8:42
2/6/2015

Palenie jest niezdrowe. Boleśnie przekonało się o tym 65 000 klientów sklepu e-dym.pl, który na skutek nieprofesjonalnej obsługi promocji udostępnił bazę swoich klientów zawierającą nie tylko dane osobowe, ale także hasła zapisane jawnym tekstem…

Jak doszło do wycieku danych klientów?

Jak informuje nas jeden z czytelników, wczoraj serwis e-dym.pl ogłosił promocję. Niestety ich “serwer dedykowany” nie wytrzymały natężenia ruchu i strona przestała być osiągalna. Powód:

Ruch na Naszym serwerze dedykowanym zagrażał strukturze home.pl dlatego został wyłączony do momentu “zmniejszenia ruchu na Państwa serwerze”

Wtedy zapewne do akcji wkroczył administrator, który wprowadzając zmiany na serwerze (lub próbując go migrować) popełnił literówkę w nazwie …najważniejszego pliku: zamiast index.php na serwerze pojawił się inedx.php. Jaki był efekt? Można się domyślić — serwer pokazał listę plików:

dK8Jw6A

Na skutek tej wpadki, z dymem poszła kopia bazy (ponoć z sierpnia 2014r.), która znajdowała się w ww. katalogu, a w niej 65 000 rekordów:

  • Imię i nazwisko
  • Adres zamieszkania
  • Hasło (plaintext)
  • numery telefonów
  • logi z transakcji Przelewy24.

Jak informuje nas jeden z czyteników, który na żywo przyglądał się wpadce (o godzinie 18:39 odpowiednie informacje pojawiły się na Wykopie):

Z dumpa spokojnie można wyszukać swojego maila powiązanego z adresem i numerem telefonu.

Po wycieku w sieci zaczęły się więc przejęcia kont e-mailowych i PayPalowych, których dane pokrywały się z tymi z udostępnionej bazy. Co na to właściciele sklepu? Na jednym z for stwierdzili, że

zdobyte dane są publicznymi na co użytkownicy wyrażają zgodę przy rejestracji.

Wnioski z tej wpadki należy wyciągnąć następujące:

  • Nie trzymaj kopii bazy danych (ani innych wrażliwych logów) w “głębokim ukryciu
  • Nie pracuj na produkcji
  • Wykonaj hardening webserwera (blokowanie listingu plików w katalogach)

A od strony klienta-internauty; rady jak zwykle są te same. Nie korzystaj z tego samego hasła do więcej niż jednego serwisu i …rzuć palenie! (por. od wycieku 20 000 haseł do wrzucania nagich zdjęć ofiar na Facebooka).

Za informacje dziękujemy wielu czytelnikom; Luke, Kwa, Sławomir, Mikołaj, Marcin, Mateusz

Aktualizacja 11:00
Jak zwraca uwagę jeden z czytelników, który najprawdopodobniej przyjrzał się bazie — miało się w niej znajdować także hasło do FTP, które firma zmieniła dopiero dziś rano. To sugeruje, że osoby, które zgrały bazę, miały dostęp także do nowszych danych niż datowane na dzień dumpu bazy:

edyn

Pojawiło się też ciekawe oświadczenie e-Dymu:

Oświadczenie_e-dym_pl___E-dym_pl___E-papierosy-forum_pl_-_największe_w_Europie_forum

Przeczytaj także:

88 komentarzy

Dodaj komentarz
  1. Ale, że “plaintextem”.

  2. Po prostu ręce opadają wystarczył by głupi .htaccess z wpisanym “Options -Indexes” ależ po co ._.
    “Wtedy zapewne do akcji wkroczył administrator, który wprowadzając zmiany na serwerze (lub próbując go migrować) popełnił literówkę w nazwie …najważniejszego pliku: zamiast index.php na serwerze pojawił się inedx.php.”
    Naprawdę? Albo był tak genialny aby sobie po sprawdzać a usery myślały, że jeszcze stronka nie działa… Żyjemy w Polsce tu jest wszystko możliwe.

    • W Home.pl nie działa Options -Indexes – zamiast tego mają Options -DirList przez co wiele gotowców/stron przeniesionych z innych serwerów ma problemy z bezpieczeństwem – jak powyżej

    • Samo posiadanie hostingu w Home.pl to fail.

    • W Polsce jest wszystko możliwe jeśli chodzi o fakapy. Z resztą jest duuużo gorzej.

  3. za trzymanie haseł jawnym tekstem do paki

  4. pozdrowienia z wiezienia

  5. Kto pozwala serwerowi wyświetlać zawartość katalogu?

    • Domyślny config w home.pl

  6. Lekko obok tematu, ale home.pl może sobie tak po prostu wyłączyć czyjś produkcyjny serwer bo jest za mocno obciążony? Dobrze to zrozumiałem?

    • Jeśli to jest definicja “serwera dedykowanego” w home.pl to ja pojęcia nie mam co ta firma jeszcze robi na rynku.

    • Powiem szczerze, ze w home.pl to mozna sobie postawic server dedykowany ale do domowych (home) zastosowan. Heh

    • “to ja pojęcia nie mam co ta firma jeszcze robi na rynku” – dobrze się reklamuje i pozyskuje mnóstwo klientów.

  7. Jak to dobrze, że nigdy nie musiałem się rejestrować – do e-dymu mam 20 minut autobusem, zawsze dokonuję zakupów stacjonarnie. Nawet wczoraj byłem ;P

    • Też mam nie daleko do e-dymu ale niestety Panowie w Warszawie na wspólnej powiedzieli, że tylko przez internet. Dla ciekawskich polecam rozejrzeć się po ich fanpage. Są ciekawe info o Home.

  8. “zdobyte dane są publicznymi na co użytkownicy wyrażają zgodę przy rejestracji”

    bzdura, link do strony z regulaminem, który widnieje przy zakładaniu konta https://www.e-dym.pl/Regulamin_sklepu/ nie działa i przekierowuje na stronę główną.
    użytkownicy więc na nic się nie zgadzają.


    • § 5. Postanowienia końcowe.
      1. Dane osobowe umieszczone w bazie danych sklepu są przetwarzane wyłącznie dla jego potrzeb, nie są i nie będą też udostępniane innym podmiotom. Dane te są gromadzone z należytą starannością i odpowiednio chronione przed dostępem do nich przez osoby do tego nieupoważnione, zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997r. nr 133 poz. 883). Klient ma prawo wglądu do swoich danych, do ich korekty oraz żądania zaprzestania ich wykorzystywania.”

      https://www.e-dym.pl/Regulamin/

  9. http://s26.postimg.org/6xssc17p5/screenshot_54.png
    Ktoś chyba z desczu pod rynne się pcha :-)

  10. @Kwachu – mówili, że co wymyślniejsze zamówienia i niektóre promo tylko przy zamawianiu przez internet; odkąd dobrałem odpowiednie klocki (iTaste SVD + Nutilus Mini) właściwie tylko leje lq i wymieniam grzałki :D

  11. i co z tego, wszystko zniknęło w kilka minut, kasę zarobili i co mi panie zrobisz? jak widac chytry i tak nic nie traci. Istick 50W za 149 zł!!. UOKIK by się przydał. a to że kilku się nastroszy i tak wrócą na kolanach. Ludzie żadnego szacunku dla siebie nie mają za te parę groszy. ZAL.pl

  12. “zdobyte dane są publicznymi na co użytkownicy wyrażają zgodę przy rejestracji.”
    Ale kłamczuchy. Wyciąg z ich regulaminu:
    “§ 5. Postanowienia końcowe.
    1. Dane osobowe umieszczone w bazie danych sklepu są przetwarzane wyłącznie dla jego potrzeb, nie są i nie będą też udostępniane innym podmiotom. Dane te są gromadzone z należytą starannością i odpowiednio chronione przed dostępem do nich przez osoby do tego nieupoważnione, zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997r. nr 133 poz. 883). Klient ma prawo wglądu do swoich danych, do ich korekty oraz żądania zaprzestania ich wykorzystywania.”

    • Proponuję poszkodowanym złożyć pozew zbiorowy. Można ugrać parę $ a sama firma pożałuje outsourcing’u IT (czy też zatrudnienia admina za 3k PLN).

      PS. Takich sytuacji będzie coraz więcej. ‘Mówię’ tu nie tylko o wpadce nieudolnego admina, ale wycieku danych osobowych.

  13. Przy inedx.php widnieje data 2013. Prędzej ktoś wywalił/zmienił .htaccess albo robota firm trzecich czyli zmiana konfiguracji apache etc. w co osobiście wątpię bo bardziej wygląda to na wtopę “informatyka”.

    • mv/rename nie zmienia daty modyfikacji pliku

  14. Powie mi ktoś, czemu przy rzekomym pliku inedx.php na zrzucie data modyfikacji to xx-xxx-2013? Gdy inne pliki które faktycznie mogły być zmodyfikowane tego dnia mają date 01-Jun-2015?

  15. Odnoszę wrażenie, że właściciele stron czują się bezkarni względem polskiego prawa. “No cóż wyciekły dane to wyciekły, na uj drążyć temat”. Może ktoś wie czy za takie zaniedbania grożą jakieś realne konsekwencje prawne?

    • Jak najbardziej się czują, chociaż ciąży na nich odpowiedzialność z Ustawy:
      „1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

      2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.”

      Wystarczy zgłosić do prokuratury/na policję, która sprawdzi, czy przepisy wykonawcze zostały zastosowane.

      I dołożyć odpowiedzialność cywilną np. “w wyniku ujawnienia moich danych osobowych stałem się ofiarą [phishingu] na kwotę …”.

      I do tego napisać do GIODO :-)

      Tyle, że nikt tego nie robi…

    • A szkoda. Powinno sporo firm zapłacić takie kary za nieprzestrzeganie przepisów. Poza tym dlaczego po realizacji zakupu te dane nie były od razu usuwane?

  16. “Wtedy zapewne do akcji wkroczył administrator[…]” Ale mu posłodziliście – administrator :D

    • No co ? Przecież to serwis raczej dla adminów i pentesterów (domyślnie: “white hat” często po uczelni z kierunkowym wykształceniem lub CISSP itp – stąd ta grzeczność). Za “dawnych dobrych czasów” pewnie by napisano w czeluściach internetu o wspomnianym egzemplarzu nie “administrator” tylko: “ladmin”.I tyle… Nie postawić na starcie odpowiedniej konfiguracji (nawet z podręcznika i zżynając żywcem porady z internetu) to szczyt ladmiństwa i tyle.
      A jak jeszcze dodać do tego serwis,który NIE SZYFRUJE HASEŁ (no,k… – nawet “szyfru” Cezara nie zaimplementowano ? No to .ROTFL. + !!! )

      PS: Osobiście nie uczyłem się “robienia nie zamówionych pentestów” z tych starych faq bo wolałem dmuchać na zimne i nie mieć odsiadki za przestępstwa komputerowe.A najprościej tego uniknąć nawet nie probując dotykać czyjegoś systemu,skoro eksperymentowanie byłoby za dużym ryzykiem.Ale czytałem to już lata temu i terminologię znam.Ladmin i tyle.Nie mam wątpliwości…

      Ale – nie zadać sobie “trudu” podstawowego skonfigurowania serwisu i wdrożenia bodaj najgłupszego szyfrowania bazy, to nawet określenie “ladmin” jest zbyt pochlebne.

    • Oprócz admina istnieje 65000 LUSERÓW, którzy dali swoje dane osobowe. Cóż – dali – nie zależało im na prywatności. Z tymi śmierdziuchami jest stoisko w każdej galerii hadlowej i to nie jedno. Ale cóż – mózg poszedł z dymem i tyle.

  17. Najbardziej poszkodowani będą ci, którzy… już tam nie kupują. Jeśli baza jest zeszłoroczna, to ludzie mogą nawet nie dotrzeć do tej informacji, a stare (i nie zmienione) hasła to najlepszy sposób na “wtopę”…

  18. Dodatkowo, w bazie było hasło do ftpa, które zmienili dopiero dziś rano.

  19. “zdobyte dane są publicznymi na co użytkownicy wyrażają zgodę przy rejestracji.”

    Że co? Dobre tłumaczenie.

  20. Widać, że firma tworząca ich sklep wykazała się niesamowitym profesjonalizmem…

    • pewnie kolejna studencka agencja interaktywna :)

  21. Zmieniliście tytuł? Wcześniej było “Kupiłeś papierosa na e-dym.pl? Zmień hasło!”

    ?

    • nie pierwszy, i nie ostatni raz, gdybys widzial ile zmian w tytule przeszedl artykul o bledzie w qemu :D

  22. Ja widzę, że firma oferująca rozwiązania typowe dla domu:
    1) nie wprowadziła domyślnej opcji wyłączenia listowania katalogów (z możliwością lokalnego włączenia, gdy admin to świadomie zrobi);
    2) limituje zasoby serwera DEDYKOWANEGO – WTF???

    • Sprawa chyba dotyczy serwera dedykowanego, więc to nie wina firmy, która użyczyła serwera a osoby, która taki serwer zamówiła i nim administruje – to na niej spoczywa administracja nad bazami danych i listowaniu katalogów bądź nie. Na tym polega właśnie idea serwera dedykowanego – to są Twoje zasoby. Jeżeli kupujesz samochód w salonie od dealera i rozbijasz się przy nadmiernej prędkości to jest to wina dealera czy kierowcy?

      Po drugie – każdy serwer dedykowany ma swoje jakieś-tam zasoby. To nie rakieta z NASA. Cieżko powiedzieć jaką moc miał sprzęt wykupiony przez e-dym.pl ale z tego co widać po opisaniu przez niebezpiecznik serwer został przeciążony (a na to składa się wiele czynników). To się dzieje codziennie, nawet w większych firmach czy sklepach internetowych. Jeżeli admini nie wykonali testów obciążeniowych to są sami sobie winni i dobrze, że ich home obcielo – ruch w sieci zaszkodzilby wielu innym klientom.

    • @erguu
      Zacytowana wypowiedź jest dość nieprecyzyjna: “Ruch na Naszym serwerze dedykowanym zagrażał strukturze home.pl dlatego został wyłączony do momentu zmniejszenia ruchu na Państwa serwerze”. Z jednej strony sam sprzęt pozostaje własnością home.pl (tym się różni hosting dedykowany od kolokacji) więc na początku użyli stwierdzenia “Naszym serwerze”. Z drugiej strony, serwer został (odpłatnie) oddany do użytkowania przez klienta (e-dym.pl) do czego odnosi się określenie “Państwa serwer”.

      Wygląda na to jakby home.pl administracyjnie WYŁĄCZYŁ swojemu klientowi serwer a nie żeby serwer sam przestał chwilowo działać z powodu przeciążenia. Normalnie wszystkimi zasobami w tym pasmem, użyciem RAM i CPU itp. zarządza sobie klient we własnym zakresie (za to płaci) a operator się nie wtrąca!!! Jeśli natomiast chodzi o ruch sieciowy, to od tego są odpowiednie formy rozliczeń:
      1) stała gwarantowana przepustowość w cenie abonamentu bez limitu ruchu;
      2) ustalony pakiet danych, po przekroczeniu którego jest doliczana opłata;
      3) 95 percentyl.

  23. Że co, że jak, jak można trzymać niezaszyfrowane hasła, jest to nieetyczne. To że serwis na home to kolejny gwóźdź do trumny i jak można ufać ich oświadczeniu, jak napisali w nim że hasła wyciekły zaszyfrowane. Już widzę te konsultacje z ekspertami…

    • Jak widać – można… Nieetyczne ? :D Raczej nieprofesjonalne,do rozważania tego jeśli chodzi o etykę można przejść dopiero wtedy,gdy ktoś wie CO robi. Nie sądzę,żeby było to bowiem celowe zagranie właścicieli sklepu/twórcy strony/itp.

      Jak ja to widzę – ktoś udłubał stronę “byle działało”,z podręcznika albo z jakimś frameworkiem i nie zabezpieczył hasła jak trzeba.Student albo amator robiący pierwszy raz coś takiego.

      Prawda jest taka,że te e-papierosy to nowa branża w której dziś zaczynać może każdy kto ma kasę na start. Oszczędność na stronie to więcej kasy na start,więc co się dziwić marnej pracy albo samoróbce.

    • Programuję od dawna i gdy uczyłem się PHP to podstawą było szyfrowanie/hashowanie hasła przy pomocy sha1. W każdej książce, którą miałem w rękach, był dział o logowaniu i rejestracji, więc naprawdę ciężko jest mi stwierdzić, że ktoś kto potrafił zbudować sklep internetowy miałby o tym nie wiedzieć.

  24. Dlatego pisząc jakąkolwiek stronę należy stosować zasadę “wszystko jest publiczne”- jak zginie index i ktoś sobie zacznie przeglądać pliki, to poza układem w jakim się one znajdują nie dowie się niczego. Za security by obscurity powinna być odbierana licencja informatyka ;)

    • licencje to oni mogą mieć w gran tourismo najwyżej

  25. Pali to się kiepy a elektronicznego papierosa się używa i jest on NIE szkodliwy dla zdrowia, jedyne co w e-liquidzie jest pozornie szkodliwe to nikotyna od której człowiek może się uzależnić,- jakby Pan redaktor również tego nie wiedział to można używać liquidów bez nikotyny i puszczać chmurkę dla przyjemności.

    Jeśli nie macie wiedzy na jakiś temat to lepiej się nie wypowiadajcie w sposób który to zrobiliście w tym artykule, bo szkodzicie.

    • ależ się przejął… nie wiem czy widziałeś to serwis nie o paleniu więc może używać potocznych skrótów (przyjęło się, że papierosa się pali)

    • Jest jak najbardziej SZKODLIWY. “Inhalując” się nikotyną ją wydychasz z powietrzem i narażasz innych na wdychanie tego RAKOTWÓRCZEGO i UZALEŻNIAJĄCEGO składnika dymu (pary) z e-papierosa. Jestem za globalnym zakazem “palenia” e-papierosów na równi z papierosami tradycyjnymi.

      PS. Są badania na szkodliwość i tego nałogu na osoby postronne.

    • @Xn, ale ty idiotyzmy wypisujesz, chłopie od kiedy nikotyna jest rakotwórcza xD Buhhha, dzieci wiedzą że w papierosach nie jest szkodliwa nikotyna tylko cała ta reszta syfu który tam siedzi, – substancje smoliste. Jak EP są rakotwórcze to para wodna również także uważaj jak będziesz nastawiał czajnik na herbatę bo może raka tam znajdziesz xD Co za gość.

    • Porządnych (długotrwałych) badań nie ma, a te co są twierdzą, że inhalowanie nie ma wpływu no osoby postronne. Prawie całość nikotyny zawartej w liquidzie zostaje w płucach inhaującego się. Więc nie podpieraj się badaniami w swojej wypowiedzi, bo Ci to nie wychodzi. Zakazać e na równi ze zwyklymi – zwykle glupie myslenie glupiego czlowieczka, Nie masz argumentów ku temu, ale Tobie to przeszkadza no bo tak wiec zakazac.
      POZDRAWIAM

  26. Sosnowiec… i wszystko jasne.

  27. No Pany…. Plaintext :D

  28. Te “oświadczenie” jest bardzo podobne do tekstu od, o ile pamiętam, ebay’a. Chyba ktoś z rozpędu zostawił te nieszczęsne “zaszyfrowane” hasła.

  29. Z tego co wiem sprawa zostala zgloszona do GIODO jak i na policje przez firme edym.

  30. Nie pale. Nie używam. Wychodzi taniość. I jeszcze to “… prosimy o zmianę Z względów bezpieczeństwa”. Wtopa – ale po takiej wtopie zawsze jest lepiej. Z reguły….

  31. E-dym.pl to you:

    konto usunięte. Bardzo przepraszamy za zaistniałą sytuację

    Pozdrawiam
    Kinga

    Przynajmniej nie robią problemów z usówaniem kont ;)

  32. Adam, zgłoszona do giodo przez edym? To ciekawe, bo nie mogę znaleźć ich w wyszukiwarce baz giodo.

  33. Ja mam tutaj propozycje do niebezpiecznika na temat przyszlych artykulow – gdzie takie sprawy zglaszac. w giodo jest taki burdel formalnosciowy ze 80% ludzi raczej da se siana zanim przeczyta, wiekszosc tych co sprobuja przeczytac dadza sobie siana jak pojawi sie informacja o oplatach.

    Niestety sytuacje takie sa bo niema reakcji rzadu a tej niema bo ludzie poprostu nie zglaszaja.

    • Zgadzam się w 100% – zróbcie proszę dedykowany artykuł, jak zgłaszać problemy związane z danymi wrażliwymi do GIODO czy kogoś tam innego.

    • Zapomnijcie o giodo, bo to urząd dla picu, żeby swoim pensje rozdawać. Nic nie zastąpi własnego rozsądku.

  34. Wszystko fajnie tylko jest gdzieś dump bazy?
    Jakiś TOP haseł? :p.

  35. Niestety, mam tam konto. Na szczęście używałem jednorazowo wygenerowanego hasła, jednak pozostałe moje dane wyciekły. Szkoda (i dzięki!), że dowiaduję się stąd – nie rozesłali żadnego maila.

  36. wiec panowie nigdy nie podaje sie prawdziwych danych do internetu proste

    • Posiadasz własną skrytkę pocztową? ;]

  37. Kto normalny ma włączone indexy na serwerze?!
    Indexy wyłączamy w konfigu, a tam gdzie ich potrzebujemy ustawiamy .htaccess’em

  38. “Centra danych home.pl zapewniają łączność z największymi sieciami w Polsce, Europie i na świecie. Jesteśmy zawsze gotowi obsłużyć nawet nagłe skoki popularności setek tysięcy projektów internetowych naszych Klientów.”

  39. Warto zauważyć, że plik dump.php nadal znajduje się na ich serwerze, a idąc tym tropem można nim zapewne wygenerować plik z dumpem bazy – nazwa wygenerowanego pliku jak widać jest złożona z daty i godziny generowania dumpa. Nie wyciągają wniosków ze swoich błędów.

  40. Perek… tak jasne oczywiście – zwłaszcza jak zakupy robisz na firme z myślą odliczenia VAT….albo nawet zwykłe “prywatne” i adresu dostawy nie podasz prawdziwego ? …. Ale ogólnie to tak, masz racje ;) .. zakupy zawsze w kominiarce, okularach, płacąc wyłącznie gotówką i używając modulatora głosu… wówczas jest cień szansy na anonimowe zakupy ;)

  41. To jest śmieszne. Żadnych zabezpieczeń, mogli chociaż te hasła jakoś kodować..
    Dziwne że serwis e-dym.pl jakoś zbytnio się tym nie przejął..

  42. No to teraz za każdy przypadek naruszenia ustawy o ochronie danych osobowych GIODO może nałożyć do 50 tys. zł * ilość osób w bazie, firma pójdzie z e-dymem :P

  43. http://hg.linux-ha.org/heartbeat-STABLE_3_0/archive/

    A problem occurred in a Python script :(

  44. Ktoś się orientuje, czy jakieś kroki prawne można podjąć?

  45. tyle że to zostanie potraktowane per saldo jako jeden, zbiorczy wypadek…naruszenia prawa wynikającego z Ustawy. Chyba że poszkodowani zechcą dochodzić swoich praw na gruncie postępowań cywilnych – ale też może się skończyć pozwem zbiorowym.
    Więc jeszcze nie tak prędko :) :)

    Apropos jednego z off topów tej dyskusji – n/t szkodliwości palenia czy też , przepraszam zaciągania się dymem z e-papierosa – jakiś “łekkszpert” napisał że to całkiem zdrowe i nic szkodliwego w tym nie ma. No to odsyłam – najlepiej do WHO – jak od bez mała 30 lat udowodniono – samo działanie nikotyny na organizm ludzki (szczególnie w takich ilościach jakie uzyskuje się z e-papierosa) jest powolnym zatruwaniem go i degradacją wielu ważnych dla człowieka organów.

  46. Da ktoś link?

  47. Ale popelinę zrobił admin serwisu dla palaczy pokładowych.
    Rozumiem wpadkę, każdemu może się zdarzyć… ale tłumaczenie.

  48. ee czyli co? home.pl nie umiał sobie poradzić z bazą na poziome 64tys. rekordów i trochę ruchu? ała.. moje sweet focie czasami oglądają dwie osoby – dwa boty indeksujące.. jej zablokują mnie….

  49. Sosnowiec…

  50. Wykop o którym mowa w artykule został usunięty:

    Niestety nie ma takiej strony!
    http://www.wykop.pl/wpis/12947485/really-mozecie-sobie-pobrac-backupa-bazy-jak-chcec/

  51. Czegoś nie rozumiem w stwierdzeniu:
    “Ruch na Naszym serwerze dedykowanym zagrażał strukturze home.pl dlatego został wyłączony do momentu “zmniejszenia ruchu na Państwa serwerze”

    Skoro to serwer dedykowany, osobna maszyna, to w jaki sposób ma ona wpływ na resztę badziweów w home? Duży ruch na serwerze dedykowanym może wpłynąc na inne tylko pod względem wykorzystywania łącza… Ale mi sie nasuwa myśl ze home wcale nie daje dedyków tylko stawia coś na wzór vpsów. ..

  52. Ale za jaki atak oni przepraszają? Zgodnie z artykułem, sami ‘udostepnili’ wszystkie pliki.

  53. @Marcin,
    wydali nowe oświadczenie (można znaleźć po: oświadczenie e-dym aktualizacja), piszą w nim m.in. że poprzedni administrator ich wprowadził w błąd i stąd kłamstwa. ;)

  54. nowe oswiadczenie…

    Po przeprowadzeniu niezależnego audytu, oświadczamy

    Skąd awaria?

    Z powodu dużego ruchu na serwerze, administrator infrastruktury usługodawcy, u którego postawiony był nasz sklep wyłączył usługę błędnie podejrzewając atak DDoS, była to po prostu ogromna ilość klientów. Administrator sklepu podejrzewając usterkę próbował ją naprawić i popełnił literówkę, która spowodowała nieuprawniony dostęp do niewłaściwie zabezpieczonych plików zlokalizowanych na serwerze.
    Doprowadziło to do wylistowania katalogu sklepu co w konsekwencji spowodowało uzyskanie dostępu do większości plików na serwerze, w tym kopii bazy danych do dnia 01.08.2014r. Możliwym jest również uzyskanie dostępu do bieżącej wersji bazy danych jednakże nie możemy tego na tą chwilę potwierdzić gdyż specjaliści są dopiero w trakcie opracowywania logów, logi te mają łącznie blisko 12GB. Na chwilę obecną nie jesteśmy w stanie stwierdzić ilu osobom udało się pobrać kopię bazy danych oraz uzyskać dostęp do innych plików na serwerze. Informacje te będą częścią opracowywanego przez niezależnych specjalistów raportu, a wszystkie zebrane dane zostaną niezwłocznie przekazane do właściwych organów.

    Serwer został poddany audytowi w dniach 03.06.2015r – 05.06.2015r. Z powodu negatywnego wyniku audytu podjęta została decyzja o całkowitej zmianie silnika sklepu oraz serwera.

    Bardzo przepraszamy za niezgodną ze stanem faktycznym treść poprzednich oświadczeń, bazowaliśmy na informacjach przekazywanych nam przez administratora sklepu i również byliśmy wprowadzeni w błąd. Osoby odpowiedzialne w firmie za kontakt z klientem nie są specjalistami z branży IT i nie mogą posłużyć się własną wiedzą w celu weryfikacji prawdziwości takich przekazów. Zaufaliśmy otrzymywanym informacjom i jak najszybciej staraliśmy się przekazać je klientom sklepu. Rozumiemy że popełnione błędy w zakresie bezpieczeństwa informacji były do uniknięcia i przyznajemy że był to zwykły błąd ‘czynnika ludzkiego’ który nigdy nie powinien mieć miejsca. Dołożymy wszystkich starań aby w przyszłości takie sytuacje nie mogły się powtórzyć.

    Co dalej?

    Grupa informatyków konfiguruje nowy serwer i silnik sklepu. Grupa grafików działa nad tymczasowym wyglądem strony. Działamy na 1000%

    Jakie problemy napotkaliśmy?

    Problem z przeniesieniem bazy danych użytkowników oraz programu lojalnościowego do nowego silnika sklepu w tak krótkim czasie jest niemożliwy, dlatego też początkowo baza nie będzie podlegać migracji, a co za tym idzie każdy klient będzie musiał założyć nowe konto. Tymczasowe rozwiązanie, jakie zaproponujemy Klientom to 20% rabatu na asortyment rabatowany. Po przywróceniu bazy danych rabaty jak i historia zamówień powrócą do poprzednich wartości.

    Kiedy będę mógł zrobić zakupy?

    Nie jesteśmy w stanie określić dokładnego czasu zakończenia wdrożenia nowego silnika sklepu, jest to związane z koniecznością wykonania wszystkich prac wdrożeniowych, przeprowadzenia na nim audytu bezpieczeństwa jak również z czynnikami od nas niezależnymi jak np. propagacja domeny. Jednakże sklep powinien zgodnie z planem zostać uruchomiony jeszcze w weekend. Pracownicy sklepu starają się jak najszybciej uzupełnić bazę produktów, a technicy pracują nad wdrożeniem skryptu i zabezpieczeniem serwera. Gdy sklep zostanie uruchomiony prosimy o rejestrację kont w nowym sklepie z tego samego adresu e-mail na jaki zostało założone konto w poprzedniej jego wersji, ułatwi to naliczenie prawidłowych rabatów w przyszłości.

    Bardzo przepraszamy za utrudnienia.

    Na koniec chcieliśmy serdecznie podziękować osobom które zachowały się bardzo właściwie, zarówno w stosunku do nas jak i wszystkich Klientów naszego sklepu i natychmiast poinformowały o problemach technicznych.
    Zdaje sobie sprawę, jak bardzo zawiedliśmy Wasze zaufanie i jest nam ogromnie przykro i wstyd. Zrobimy wszystko co w naszej mocy, aby to zaufanie odzyskać.

    Zarząd e-dym.pl

    • Za taki wyciek danych powinni przyznać dożywotni 20% rabat wszystkim pokrzywdzonym klientom, w innym przypadku szykowałbym pozew zbiorowy.

  55. Tak odbiegając od tematu czytałem ostatnio o śledzeniu przez google i wpisałem mój e-mail w google maps. Pokazało mi na mapie adres siedziby Waszej firmy. Ma ktoś jakieś wytłumaczenie?

  56. Totalna amatorka. Jak można dopuszczać do takich sytuacji. Serio oni mieli hosting na home.pl? Najgorzej…

  57. Dodatku ze ludzie stracili pieniądze to e-dym leci w huja za przeproszniem , miała być urodziny e-dymu jako rekompeensata a nie ma nic .

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: