16:11
13/1/2013

Wczoraj ostrzegaliśmy Was przed tym, że w nvm wystawił na sprzedaż bazę klientów Netii. Netia niestety do tej pory nie odpisała na pytania, które jej przesłaliśmy w tej sprawie, natomiast Karol Wieczorek, PR-owiec Netii, w zaskakujący sposób podjął na firmowym blogu polemikę z naszym wpisem, twierdząc, że nasz e-mail z pytaniami do Netii nie dotarł i że w ocenie Netii dane opublikowane przez nvm są nieprawdziwe a my nie chcemy dostarczyć Netii próbki bazy. Ta wypowiedź Netii chyba zdenerowowała nvm, …bo postanowił on opublikować 500 kolejnych rekordów rzekomo wykradzionych z bazy Netii (tym razem tylko pesele i numery umów, bez ID klienta i PIN-ów).

Nie udało się odebrać e-maila

Na nieprawdziwy zarzut Netii o rzekomym nieprzesłaniu przez Niebezpiecznika e-maila odpowiedzieliśmy bardzo szybko publikując treść e-maila w komentarzu i tłumacząc, że został on przesłany na adres e-mail rzeczniczki prasowej (który to adres widnieje na stronie Netii jako oficjalny kontakt dla prasy i pod który to adres e-mail Niebezpiecznik do tej pory z powodzeniem kierował korespondencje i otrzymywał odpowiedzi…). Co do zarzutu nieprzekazania próbki bazy — link do niej znajdował się w e-mailu… Swoją drogą, cieżko nam uwierzyć, że dział bezpieczeństwa Netii nie był w stanie samodzielnie dotrzeć do tej bazy — nvm za bardzo nie ukrywa się w sieci ze swoimi publikacjami…

Netia nie odpowiada, ale aktualizuje wpis na blogu

Niestety, pomimo tego, że przedstawiciel Netii koniec końców obiecał zająć się sprawą, do tej pory nie otrzymaliśmy odpowiedzi na nasze pytania (wierzymy, że powodem jest konieczność przeprowadzenia szczegółowej analizy, a weekend temu nie sprzyja). Netia opublikowała za to następującą aktualizację pod swoim wpisem na firmowym blogu:

Na podstawie informacji podanych przez przedstawiciela serwisu Niebezpiecznik.pl nie jesteśmy w stanie jednoznacznie potwierdzić czy zaprzeczyć tym rewelacjom. Z uwagi na powagę sprawy, do czasu ostatecznego jej wyjaśnienia, proponujemy Klientom zmianę czterocyfrowego kodu PIN w systemie Netia on-line (www.netiaonline). Doraźnie wyłączona została również automatyczna identyfikacja klientów poprzez kod PIN w systemie obsługi telefonicznej (IVR), a konsultanci weryfikują tożsamość Klientów w oparciu o bardziej szczegółowe dane. Dokładamy wszelkich starań, aby sprawę jak najszybciej wyjaśnić.

Powyższe wyjaśnienia Netii najwyraźniej rozsierdziły nvm, osobę, która wystawiła na sprzedaż bazę klientów Netii. Nvm postanowił więc w specyficzny sposób pomóc Netii w jednoznaczym potwierdzeniu kradzieży bazy i opublikował 500 kolejnych rekordów zawierających PESEL klienta i numer umowy Netii (tym razem bez ID użytkownika i czterocyfrowego PIN-u):

nvm publikuje 500 kolejnych rekordów z wykradzione bazy klientów Netii

nvm publikuje 500 kolejnych rekordów z wykradzione bazy klientów Netii, którą oferuje na sprzedaż

Nvm wystosował także następujące oświadczenie do Netii:

Widzę że administracja zbytnio nie przejęła włamaniem do swoich systemów (i jeszcze próbuje to zatuszować).
Nie macie śladów włamania? Cieszę się. Ale przejdźmy do rzeczy…
Jeżeli do końca lutego na moim koncie BTC ( 1MRJYpPA7V1ZpWGjX1bJJu9E5tVhY5BEGb ) nie znajdzie się 500 BTC to tydzień po tygodniu będę publikował bazę danych do logowania online.
Kolejne 500 BTC to cała baza danych (szczegółowa, sami wiecie co tam się znajduje. GIODO dam wam po dupie).
Wyciek może narazić was na koszty kilkudziesięciu milionów złotych. Wybieracie sami. W końcu to wasza spółka.
Ja mogę zapewnić że nie opublikuje ani jednego rekordu z bazy danych jeżeli wywiążecie się ze swojej umowy.
Podpisuję wiadomość swoim kluczem dla waszej pewności co do sprawy. Liczę na odpowiedź, może negocjacje? Wasz wybór – moje zasady.

Ciekawe co Netia na to? Czy ta próbka danych pozwoli Netii jednoznacznie potwierdzić fakt kradzieży danych klientów? Czy Netia rozważa zapłacenie okupu w Bitcoinach? (ostatnio Netia “zgodziła się” na przekazanie okupu, ale zamiast pieniędzy, złodzieje ujrzeli policję i zostali aresztowani).

Pytamy otwarcie w treści posta, bo nie chcemy ryzykować, że e-mail z naszymi pytaniami znów się gdzieś zawieruszy…

Aktualizacja 15:15, 14.01.2013
Netia potwierdziła, niestety dalej nie w komunikacji z nami, a w wypowiedzi dla Gazety, że baza posiadana przez nvm, z której stopniowo publikuje on PESEL-e, id użytkowników i PIN-y to w istocie baza klientów Netii:

1. Na podstawie dostępnych informacji, upublicznione rekordy zawierają dane związane z 540 kontami abonenckimi. Konta zostały niezwłocznie zabezpieczone.
2. Kontrola zabezpieczeń baz danych Netii wykazała, że według naszej najlepszej wiedzy są one w pełni zabezpieczone przed nieuprawnionym dostępem z zewnątrz. Bazy Netii są zabezpieczone zgodnie z najlepszymi standardami i przy wykorzystaniu wysokiej klasy narzędzi i technologii.
3. Prowadzimy intensywne postępowanie wyjaśniające celem ustalenia sposobu wypływu danych. Podejrzewamy, że źródłem było nielegalne działania osoby posiadającej dostęp do baz.

Wpis na blogu Netii nie został jeszcze zaktualizowany o tę wypowiedź i dalej prezentuje on błędną wypowiedź działu PR Netii, jakoby nasz artykuł o doniesieniach na temat kradzieży bazy klientów Netii był nieprawidzwy.

Aktualizacja
Wpis na blogu Netii został uzupełniony o wypowiedź dla Gazeta.pl

Aktualizacja
Jeden z naszych czytelników przesłał nam odpowiedź, jaką otrzymał z Biura Obsługi Klienta Internetii na pytanie dotyczące wycieku danych osobowych. W odpowiedzi tej konsultant potwierdza, że nastąpiło włamanie:

internetia-bok

Internetia odpowiada klientowi

Powyższy screen podesłaliśmy z prośbą o komentarz do Karola Wieczorka z Netii, z pytaniem, czy odpowiedź ta prezentuje najnowsze stanowisko firmy. Karol Wieczorek zaprzeczył tym doniesieniom i zapowiedział zwolnienie konsultanta z pracy zwracając jednocześnie uwagę, że Internetia i Netia mają osobną infrastrukturę do obsługi klienta:

Panie Piotrze,
To glupia, niezgodna z prawda odpowiedz, za ktora ten konsultant zostanie zwolniony z pracy!
PS Pod wzgledem operacyjnej obslugi klienta Internetia i Netia funkcjonuja rozlacznie.

Aktualiacja 16.01.2013, 17:18
Netia właśnie oświadczyła, że włamanie z 2011 roku nie dotyczyło jej serwerów, a serwerów spółki, którą Netia zakupiła oraz że dane które publikuje nvm nie są wspólne z wykradzionymi wtedy:

Włamano się na serwer archiwalny tej spółki, który nigdy nie był podłączony do sieci korporacyjnej Netii (nie był objęty standardami bezpieczeństwa obowiązującymi w Grupie Netia). Wykradziona wtedy baza danych została odzyskana i zabezpieczona, a sprawcy ujęci przez Policję i skazani prawomocnym wyrokiem sądu.

Oświadczamy, iż ujawniane obecnie rekordy, dotyczące kont abonenckich nie są danymi, które zostały odzyskane po włamaniu z 2011 roku.

Zapewniamy także, że baza danych klientów w Netii – według naszej najlepszej wiedzy – jest należycie zabezpieczona przed nieuprawnionym dostępem z zewnątrz. Bazy Netii są zabezpieczone zgodnie z najlepszymi standardami i przy wykorzystaniu wysokiej klasy narzędzi i technologii.

Ujawniane przez szantażystę rekordy znacznie zawężają źródło ich pochodzenia. Ustalenie sprawcy – w naszej ocenie – powinno być tylko kwestią czasu.

Konta abonenckie, które wskutek kradzieży niektórych danych ich dotyczących mogły być zagrożone, zostały odpowiednio zabezpieczone.

Netia nie zamierza negocjować z szantażystą, ani tym bardziej, płacić mu żadnego okupu, w żadnej walucie.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

154 komentarzy

Dodaj komentarz
  1. ten cały nvm i reszta “sceny”, panowie mogliby wkońcu
    przestać zdradzać prawą rękę z lewą.

    • nie no wiadomo, tru scenowcy piszą tylko blogaski o tym że trzeba stosować hasła lepsze niż dupajasiu, a sami tak naprawdę nic nie robią. No, poza promowaniem szkoleń dla pointy-haired bossów it.

  2. Pewnie powiedzą, że tego postu w ich “internetach” nie widać. :D

  3. Naprawdę śmieszne jest to, że Netia próbuję wmówić swoim
    klientom, że nic się nie stało .

    • mam wątpliwą przyjemnosć być klientem na ADSL Netii (na LLU) i cóż, jeszcze dziś logowałem się do konta w jakimś celu – żadnej prośby o zmianę PIN. Żadnego maila z prośbą o zmianę PIN… może zapytałbym ich o to z wewnątrz “systemu”, ale skutecznie go popsuli i wysłanie wiadomości nie jest możliwe :>

      W każdym razie PIN zmieniłem (natomiast nie mam pewności, że nowy też nie wycieknie)…

    • Dla mnie też takie zachowanie jest niepoważne. Moja firma również niestety tak postępuje (w sensie zepsuło się u nas? Wymyślajcie historyjki, że gdzie indziej). To jest takie nieprofesjonalne. :(

  4. Cała ta sprawa śmierdzi. Wygląda to na walkę konkurencji i
    wykorzystywanie do tego prasy. Ktoś z byłych pracowników
    posiadający bazę klientów mógł przejść do konkurencji, następnie
    ktoś zaoferował bezpośrednio nvm sprzedaż bazy netii po atrakcyjnej
    cenie lub wprost zlecił mu całą sprawę z nagłośnieniem
    upublicznienia.

    • Tym bardziej, że w Netii były przecież ostatnio zwolnienia,
      pisała o tym prasa…

    • A ja mam inne domysły niż wy – baza jest z 2010, wiec
      obstawiam ze to ta sama ktora chciano rok temu sprzedac netii za
      100 000 pln, ale sie nie udalo. Pewnie ci co chcieli ja sprzedac
      zrobili kopie (moze nawet chwalili sie kolegom przed szantazem
      netii) i teraz te kopie ktos pchnal w obrot.

  5. 500 BTC to chyba na waciki.

    • 21 000 zł to mało?

    • Chyba 4000zł?

    • czemu 4k? 20500+ na chwile obecna

  6. No cóż, pin/hasło/login/e-mail zmienione ale co z tego,
    jeżeli dane osobowe/teleadresowe nie da rady tak łatwo zmienić ?
    Ciekawe jak będzie finał tego wszystkiego :)

    • A na co komu losowe dane klienta jednego z większych polskich dostawców? To tak jakbyś się dowiedział, że Jan Kowalski z Warszawy korzysta z usług Orange.

    • Dane PESEL? Hmm….https://niebezpiecznik.pl/post/kontrowersje-wokol-narodowego-spisu-powszechnego/ Nie trzeba się bawić tylko od razu zachwiać demografią Polski, a kwestia tylko dużej puli IP…

    • “Zachwiać demografią”? Taki z ciebie ogier?
      Litości…

  7. Jak na taką baze to 500 BTC (okolo 22 tyś.) to niezbyt wiele. Ale netia ma dobrą wymowke: co to jest btc? jak sie to obsługuje? moze jednak klasyczne spotkanie na stacji i pieniadze z reki do reki (+ słuzby specjalne ;) )

    • Zdecydowanie więcej. Zobacz jak kurs BTC szaleje ostatnio
      ;)

  8. Zawsze, gdy patrzę na postępowanie ludzi pokroju tego pijarowca ogarnia mnie głeboki smutek, jak człowiek może z własnej woli zostać kimś takim, przecież on teraz musi “odpowiadać” za ignorancję netii, niejako biorąc to na swoje nazwisko. Wierzę, że delikatnie mówiąc ma on związane ręcę, ponieważ netia dała d…, a jako rzecznik przecież nie może tego powiedzieć, więc wymyśla jakieś (z d… wzięte) tłumaczenia, teraz pewnie nie będzie widać bazy z “ich” internetu. Wiem, nie każdy nadaje się do produktywnej pracy, jednak i tak wywołuje to smutek.

    • A kto mu to wypomni?
      Nikt i nigdy.
      Czy Urban źle wyszedł na tym co robił?
      Kasa leci i oto chodzi , reszta się nie liczy.

    • jezus maria…arni tu jest. czas uciekać…

  9. http://blog.netia.pl/netia/entry/niebezpiecznik-pl-odgrzewa-zmyslone-kotlety
    – Aktualizajca II Nie ma jak to bełkot PR-owca. Wszystko co
    niebezpiecznik mówi to stek kłamstw, ale lepiej pozmieniajcie swoje
    numery PIN. Po drugie, nie wierzę, że sprawdzanie 40 rekordów
    zajmuje komuś 2 dni. Wpisanie numeru umowy i sprawdzenie do kogo ta
    umowa należy to chyba nie jest jakiś wielce skomplikowany data
    mining?

    • Gra na czas.

  10. Równie profesjonalne jest zachowanie “rzecznika (czy tam
    pijarowca)” jak i osób z helpdesku… Nikt nic nie wie, nikt nie
    słyszał, pewnie to nie prawda, ale proszę zmienić hasło (skoro to
    nieprawda, to po co zmieniać hasło, a jeśli jednak prawda, to i tak
    po co je zmieniać skoro to nie pomoże?)… Sam mam doświadczenie na
    hd (na szczęście nie polaczkowej korpo, tylko hamerykańskiej) i już
    same procedury dotyczące haseł były MEGA skomplikowane i BARDZO
    zapezpieczone. Nie wspominając już o tym, że przy jakimkolwiek
    “Security issue” cały sztab security IT był stawiany w pogotowiu
    (po prostu był team który przez całe tygodnie nic nie robił- poza
    doszkalaniem się- natomiast w czasie problemów reagowali
    natychmiast). A tutaj rzecznik wdaje się w pyskówki na blogu, chcąc
    udowodnić chyba, jak bardzo nie ma racji, zamiast podnieść alarm na
    całą firmę… I jeszcze to wielkie “sprawdzanie”. Co tu do
    sprawdzania, weźcie jeden rekord, sprawdźcie, czy da się nim
    zalogować- jeśli tak to znaczy że co najmniej jeden rekord wyciekł-
    a to już jest powód do poważnego zmartwienia (zwłaszcza, że może
    dowodzić, że reszta rekordów też jest zagrożona)… Wstyd, wstyd,
    wstyd…

    • 1. Ach te amerykańskie korporacje! Szkoda, że z bliska
      …są dosyć podobne. 2. “Sztab IT security” lepiej jest stawiać na
      nogi ZANIM mleko się rozleje, tzn. zapobiegać, a nie leczyć. I
      tutaj faktycznie różnice w mentalności się zdarzają, choć nie jest
      to prosty podział na “polaczków” i “hamerykanów”. 3. A jeszcze
      lepiej stosować bezpieczne technologie. Są takie na tym świecie,
      choć rzadko zawierają słowa “linux” i “windows”.

    • Oh, takie dobre korpo, amerykańskie… Weź się nie kompromituj. Firmy, tak jak i ludzie, dzielą się na mądrych i głupich i obie frakcje są obecne zarówno w wychwalanej hameryce jak i pogardzanym przez ciebie “polaczkowie”.

    • Bardziej chodziło mi o mentalność i styl myślenia- niż o konkretne państwo. Mam wrażenie, że w wielu polskich (chociaż nie tylko) firmach bezpieczeństwo IT opiera się na założeniu hasła na wifi i zainstalowaniu darmowej wersji avasta.

      Oczywiście, jest to może nieco przerysowany obraz, ale jak inaczej można nazwać zachowanie Netii jeśli nie totalną ignorancją (dodatkowo połączoną ze świętym oburzeniem PR, że ktoś śmie im coś wypomnieć).

      No niestety, ale jak ktoś już napisał, procedury resetu hasła/pinu są wręcz śmieszne, sprawdzenie i porównanie kilku rekordów wymaga zwołania narady wojennej (i to nie w łikend), a informacje o problemach są olewane (bo pani Madzia majla nie forłardowała)…

      I nie mówię, że jest tak w każdej polskiej firmie, ani też nie mówię, że odwrotnie jest w każdej zachodniej. Chodzi mi tylko o podejście do pewnych spraw, które w (nie oszukujmy się) wielu polskich firmach, a nawet wielkich korpo (patrz: Netia) nadal odbywa się na zasadzie “jakoś to będzie, może nikt nie zauważy”.

      Do tego dochodzą zupełnie nieprzemyślane wypowiedzi “rzeczników”, które brzmią jak olewcze opinie 19 latka umiejącego jedynie zainstalować lewego win xp, a nie osoby mającej odpowiadać za kontakt z klientami potężnej firmy telekom- że zacytuję tylko kilka:
      “Panie Piotrze, koleżanka twierdzi, że żadnego maila od Pana nie dostała”
      “Pewnie Pan wie, że w weekend wyjaśniania takich rzeczy jest nieco bardziej skomplikowane”
      “Proszę jednak mieć na uwadze fakt, iż NOL to nie jest system sterowania bronią atomową”
      “stąd trzeba się zastanowić czy robić z niego rozwiązanie wygodne dla klientów, czy istny Fort Knox”
      Serio? To są poważne wypowiedzi? I “oficjalne stanowisko” wymuszone przez gazeta.pl ? Zero info na stronach, zero info w IVR, zero info dla klientów…

      To jest właśnie “polaczkowe” podejście- byleby taniej, byleby olać. Dziwi mnie to zwłaszcza w sytuacji, gdy sprawa jest już ujawniona i zaprzeczanie nie ma sensu- chyba, że stosujemy metodę “Jak zamknę oczka i nie widzę problemu, to znaczy że problemu nie ma”.

      To nie jest poważne podejście- nie tylko na zachodzie (czy wspomnianym już US), ale nawet w Polsce, w której jednak jest “kilka” osób znających się na IT bardziej niż “pan z informatyki co drukarkę umie podłączyć”.
      Jedyny plus dla WP, za słowa “za sprawą stoi internauta dobrze znany w branży bezpieczeństwa”

  11. Piotrze, zastanawia mnie jak powinno się zabezpieczać takie bazy? Myślę nad przypadkiem nad którym zawartość takiej bazy musi być dostępna z poziomu PHP, no i załóżmy że wszyztko jest dobrze zabezpiecozne, aż następnego dnia wychodzi jakiś exploit na php i pozwala dobrać się do bazy danych. Jak zabezpieczyć DB przed tym? Jakieś szyfrowanie? Kluczem jakimś trzymanym na serwerze? To chyba głupota, prawda? Szyfrowanie rekordu usera jego hasłem? Brak możliwości przypomnienia hasła.

    • Najpierw warto sobie odpowiedziec na pytanie co tak naprawdę chcemy zabezpieczyć?
      Dane osobowe? (czy rzeczywiście musimy aż tyle ich zbierać od użytkowników)
      Hasła/dostęp do serwisu? (można hashować bcryptem – ale przy wycieku to jedynie opóźnia a nie uniemożliwia złamanie – może lepiej edukować użytkowników na temat unikalnych haseł, nie ograniczać przestrzeni polityką “tylko 4 cyfry”. No i może warto zainwestować w 2 factor auth?)?

      Nie ma uniwersalnych rad – bo do każdego przypadku powinniśmy robić analizę ryzyka (ale programistów, pmów czy architektów którzy słyszeli o SDLC czy threat modelingu można policzyć na palcach jednej ręki.. – jak na szkoleniach o to pytam to 1/10 wie o co kaman).

      Moim zdaniem koniecznością w dzisiejszych czasach jest regularne zlecanie testów bezpieczeństwa (penetracyjnych) – dobry zespół testerów znajdzie więcej luk niż przysłowiowi gimnazjaliści z for o hackingu, którzy codziennie próbują się włamywać na polskie serwisy przy pomocy “programów do hackowanai” typu sqlmap…

      Ale patrząc po naszych klientach, na razie na testy decydują się głównie ci którzy profesjonalnie podchodzą do tematu (bankowość i finanse) albo ci, którzy już raz zaliczyli wpadkę i na własnej skórze odczuli jak to boli ;)

    • IMHO Po pierwsze lepiej unikać bezpośredniego kontaktu bazy
      danych z Internetem. Jeśli system selfcare ma dostęp do takich
      danych, to lepiej niech nie czyta ich bezpośrednio z bazy, lecz
      korzysta z middleware (SOAP, XMLRPC, REST), odgrodzone od firmy
      solidnymi firewallami i innymi technologiami (np. frontend w PHP,
      middleware i CRM w Javie/C#). Dobrze żeby to wszystko było
      zaudytowane, regularnie łatane, a frontend pytał tylko o dane
      pojedynczych userów, którzy autentykują się w middlewarze przy
      pomocy swoich loginów i haseł zanim CRM zwróci cokolwiek do
      frontendu.

    • A może tak odnieść do pytania bezpośrednio?
      Wg mnie poza wdrażaniem infrastruktury dedykowanej do obsługi szyfrowania, można (i należy):
      – zastanowić się, co się stanie w razie wycieku, ile będą kosztować straty i ile jesteśmy skłonni wydać aby ich uniknąć – często prościej jest nie mieć danych
      – nie zajmować się rzeczami, na których się nie znamy – koszt może być wyższy niż wynajęcie fachowców.
      – szyfrować wrażliwe dane
      – zachowywać zdrowy rozsądek przy definiowaniu ograniczeń na pola, np. hasło max 10 znaków to jest niezły dowcip ;-)
      – przed wejściem na produkcję wykonać audyt bezpieczeństwa aplikacji (możliwie niezależny)
      – co jakiś czas (rok-dwa?) zadać sobie pytanie, czy stosowane środki są jeszcze adekwatne?

      Z rzeczy niskopoziomowych, podstawowe trzy sprawy, które zwykle kuleją:
      – dbać o bezpieczeństwo klucza (np. trzymać go gdzie indziej niż katalog wirtualki – w razie błędu serwera WWW nie da się go raczej odczytać)
      – używać bcrypta lub innej powolnej funkcji hashującej do haseł/tokenów
      – pilnować uprawnień na serwerze (często spotykane 777 na całości bo coś-tam stworzyło problemy)

      Pewnie jest parę innych ważnych zaleceń, ale powyższe są chyba najważniejsze. Jak coś pominąłem albo napisałem bez sensu – proszę o krytykę :)

  12. Fajnie, normalna firma powinna miec dobre zabezpieczenia.
    Jednak bedac na tym etapie nie placilbym nvm. Dostanie szmal, a
    potem i tak baze upubliczni.

    • nie upubliczni. straciłby autorytet i wiarygodność i to byłyby dla niego ostatnie zarobione w ten sposob pieniądze.

    • Hahahaha, nvm i autorytet i wiarygodność? :D Autentycznie zaśmiałem się na głos.

    • Od kiedy złodziej ma jakikolwiek autorytet i wiarygodność? Oczywiście, że winna jest firma, która dopuściła to włamania, ale ten kto włamu dokonał (zamiast informować firmie o slabościach systemu licząc na wynagrodzenie) to jest zwykłym złodziejem. Korzystającym z bardziej wyrafinowanych metod, ale nie różniący się od tego, co np. widzi rozbitą szybę w sklepie i sięga po telewizor z wystawy.

    • Bandzior i autorytet? Dobre.

  13. Subskrybcja komentarzy ;)

    • Masz rssa…

    • RSS nie jest aż tak wygodny dla komentarzy ;)

  14. Jako były klient jedyne co mogę polecić w tej sytuacji to
    zmiana hasła lub pinu do usługi netia onlne. W danych kontaktowych
    powpisywać zmyślone dane, na wypadek kolejnej kradzieży.

  15. A na stronie logowania do eBOK Dialogu (już Netii) w
    podpowiedzi >>Jeżeli logujesz się po raz pierwszy, w
    miejscu hasła wpisz PIN. Jeśli go nie zmieniałeś, są to 4 ostatnie
    cyfry numeru Klienta.<< Pytanie jaki % klientów
    zmieniło PIN? Czy ktoś już sprawdzał?

  16. Się narobiło… śledzę tę sprawę z uwagą, szalenie ciekawią mnie techniczne aspekty wycieku . Póki co same umowy z 2009 / 2010 r.

    Czy któremukolwiek z czytelników udało się znaleźć na liście swoje dane ?

    • Chłopie, przecież te wycieki nie należą do nvm’a, tak samo
      jak wiele pozostałych…

    • Przecież nie napisał, że należą.

  17. Jestem klientem Netii już jakiś czas. Żadnej wiadomości o
    ich problemach nie dostałem, ani też żadnej prośby o zmianę pinu.
    Jak znajdę siebie na jakiejś liście i login oraz pin będą się
    zgadzały, to odbiję sobie za kiepski internet.

  18. Niezła dziecinada – z dwóch stron. Co do samej Netii – ich
    system jest mistrzowski. Przykład faktur: pojawia się w systemie,
    po upływie dnia można dopiero zobaczyć wygenerowanego pdfa
    (wcześniej można cieszyć się tylko informacją, że faktura ‘jest’).
    Przy płaceniu online wystarczy pospieszyć się przy wpisywaniu hasła
    aby po błędnym wpisaniu mieć przyjemność odczekania kilka/naście
    minut, żeby otrzymać kolejną próbę zapłaty online (po nieudanej
    próbie przycisk ‘zaplac’ nieaktywny).

  19. A gdzie on to upublicznia, na jego stronie oraz na PBM i PHZ nic nie ma, w jakis subforach gdzie ma dostep tylko nvm i ekipa niebezpiecznika :D ?

    • Na “Mekkce chakieruf” – pastebin.com ;p Sprawa rzeczywiście
      śmierdzi.

    • pastebin bystrzacho

  20. Nie lepiej trak konstruować. Umowy, że pracownicy mający
    kontakt z bazą danych. Mają 5 letnią odpowiedzialność. Po
    zwolnieniu : ) I wtedy jak baza wycieka, to pracownicy którzy
    odeszli są zaliczania do grona podejrzanych. Prewencyjnie.
    Oczywiście taki wariant jest nie jest przyjazny dla pracowników.
    Albo postawić na zasadę. Że ten kto ma dostęp do baz jest tak
    dobrze opłacany i jest człowiekiem “swoim”, Tak jak partie
    ustawiają dyrektorów itd. Że nie będzie próbował jej kopiować i
    sprzedawać. : )

    • Nie musza być skonstruowane. Od tego jest prawo cywilne i
      prawo karne. Za powierzone mienie/również niematerialne po prostu
      się odpowiada, również karnie. To jest tajemnica przedsiębiorstwa,
      nie ważne czy jest telekomem, czy sprzedawcą bułek, który ujawnia
      dane sprzedażowe. Dostęp do danych za ekstra pieniądze? Każdy
      pracownik firmy (no może poza sprzątaczką) musiałby mieć ekstra
      płacone, bo jego praca to w 99% przetwarzanie danych.

  21. http://pastie.org/5680913

  22. Tak to jest jak sie traktuje soich pracownikow jak bydlo. Tylko raz widzialem w jakich warunkach ci ludzie pracuja – do dzis pamietam. To jest jakis je*any oboz pracy rodem z Chin.

    • Tak to jest jak się wszystko outsourcuje i wyprowadza kolejne elementy funkcjonowania poza firmę, a tym samym – mniejsza kontrola. Netia chyba odwróciła się od tego pomysłu, bo jak skończył się okres dużej różnicy cen w porównaniu do TP, to się nagle okazało (cóż za zaskoczenie…), że zewnętrzna firma w kanale sprzedaży, jak i BOK sobie nie radzą, zbierając zasłużone negatywne opinie. Zwykłe zapatrzenie w słupki Excela. Co z tego, że zewnętrzny pracownik będzie “tańszy”, jak z powodu dużej rotacji będzie nieprzygotowany, do tego pracuje za psią stawkę, tak więc nakłamie klientowi i powie mu to co by chciał usłyszeć, byle zgarnąć prowizję za sprzedaż :-).
      Nie wiem co było źródłem wycieku. Może jakiś zawiedziony świeżo zwolniony pracownik, może słabsze zabezpieczenia w firmie zewnętrznej, może tak jak wczesniej to jest baza operatora, którego niedawno przejęli, a może to dziura w systemie samej NEtii. Nic nie wiadomo i nic nie będzie wiadomo.

  23. Niezwykle bawia mnie zapewnienia osob, ktore cokolwiek wykradly, ze “w przypadku spelnienia ich wymagan nic nie zostanie ujawnione”.
    “Helo, m*fucker, you stole our pwds! d’oh …”
    Jak mozna ufac komus, kto juz cie okradl i “dealowac” z nim? jednak jest wiele prawdy w zasadzie “z terrorystami sie nie negocjuje” [juz pomijajac nieadekwatnosc terminu “terrorysta”].
    Generalnie:
    1. nie mozna ufac komus, kto juz cie okradl i jest zlodziejem, a jego motywacja jest czysto zarobkowa [a nie jest np zwiazana z wykazaniem istnienia luki celem poprawy jakosci bezpieczenstwa w ogole]. Chcesz miec pieniadze? idz do pracy – umyslowej, fizycznej. My ci placic za cwaniactwo i nieuczciwosc placic nie bedziemy
    2. nie powinno sie placic komus, kto cie okradl, bo to rozbestwia bydlo. Zaczynaja sie organizowac w klany, grupy, wykupywac exploity [bo sami nie potrafia tego robic], zdolnych coderow i rznac ludzi na dane i kase.

    • Jakis Ty naiwny…

    • Wykopkowicze vel Gimbaza v2.0 w natarciu.

  24. Netia od zawsze była partaczem, a poza tym nie wiem czy wiecie ale Netia nie ma swoich techników, wszelkie sprawy techniczne i security robi Ericsson za grubą kasę.

    • Cos w stylu TPSA nie ma swoich technikow zleca to firmie Sprint?:P Moze tak po prostu taniej wychodzi?:D

    • No co Ty :] Pracownicy Eriszkona, = “workerzy” spółek
      zależnych od Netii, bądź jej samej. Na mocy porozumienia Erikszon
      przejął część ludzi. Chodziło zdaje się o rozbudowę ich własnej
      sieci. W dzisiejszych czasach “jogurty” zarządzające telekomami
      liczą, że dzięki outsourcingowi zaoszczędzą pierdyliardy złotych.
      Na polskim poletku ma to niestety opłakane skutki. ps. nie wiem,
      czy ktoś jeszcze pamięta hosting Netii i jego “działanie. ps. 2 Pan
      Wieczorek zaliczył “pijarowy” fail roku ;)

  25. To prawda, kiedyś mi się nawet zdarzyło z technikiem Ericssona rozmawiać przy problemach z internetem na LLU…

  26. Szanowna Redakcjo,

    Mam pytania:

    Pytanie nr 1: Czy 2 dni na weryfikację próbki danych to:
    a) za mało czasu
    b) wystarczająco dużo czasu
    c) o wiele za dużo czasu

    Pytanie nr 2: Czy wg Was Netia w we własciwy sposób zareagowała po otrzymaniu próbki danych? Czy np. nie powinni poinformować klientów (e-mail, nie wpis na blogu), że powinni w razie czego zmienić swoje nr PIN?

    Pytanie nr 3: Czy i kiedy wg Was Netia zajmie stanowisko w sprawie próbki danych?

  27. Buhaha… Netia jest co najmniej śmieszna:

    ” Na tę chwilę wiemy, że: upublicznione rekordy zawierają dane związane z 540 kontami abonenckimi. Konta zostały niezwłocznie zabezpieczone. Kontrola zabezpieczeń baz danych Netii wykazała, że według naszej najlepszej wiedzy są one w pełni zabezpieczone przed nieuprawnionym dostępem z zewnątrz.”

    Czyli do czasu kolejnej publikacji części rekordów bazy przez nvm nie wiadomo jeszcze jakie konta należy… zabezpieczyć ??? No bez jaj ;-)

  28. […] Aktualizacja 3: Opublikowaliśmy kolejny post w tej sprawie, dot. reakcji nvm na oświadczenie Netii — nvm ujawnił 500 kolejnych rekordów z bazy klientów Netii. […]

  29. z http://technologie.gazeta.pl/internet/1,104530,13197996,Wykradziono_dane_klientow_Netii.html
    “Udało nam się skontaktować z przedstawicielami Netii. Potwierdzają oni, że doszło do włamania, a sprawa dotyczy 540 osób.”
    @niebezpiecznik.pl – jak załączacie jakieś info z innych stron, dodajcie tez to co tam jest najciekawsze…
    PR netii jest ciekawy – przez gazeta.pl prostuja i twierdza ze sprawa tak naprawde dotyczy tylko tych 540 kont… Z drugiej strony gazeta.pl tez błyska dziennikarską inteligencją i weryfikacją informacji – podają linka na niebezpiecznik,ale chyba źródła to nie czytali…

    • @takitam Nie badz naiwny. Artykul dla gazety jest artykulem
      sponsorowanym aby przedstawic sytuacje w lagodny i przefiltrowany
      sposob dla mas. Lepiej by manipulowani ludzie uslyszeli ze sprawa
      dotyczy “540 osob”, niz “540 osob lub wiecej” i to bez obanzania
      zaniechan ze strony posiadanych zabezpieczen. W dodatku
      “poszkowanemu” wyjatkowo nie jest na reke, ze niebezpiecznik drazy
      temat, stad komunikacja odbywa sie za posrednictwem innego kanalu,
      za plecami. Ludzie dalej beda zaniepokojeni, ale jak do tego TV
      podchwyci temat i pusci rownie dobrze zmanipulowany material to
      bedzie sukces ukazujacy kontrolowany przeplyw wolnej informacji ;)
      Zawsze kibicowalem niebezpiecznikowi i dalej kibicuje. Drazcie
      temat, takie zaniedbania ze strony jednego z najwiekszych dostawcow
      uslug telekomunikacyjncyh sa karygodne i nie wazne czy baza
      faktycznie wyciekla lub zostala po prostu skradziona przez jednego
      ze zwolnionych pracownikow.

  30. Ludzie ten cały nvm to najzwyklejszy lamer, próbujący zrobić szum wokół własnej osoby.
    Handluje bazami, które już od dawna leża na pastebinie, a przywłaszczanie sobie włamań do systemów teleinformatycznych to już kpina. Dla mnie nvm jesteś zerem.

    • Nie wazne kim jest, co robi, jaki ma rozmiar penisa i jaka
      masz opinie na jego temat. On pewnie jest tylko pionkiem, a chodzi
      tylko i wylacznie o ukazanie jak Netia dba o klientow i
      bezpieczenstwo danych.

  31. Mnie to ciekawość już zjada. Co będziecie mówić, jak Netia nie będzie miała wyjścia, zapłaci okup, a nvm zrobi to co sobie założył. Czy znowu będziecie obrzucać go błotem i zrównywać z poziomem gimnazjalisty czy może przyznacie mu już jakiś odpowiedniejszy stopień godny jego osoby i wyskoczycie z butów własnego komfortu tak jak on? Czy zaryzykujecie czy znowu go zjecie?

  32. nie on pierwszy i nieostatni zrobił netie ;] grunt to się
    nie pucować a my i tak wiemy kto i jak, kiedy i
    dlaczego…

    • Jesteś tym słynnym anonimusem?

  33. Generalnie odnoszę wrażenie że baza jest stara. Jednakże
    też można zauważyć że jest sporo firm które załatwiają umowy
    papierowo u klienta na zlecenie Netii. Jako operujacy w całej
    polsce jako mniejsze firemki zarządzane są regionalnie i z
    doświadczenia wiem że ochrona danych tam nie istnieje. Piny były
    (przynajmniej w 2010/2011 ustalane przez agentów terenowych
    praktycznie żadne dane nie są generowane przez system w tym
    przypadku. Nie kwestionuje czyjyś działań ale to też jest
    potencjalne miejsce dotarcia do danych

  34. Powalające s�? niektóre komentarze, typu ‘złodziej i wiarygodność’, czy ‘przecież to nie nvm zdobył bazę’. Czy ktoś poza Netią i jej klientami poczuł się urażony? Sprawa jest prosta i niektórzy jakoś dziwnie ją komplikują. ‘Złodziej i wiarygodność’ – tak, dokładnie tak to działa w gronie paserów, czy innych handlarzy dobrami które do nich nie należą, jeśli taki chce zarobić dba o ‘klientów’ i żyje na lewo ile może – to sytuacja 100% analogiczna do tej którą spotykamy w legalnie działających firmach – łamie prawo/prawa, ale prawa rynku nadal są święte. Co oczywiście nie znaczy, że złodziejowi można zaufać ;->

    A co do tego czy to nvm wyciągnął bazę, czy nie… Jakie to ma znaczenie? I kogo tak naprawdę obchodzi czy on jest lamerem, czy nie jest? Zdobył bazę (nie ważne jak, czy ukradł koledze, czy bezpośrednio z infrastruktury Netii), upublicznił informację o tym – stworzył wiele problemów. Tyle.

    • Ma to znaczenie.
      Jeżeli nie on JEDYNY dysponuje tymi danymi to… wiesz :)

  35. Drogi Niebezpieczniku, Chyba minęło już dosyć czasu w
    Netii. Konta nie są zablokowane (chodzi o te opublikowane). Dla
    przykładu: Paulina R******** Konto: 43743903 Prosty trik i na każde
    konto można wejść, mimo blokady przez Netię.

  36. Zawsze mozna zrobic DoS’a na infrastrukture przetwazania
    umow i pozrywac w panelu wszystkie umowy czy tez zrobic cos innego.
    >:D

  37. napisałem do TVN i niech się tym zajmą . nie pozwole na to
    aby moje dane latały po internecie !

    • TVN to the rescue.

    • a1aegis +1 :)

  38. Pewnie potwierdzenie tego przejdzie Netii przez gardło tak “łatwo” jak RSA gdy wykradli im seedy tokenów…

  39. zbyt osobiste ma się rozumieć? no dobrze już dobrze

  40. Ok, a gdzie, to rzekome ogłoszenie o sprzedaży danych ??

  41. Ludzie, czy związku z tym wyciekiem danych mam prawo rozwiązać umowę ?

  42. Zmiana numeru pin poprzez podanie pesela hula w najlepsze. Także konta z drugiej próbki stoją otworem. Nawet tego baranom nie chce się poblokować.
    Wstyd!

  43. Wiecie, mam pewien żal do nvm, że nie wystawił bazy na aukcji WOSP na allegro. Ciekawe za ile by poszła ? ;-)

  44. No cóż. Netia dalej brnie w PRowe zagrywki. Ano bo niebezpiecznik nie piszę prawdy, bo to nie hacked tylko diskcopy. A artykuł na Wirtualnej Polsce to nic innego tylko zawiść konkurencji (TP/Orange) :]

    • Żenada, co robi ten Karol Wieczorek z Netii , jak ją na pośmiewisko naraża. Ja bym go zwolnił za taki brak profesjonalizmu. nvm zaraz sie pewnie wk… i napisze jak dokładnie baza została wykradziona to skończą się ściemy rzecznika że niby wyniósł ją pracownik, że konkurencja, że promieniowanie kosmiczne. Nie mogę uwierzyć że gościu z Netii podpisuje te kłamstwa własnym nazwiskiem i w każdej następnej aktualizacji przyznaje wprost że to co mówił z taką stanowczością to były kłamstwa i bulszit. no to komedia jest jakaś! :]

    • Cóż, o ile kojarzę, to na WP napisali, że baza WSZYSTKICH
      klientów została wykradziona. Z tego co czytam nie ma nigdzie
      postawionej takiej tezy gdzie indziej. Zrozumcie mnei dobrze –
      nawet jeden przypadek jest niedopuszczalny, ale jeżeli nie ma
      podstaw do twierdzenia, że wyciekły dane wszystkich klientów to
      nadużycie i celowa manipulacja. Do tego manipulacja w portalu,
      którego właścicielem jest największy konkurent – TP, zatem czy ja
      wiem, czy to takie naciągane i śmieszne? Co do Pana Wieczorka, to
      być może reaguje trochę zbyt emocjonalnie, ale może właśnie
      dlatego, że to były dziennikarz i wie jak działają mechanizmy
      wykorzystwywania takich wpadek przez konkurencję? Zachowanie Netii
      będzie można ocenić kompleksowo jak się ta cała afera skończy, jak
      na razie mi się ono nie podoba. Pretensje jednak kierowałbym nie do
      “twarzy”-rzecznika, bo przecież ludzie na tym stanowisku sami o
      niczym nie decydują. Jak już zwalniać, to wszystkich :-).

    • @tak myślę
      cytat: “…Zachowanie Netii będzie można ocenić kompleksowo jak się ta cała afera skończy, jak na razie mi się ono nie podoba. Pretensje jednak kierowałbym nie do
      “twarzy”-rzecznika, bo przecież ludzie na tym stanowisku sami o niczym nie decydują. Jak już zwalniać, to wszystkich :-)”

      Jak już zwalniać to przede wszystkim odpowiedzialnych za IT security i obniżanie kosztów za wszelką cenę poprzez outsourcing IT. Co jest winny szeregowy pracownik biura czy sprzedawca, który wielkiej wiedzy o kulisach IT w firmie nie ma i nawet mieć nie powinien (zna jedynie ofertę firmy). Gdyby system Netii był bardziej dopracowany atak byłby przynajmniej znacznie utrudniony, a jeśli już by nastąpił wyciekło by tylko część danych i to nie wszystkich (np. wyciekło by tylko trochę loginów i haseł, które natychmiast zostałyby zresetowane). Tak było choćby z wyciekiem tylko części haseł Linkedin, po wykryciu wycieku hasła userów zostały bardzo szybko przezeń zresetowane.

  45. czy serio nikt nie skojarzył faktu że fubu który poszedł siedzieć za kradzież bazy netii w 2011 wychodzi w styczniu 2012 na wolność a 2 dni później w sieci pojawia się baza netii z 2010 roku? :]

    • Nikt nie skojarzył bo to skrajnie głupie. Nie wykluczam, że
      możliwe, ale ludzie… Choć z drugiej strony jak przy ostatniej
      akcji było jak w hamerykańskim filmie na stacji benzynowej, to kto
      tam wie jak “sprytne” sa zaangażowane strony.

  46. Kolejne popisy PR’owca z Netii na Twiterze: ktoś napisał: Z
    uzupelnienia wpisu wnosze, ze macie juz dostep do owej bazy danych
    odpowiedź Karola Wieczorka: Trudno to nazwać bazą danych, ale coś
    dostaliśmy. hmm… chyba Pan Karol Wieczorek nie wie co to jest
    baza danych, ups… kolejne faux pas ?

    • Ten rzecznik musi być po prostu jakimś dzieciakiem bo inaczej delikatnie tego skomentować się nie da.

  47. buhahaha…. polecam wypowiedź Pana Karola Wieczorka od 40s
    odnośnie wypisywania bzdur na blogach:
    http://www.youtube.com/watch?v=CZb63asIE9E to się uśmiałem
    :-))))

  48. Postawa Karola Wieczorka IMHO jest żałosna, żenująca i
    kompromitująca dla firmy w której pracuje. Zaprzeczanie, ściema z
    zaginionym mailem, oczernianie innego serwisu, lekceważący sposób
    komunikacji, aż tu nagle jednak był wyciek, niesamowite. Zabawne
    jak nagle zmienił się tytuł wpisu na blogasku (permalink został).
    PR-owa klęska. Śmieszy mnie to ciągłe podkreślanie jakie to
    najwyższe standardy zabezpieczeń są stosowane. :-D Oby jak najmniej
    takich szkodników w branży. Jak dla mnie murowany kandydat do
    Złotego Faila. ;-) O ile nie popieram działań nvm, to jednak było
    warto dla samego faktu ujrzenia tej szopki.

    • nvm oczywiście łamie prawo wykonując niezamówiony pentest (można było spróbować robić to legalnie) i proponując okup za bazę, jednak obnażył przy tym indolencję władz firmy (i rzecznika nieprzygotowanego do obsługi kryzysu), nieumiejętne zarządzanie kryzysem (powinno być uczciwe info o ataku na stronie hostowanej na serwerze innej firmy i oczywiście zablokowanie zmiany danych przez infolinię aż do naprawy systemów IT, przykładowo Sony unieruchomiło PSN na niemal miesiąc aż do jego naprawy, choć skutków wycieku kluczy do PlayStation nie naprawi aż do wydania nowej wersji konsoli na nowej platformie), no i obnażył słabości outsourcingu IT. No i wszyscy właściciele systemów IT zdali sobie sprawę z konieczności regularnego robienia legalnych pentestów, podobnie jak nie kwestionują konieczności fizycznej ochrony siedziby firmy (zwłaszcza dużej firmy operującej wrażliwymi danymi), serwerowni itp.

      Oczywiście po raz kolejny powtórzę, że państwo (i to wcale nie nasze, ale USA i inne równie potężne kraje, za którymi i my pójdziemy bo nie będzie wyjścia) na falę ataków odpowiedzą przykręcaniem śruby w internecie. O poparcie społeczne takich działań będą już spokojni, bo społeczeństwo nie będzie się bać cenzury lecz będzie się bać narastających ataków i będzie żądało ograniczenia ich skali. Wolność na tym oczywiście ucierpi, podobnie jak ucierpiała po 11 września i po zamachu w londyńskim metrze w 2005 r. Zły projekt ACTA (zły, bo skorzystałyby jedynie największe koncerny, natomiast faktyczni twórcy chronionych dzieł już niekoniecznie) poszedł na śmietnik, ale idea większego kontrolowania sieci na śmietnik nie poszła i każdy większy atak hakerów jedynie ją wzmocni.

  49. Paweł Nyczaj: “(…)(można było spróbować robić to legalnie)(…)”

    zaproponuj: jak. ;]

    (i dodaj od razu “ten” wątek o przekopywaniu się przez niedouczonych/niedoinformowanych pseudodecyzyjnych dewiantow ;) )
    :*

    • @czecze
      Ten przypadek powinien poszerzyć rynek legalnych pentestów, które pozwolą zapobiegać, a nie leczyć. W artykule i komentarzach jest mowa o tym, że na pentesty nie ma jeszcze w Polsce zbyt wielu chętnych. Jednak z czasem w miarę popularyzacji dobrych praktyk w IT okresowe testy staną się normą.

  50. Paweł Nyczaj: zajmuję się ‘pentestami’ od 10 lat i stary uwierz, nic sie nie zmieni w tym kraju ;)

    chyba ze masz zamiar jako proof0fc0ncept hakjerowac konta bankowe prezesow. wtedy to bedzei dla nich ‘znaczace’ w skali ‘podatnosci’ ;)

    • Zawsze można przeforsować ustawę nakazującą określone standardy. Skoro np. samochody muszą mieć apteczkę czy zapasowe lampy, to dlaczego systemy informatyczne przechowujące i przetwarzające wrażliwe dane nie miałyby podlegać obowiązkowym okresowym testom według określonych standardów. Wiem, że to co piszę niektórzy odbiorą opacznie (tak było z obowiązkowymi szkoleniami BHP nawet jednoosobowych firm, pomysł ze względu na skalę nie był jednak możliwy do wykonania), jednak trzeba zadbać o dobro klientów powierzających swoje dane a to jak dla mnie wymaga narzucenia pewnych dobrych praktyk, bo jak pokazuje życie nie wszystkie osoby decyzyjne się tym przejmują. Nie wiem jak to jest w EU czy USA, ale wydaje mi się, że np. Facebook, Google, Twitter itp. musi a nie może robić regularne pentesty i inne działania mające utrudnić atak, a przynajmniej ograniczyć jego skalę. Jednak tam firmy (zwłaszcza duże i znane) zapewne zdają sobie sprawę z potencjalnego zagrożenia zewnętrznego ale i wewnętrznego i wolą mu zapobiec.

    • @Paweł Nyczaj -> ustawa niczego nie rozwiąże. Z resztą sporo zapisów dot. zabezpieczania danych zawarto chociażby w ustawie o ochronie danych osobowych i co? Ciągle wyciekają. Wprowadzenie ustawowego nakazu wykonywania pentestów dla systemów przetwarzających dane wrażliwe (osobowe? z klauzulą? “ważne dla pana prezesa”?) da co najwyżej tyle co dał PCI-DSS, czyli nic. Chyba, że rozdmuchanie rynku usług doradczych i manię na “compliance” uznać za coś pozytywnego.

      Poza tym – pentesty niczego nie rozwiązują. Mogą unaocznić problem, którego pozostałe metody nie odkryły. Ale jeśli nadal systemy w sporej mierze będą pisane przez nieuków na kolanie, to żadne wymuszanie testów tego nie rozwiąże (i tak firmy wezmą najtańsze rozwiązanie).

      Gdyby taka Netia zapłaciła np. 1000zł za każdy rekord, który został przez nich nienależycie zabezpieczony, to okazałoby się, że jednak ryzyko jest wyższe niż koszty wdrożenia czegoś bezpiecznego. Tylko trzeba wdrożyć takie przepisy i je egzekwować, a z tym u nas w kraju trudno.

  51. […] nvm zdaje się dotrzymywać słowa. Dziś w sieci opublikował kolejnych 500 numerów umów klientów Netii (tym razem bez PESEL-i, id klienta czy PIN-ów, jak ostatnio). Podniósł też cenę okupu do 600 BTC (ok. 26000 PLN). O sprawie szantażu Netii szerzej pisaliśmy tutaj. […]

    • Jak netia do tej pory do tematu podchodzi jak podchodzi, to nie wiem co nvm musial by opublikowac zeby sie przyznali…

  52. Jestem klientem Netii. Jak mogę sprawdzić czy moje dane wyciekły?

  53. Ponieważ arogancja (czy może ignorancja) osób odpowiedzialnych za bezpieczeństwo informatyczne w Netii jest przerażająca (i wkurzająca), proponuję cotygodniowe publikowanie np. 100 kolejnych pozycji wykradzionej bazy.

  54. Swoją drogą konkurencja w postaci UPC, też nie ma zbyt wymyślnych zabezpieczeń systemu Elektronicznej Faktury. Wystarczy numer identyfikacyjny, który jest jawnie przesyłany e-mailem i numer PESEL. Żadnego hasła, nic. Co prawda nie można tam nic zmieniać ani kupić, ale jest dostęp do pełnych danych.

  55. Napisałem do help desku Netii:
    “Jak zabezpieczyć się przed ewentualnymi działaniami przestępców?
    Choć lepiej byłoby spytać:
    Czy mogę czuć się bezpieczny? Oraz kto będzie odpowiadał za ewentualne szkody wynikające z działań przestępców na moim koncie?”
    I otrzymałem w odpowiedzi
    “Dane zostały wykradzione z serwerów netii, do których nie ma Pan dostępu, ani nie ma Pan na nie wpływu. Proszę pozostawić sprawę naszym informatykom.”
    Co prawda na pytanie nie odpowiedziano ale jakiś postęp jest ;)

    • Keep calm and opłacaj rachunki :-), można tak to streścić. Takiego wała. Ja od nich uciekam po końcu obecnej umowy, a może nawet trochę wcześniej, bo kara nie jest porażająca. Dlaczego w takim np. Orange nie ma takich jaj? Jak im nie dowalą milionowej kary to zwątpię w nasze państwo…

    • człowiek, który Ci to napisał już został zwolniony przez Netię.

    • A z jakiego paragrafu został zwolniony? Pomyłka(?) pracownika to zdaje się za mało wg KP na zwolnienie.
      Choć teraz zrozumiałem, że jako klient internetii nie muszę się bać.

  56. Dane sa publikowane co jakis czas, wiec jakis pseudodostep do nich masz. Czuje lekcewazace podejscie ze strony firmy Netia.

  57. WAŻNE! Aktualizacja IV
    Wiązanie informacji PAP z lipca 2011 roku (cytowanych m.in. przez Telepolis.pl: http://telepolis.pl/news.php?id=22265) dotyczącej włamania do bazy danych z ostatnim wyciekiem danych (Niebezpiecznik.pl (1) https://niebezpiecznik.pl/post/baza-klientow-netia-s-a-na-sprzedaz/ Niebezpiecznik.pl 2 https://niebezpiecznik.pl/post/netia-hacked-dane-klientow-wykradzione-tak-twierdzi-nvm-ale-netia-nie-jest-w-stanie-tego-jednoznacznie-potwierdzic-czy-zaprzeczyc/) jest bezpodstawne. Takie zdarzenie miało miejsce w czerwcu 2011 roku, ale nie dotyczyło firmy Netia S.A., a pewnej małej spółki, która została przez nas kupiona. Włamano się na serwer archiwalny tej spółki, który nigdy nie był podłączony do sieci korporacyjnej Netii (nie był objęty standardami bezpieczeństwa obowiązującymi w Grupie Netia). Wykradziona wtedy baza danych została odzyskana i zabezpieczona, a sprawcy ujęci przez Policję i skazani prawomocnym wyrokiem sądu.
    Oświadczamy, iż ujawniane obecnie rekordy, dotyczące kont abonenckich nie są danymi, które zostały odzyskane po włamaniu z 2011 roku.
    Zapewniamy także, że baza danych klientów w Netii – według naszej najlepszej wiedzy – jest należycie zabezpieczona przed nieuprawnionym dostępem z zewnątrz. Bazy Netii są zabezpieczone zgodnie z najlepszymi standardami i przy wykorzystaniu wysokiej klasy narzędzi i technologii.
    Ujawniane przez szantażystę rekordy znacznie zawężają źródło ich pochodzenia. Ustalenie sprawcy – w naszej ocenie – powinno być tylko kwestią czasu.
    Konta abonenckie, które w skutek kradzieży niektórych danych ich dotyczących mogły być zagrożone, zostały odpowiednio zabezpieczone.
    Netia nie zamierza negocjować z szantażystą, ani tym bardziej, płacić mu żadnego okupu, w żadnej walucie.

    • Czy klienci przejętego przez Netię Dialogu też na ujawnionej liście?

    • WAŻNE! Panie… daj pan spokój. Najgorsze jest zadufanie w sobie jakie to firmy mają wspaniałe systemy, lepsze niż NSA i Fort Knox razem wzięte. Ta wyświechtana „formułka” jest tak często stosowana przez wszystkie działy PR, że zastanawia mnie jakie to są te cud-miód „najlepsze standardy”, „wysokiej klasy narzędzia” oraz „… technologie” inne niż każda normalna firma, która stosuje sensowne podejście do bezpieczeństwa IT. Pewnie to najgłębsza tajemnica. ;-) Typowa tarcza.

    • “jest należycie zabezpieczona przed nieuprawnionym dostępem z zewnątrz.” – a z wewnątrz? Klienta nie interesuje, czy ktoś się włamał, czy jakiś sfrustrowany pracownik wyniósł dane, bo w ramach durnego cięcia kosztów i dalszego outsourcingu go zwolniliście. Klient teraz tak naprawdę nic nie wie, widzi tylko, że operator zachowuje sie niepoważnie, nie rozpoczął nawet masowej akcji powiadamiającej o konieczności zmiany PIN. Cokolwiek. Netia przypomina dziecko, które zamyka oczy i udaje, że nic się nie dzieje. Oby wam dowalono wielomilionową karę za takie praktyki. Żałuję, że (jeszcze) jestem waszym klientem. Czas się przeprosić z Orange, w sumie cenu już podobne…
      Oczywiście mam nadzieję, że szantazysta zostanie złapany, a baza (i jej wszystkie kopie) odzyskana. Zdania o firmie jednak nie zmienię, jakoś ciągle Netia ma takie przygody, ciekawe czemu.

  58. 1. Pan Rzecznik już taki ma zawód, że mówi to co ma mówić. Że czasem mało to składne? Cóż może outsourceowali copywriterów?
    2. Może nvm używa tora i zagranicznych vpn – ciekawe jak do niego dojdą?
    3. Od kilku tygodni niebezpiecznik jest nieczytelny na operamini – błąd po update?

  59. Ciekawe czy nvm zaliczy wpadkę? Jak myślicie ?

    • to się okaże, wystawił się na niezłą próbę.. czy ją przejdzie, nie wiadomo

  60. http://technologie.gazeta.pl/internet/1,104530,13247067,Czy_klienci_Netii_sa_bezpieczni__Czy_firma_zaplaci.html
    Ja się nie znam, więc pytam:
    “Zabezpieczenia stosowane przez przestępców, takie jak sieć TOR czy stosowanie wirtualnej waluty Bitcoin, nie jest dla policji specjalną przeszkodą. Wykrywalność, jaką osiągamy, sięga ponad 96 procent.”
    TOR i wykrywalność (“namierzalność” użytkowników?) na poziomie 96%? To tak naprawdę czy Pan po prostu próbuje pokazać “jacy to my nie jesteśmy”?

    • Może to oznaczać dwie rzeczy: biegły sądowy wypowiadający się w tym temacie jest idiotą (duże prawdopodobieństwo), większość przestępstw komputerowych dokonywanych jest nieudolnie, a narzędzia takie jak TOR, czy BTC są używane nieprawidłowo (np ktoś korzystając z TOR’a wrzuca swoją fotkę na portal randkowy, a na fotce widać go/ją na tle jego/jej samochodu z niezamazanymi tablicami). Osobiście obstawiam mix wielkiego ego biegłego sądowego + nieudolność przestępców. Weź proszę pod uwagę, że biegły sądowy i tak przychodzi na późnym etapie – jak ktoś uznał, że na podstawie jakichśtam danych można kogoś podać do sądu. Zupełnie w ciemno nikt ich nie bierze.

  61. @patryk: za mało wiemy – np. jak starannie przemyślał akcję. Czy działa na zimno jak terminator, bo chodzi o kasę; czy raczej rozjuszyła go bezczynność Netii i paplanina ich rzecznika i chce utrzeć im nosa. Pożyjom i uwidim (albo i nie uwidim).

  62. Jak widzę odpowiedź rzecznika prasowego zaczynającą się od “Panie” to mam jedno w głowie – trzeba mnie mieć kultury vel być złym człowiekiem na tak odpowiedzialnym stanowisku.

    • Na to samo zwróciłem uwagę – słoma z butów zafałszowana garniturem od Armaniego i zegarkiem od Cartiera ;)

  63. Jeżeli oprócz peseli są też imiona, nazwiska i adresy, to…

  64. Karol, daj spokój, odpocznij – wyjedź na weekend :D
    ciągle tylko oświadczasz i wklejasz ;)

  65. A ja czekam aż ktoś wysadzi eWUŚ :P System spaprany od postaw…

  66. Tego e-maila do Pana Piotra pisałem w pośpiechu na smartfonie i nie zauważyłem pominięcia imienia. Powinno być oczywiście: “Panie Piotrze” (jak we wcześniejszej korespondencji). Mam nadzieję, że Pan Piotr mi to wybaczy i zechce poprawić.

  67. Hmmm, trochę sie już pogubiłem, czy Netia gdzieś potwierdziła, że to fragment ich bazy? A może jednoznacznie zaprzeczyła? Jest to interesujace, gdyż wiele podmiotów wyceniłoby tę bazę na wiecej niż żada nvm i z chęcią zakupiło gdyby odpadły zarzuty paserstwa ;)

  68. Dobra, Panie, nie tłumacz się Pan.
    Jeżeli myślę logicznie, to w tym oświadczeniu jest napisane co już było wiadomo wcześniej. Baza danych ‘jest należycie zabezpieczona przed nieuprawnionym dostępem z zewnątrz.’. Jak pokazuje sytuacja jednak nie jest.
    Dalej z oświadczenia wynika, że Netia zabezpieczyła konta użytkowników, które sama podejrzewa, że zostały skradzione, nie mylę się?
    Proszę poprawcie mnie bo jeżeli dobrze myślę, to klienci nadal nie mają 100% pewności że ich konta są bezpieczne, bo dokładnie o które konta chodzi wie tylko sam nvm.
    Podsumowując, jedyne co zostało wniesione do sprawy jest to, że Netia nie zapłaci okupu i nie będzie współpracować.

    Przecież jeżeli natia nie złapie nvm i nie przejmie bazy danych którą posiada to cały czas bezpieczeństwo klientów jest zagrożone. W takim razie logicznym jest, że netia czuję się pewna sw’ego’ i zaraz będziemy mieli hakera na widelcu:D
    No są tylko dwie drogi. Albo go dorwą albo zapłacą. W innym wypadku zaufanie firmy stanie pod znakiem zapytania.
    czy ja coś pominąłem? chętnie się przyznam do braku racji.

  69. Zainteresowanie całą sprawą już chyba powoli umarło i zapewne skończy się typowym polskim zamieceniem problemu pod dywan.

  70. A ja właśnie się dowiedziałam o całej sprawie. Logowałam
    się na swoje konto w netia online, ale tam ani słowa na temat
    ewentualnego niebezpieczeństwa i prośby o zmianę pinu itp. Żadnego
    maila z informacją. Nic. To skandaliczne jak wiele potencjalnych
    poszkodowanych jeszcze nie wie, że w ogóle coś może być nie tak.
    Podstawowe pytanie – jak sprawdzić czy moje dane wyciekły?
    Podejrzewam, że dzwonienie na infolinię rozminie się z
    celem…

    • proponuję napisać do nvm’a wiadomość o treści w stylu “Szanowny Panie master-hakerze, nazywam się xyz, mój PESEL to: xyz, PIN do mojego konta Netia-online to: xyz. Czy moje dane znajdowały się w wykradzionej przez Pana bazie? Z góry dziękuję za odpowiedź i życzę powodzenia przy wymuszaniu okupu!”

    • Po co robić zamieszanie skoro ten psudohaker nvm, który ukradł baze z pewnego forum, ma zapewne niespełna 1000 rekordów?
      Nie lepiej po prostu zabezpieczyć tylko te konta, które wyciekły, zamiast robić niepotrzebne afery na cały teleinformatyczny świat?

    • Niemniej jednak jakieś dane wyciekły i czuję się zdezorientowana. Nie wiem czy to pseudohaker, jakiś cwaniak czy realne zagrożenie. Rozumiem, że osoby, które są tu poszkodowane, zostały poinformowane, ich konta są już bezpieczne? I jeśli do mnie informacja nie dotarła, to na szczęście nie moje dane zostały wykradzione?

  71. Nie chce mi się wierzyć, taką bazę można tak po prostu wykraść… Śmierdzi ta cała sprawa na odległość.

    • