jak być bezpiecznym w sieci). Nie każdy może pozwolic sobie na zmianę adresu domowego (w przeciwieństwie do hasła). Odradzenie korzystania z serwisów internetowych, które wymagają naszego adresu też nie jest dobrą radą, bo o ile z zamawiania jedzenia on-line można zrezygnować, to z kurierem będzie ciężej. W przypadku poczty można podawać adres skrytki pocztowej — ale w przypadku usług typu dowóz jedzenie, niekoniecznie będzie to dobry pomysł…

Po co komu takie dane?

Nie sądzimy, że ta baza w czymkolwiek pomoże zawodowym paparazzi (oni pewnie doskonalne wiedzą, gdzie mieszka dany celebryta i co jada), ale dane tego typu mogą być nomen omen łakomym kąskiem dla wszelkiej maści żartownisi lub “psychofanów”….

Z bazy, ponieważ zawiera w niektórych przypadkach historię chorób, mogą skorzystać firmy farmaceutyczne lub poradnie medyczne albo konkurencja, która może “przejąć” klientów (w bazie są też ceny abonamentów i przyznane rabaty).

Podsumowując ten wyciek — na szczęście danych jest niewiele, ale niefortunnie dla firmy Fit and Eat, z racji rozpoznawalnych klientów, sprawa może stać się głośna. Niezależnie jednak od tego, czy firma świadczy usługi VIP-om, czy nie, zwłaszcza dane medyczne powinna traktować z najwyższą troską i bezpieczeństwem. Czy tak było w tym przypadku?

Firma Fit and Eat nie odpowiedziała jeszcze na nasze pytania — kiedy to nastąpi, zaktualizujemy ten tekst. Nieoficjalnie dowiedzieliśmy się, że na policję wpłynęło już zgłoszenie w tej sprawie.

Jak widać, zdrowe jedzenie nie zawsze wychodzi na zdrowie — wygląda na to, że niekiedy bezpieczniej jest jeść kebaby! ;-)

29.07.2014, godz. 20:00
Jak informuje nas jeden z czytelników, w sieci już pojawiają się fałszywe ogłoszenia sprzedaży tej bazy…

Fałszywy film na YouTube

Fałszywy film na YouTube

które zamiast ją prezentować, przekierowują na wyłudzającą numer telefonu stronę. Podanie numeru skutkuje zapisaniem dodrogich usług Premium SMS.

Moment wyłudzenia numeru telefonu

Moment wyłudzenia numeru telefonu

Scamerzy zareagowali szybko…


Przeczytaj także:



46 komentarzy

Dodaj komentarz
  1. “czyżby fit-dieta była także sekretem się niestarzenia?”
    Nie róbcie takich pudelkowych wtrąceń – o kurde, skąd ją wiem jak na pudelku piszą jak nigdytej strony nie oodwiedziłem?

    • Ja też nigdy nie byłem na pudelku, a bez problemu kojarzę o co chodzi. “Pudelkowa” diagnoza w tym przypadku wydaje się być nietrafiona ;)
      A że w tym przypadku akurat nie wiesz o co chodzi, to chyba nawet lepiej. Może to ja się powinienem wstydzić, że wiem ;)

    • Mi to humorystyczne wtrącenie się bardzo podoba :P

    • O kurcze, Twój wpis nie dość śmieszny to jeszcze wtrąciłeś coś o sobie. Ale śmieszna anegdotka z tego wyszła. Hi. Hi. Hi.

  2. Psychofani mają to już pewnie w pobranych
    Jak dobrze nie być sławnym :)

  3. to Farna trzyma jakąś dietę? :D

    • Dwie, na jednej była głodna.
      Wiem, że stare ale NMSP.

  4. Moglibyście chociaż nazwisko Ewy FARNEJ dobrze odmienić…

  5. O, a ktoś poda link do tej bazy? :P

    • właśnie

  6. Niesamowita jest ta baza. Tyle znanych nazwisk.
    Ciekawe w jaki sposób firma ich pozyskiwała.

  7. jak można “obejść” ochornę – ochronę :)

  8. Nie no nazwać naszych celebrytów VIPami to poważne nieporozumienie. Szyc VIPem? Niby dlaczego oni mieliby być tacy “WAŻNI”? Gdyby zniknęli nawet bym nie zauważył. No chyba że patrzymy z perspektywy Faktu, wtedy to prawdziwe VIPy. Zostawmy ten skrót dla osób których decyzje mogą zmienić prawo, porządek publiczny tip. czyli ministrów, członków obcych rządów, prezesów i znaczących udziałowców dużych firm itp.

    • Zmienić prawo w tym kraju może co najwyżej rewolucja jak na Ukrainie bo póki co to mamy najgorszy sejm od 1964 roku.

    • @aepg to jedz baranie na Ukrainę i daj się zabić.
      Rewolucja… kolejny tuk bez dostępu do książek, poczytaj z łaski swojej co wnosiły wszelkie rewolucje bo prócz fali morderstw nic się nie zmieniało. Chyba, że osoby na najwyższych stołkach to fakt.

      Pomyśl o bezbronnych dzieciach, które zawsze najdotkliwiej odczuwają skutki rewolucji. UPA wiązała maluchy z poderżniętymi gardłami do drzewa, w obozach ludzie zjadali dzieci bo było je najłatwiej przeszmuglować. Taki obraz świata Cię interesuje ?

      Lepiej dorośnij i nie pleć bzdur.

    • @Po co: pięknie. To nadal nadstawiaj dupy jak przychodzą Cię dymać. Ja mam dość. Kiedy przyjdą po Ciebie, nikt Ci nie pomoże, bo nie będzie miał kto.
      I przestań pieprzyć o zamordowanych dzieciach.

  9. Celebrytą to może być boguś linda z klasykiem ” co ty k*** wiesz o zabijaniu” a nie jakięś dziadowe podlotki które są promowane przez korporacje tv i każdy sobie myśli że taki ibisz to jakiś celebryta bo tv tak mówi.

  10. Eeeee… Nic nowego tylko zebrane dane z SE, Pudelka, Onetu, Faktu i innych…
    Zgodnie z tym co mówili starożytni Rosjanie, “Nie ważne jak, ważne, aby mówili” wątpię aby to był “przeciek”, “kradzież” itp itd.. Kolejny PR.

  11. Naprawdę? Nikogo nie obchodzi jak doszło do włamu, tylko to, kto jest vipem, kto nie, kto jest na pudelku, jak się pisze czyjeś nazwisko?

    • Przecież jest napisane, że plik leżał sobie na FTP.

    • “plik leżał sobie na FTP” – To jest opis włamania? A skąd Polly miał adres tego FTPa? Skąd miał login i hasło? Skąd mu w ogóle przyszło do głowy, żeby sprawdzać, co tam jest?

  12. Już RMF o Was mówi.
    Szerzej, coraz szerzej…

    • RMF to taki superak, tylko czytany przez lektora (bo redaktorem nazwać nie można), więc osiągnięcie żadne
      Niebezpiecznik > RMF

  13. Właśnie Was w RMF FM zacytowali :-)

  14. Gratuluję Nibezpiecznikowi ;)
    http://www.rmf24.pl/fakty/polska/news-hakerzy-wykradli-dane-znanych-osob,nId,1476217

    Ktoś komuś musiał nadepnąć na odcisk, bo trąbią w radio od rana ;)

  15. “adre e-mail”

  16. Najgorsze jest to, że zapewne nie było to włamanie, tylko firma udostępniła serwer adminowi, by wprowadził usprawnienia a ten nie miał za grosz godności :)
    No chyba, że jakoś opisze atak :)

  17. “Niestety, w przypadku tego typu wpadek ciężko jest cokolwiek poradzić ofiarom (…). Nie każdy może pozwolic sobie na zmianę adresu domowego (w przeciwieństwie do hasła)”

    Zawsze można poradzić zmianę hasła do domofonu. Ja musiałem tak zrobić, jak poprzedni właściciele postanowili, że odwiedzając przyjaciół z klatki będą używać swojego starego kodu, bo przecież ‘czemu nie?’. Pikali mi tak co kilka dni, aż się zirytowałem i zmieniłem. Szkoda, że nie widziałem ich miny kiedy znów przyszli w odwiedziny, a kod nie zadziałał ;P

    • Gorzej jak możliwość zmiany kodu ma tylko administracja i nie kwapi się, żeby przeprowadzić całą operację (czyt. zmianę kodu i poinformowanie wszystkich mieszkańców o zmianie). Jak brama jest na klucz lub kod i dojdzie do wycieku, to po prostu blokują kody.

    • Jeszcze gorzej gdy działają kody używane przez listonoszy, u mnie na przykład ystarczy użyć numeru o jeden wyżej niż istnieje w budynku i takie same hasło i “włamanie” gotowe

    • A może zamiast zmiany hasła zmienić numer? ;) W moim domofonie można ustawić zworkami jaki się ma numer. Zworki są podpisane 1, 2, 4, 8 itd., więc ciężko nie ma. Sposób działa, ale nie wiem co soft robi w przypadku konfliktu numerów. Mogę też sobie ustawić numer spoza zakresu. Przykładowo nie chcę otwierać innym prócz zaufanym, dom ma 20 mieszkań, a ustawiam sobie numer 66 i daję ten numer znajomym :)

  18. Ten *.xlsx łączy się z czymś zewnętrznym po uruchomieniu. Ktoś oświeci o co chodzi?

  19. Jedząc kebab osiedlasz Araba :P

  20. mam bazę w rozszeżeniu xlsx, excel nie chce tego otworzyć, ani nic innego, what do? :c

    • Zdaje mi się że stare Excele nie otwierają rozszerzeń z “x” na końcu. Spróbuj usunąć “x”. :P

  21. Ponownie proszę o usunięcie tego artykułu z serwisu. Piszecie Państwo ze nasza firma nie złożyła żadnych wyjaśnień. Bardzo proszę o bezpośredni kontakt z nami, bo my od Państwa nie otrzymaliśmy żadnego pytania. Myślę że już dość rozpowszechnili Państwo swój serwis naszym kosztem!!

    • Nie widzimy żadnych podstaw do usunięcia artykułu. Jeśli rzeczywiście jest Pani przedstawicielką firmy fit and eat (Podany przez Panią e-mail na to nie wskazuje), to wyjaśniam, że według informacji pozyskanych z redakcyjnej skrzynki serwisu Niebezpiecznik.pl, e-mail z informacją o zdarzeniu i jednocześnie pytaniami do Państwa został skierowany na podany na Państwa stronie adres e-mail: dieta@fitandeat.pl. Dodatkowo, użyte przez Panią w komentarzu słowo “ponownie” sugeruje, jakoby z Pani strony nastąpił już jakiś kontakt — niestety nie jesteśmy w stanie go namierzyć — może Państwa skrzynka pocztowa nie funkcjonuje poprawnie?

    • “Myślę że już dość rozpowszechnili Państwo swój serwis naszym kosztem!!”

      Śmiechłem!

    • > Myślę że już dość rozpowszechnili Państwo swój serwis naszym kosztem!!

      LOL, padłem

    • Gdyby mieli porządnych informatyków, to by wiedzieli, że niebezpiecznik jest bardzo znanym oraz wiarygodnym portalem w branży IT i nie potrzebuje dodatkowego rozpowszechniania jak co niektórzy z ich klientów na landrynkowo-różowawych portalach. Idąc dalej tym tropem nie było by powyższego problemu gdyby po za $ zwracali również uwagę na bezpieczeństwo, tym bardziej danych osobowych takich landrynek.

  22. Widac Lincolndll sie bardzo nudzi .

    • Ty tak na poważnie czy jaja sobie robisz?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: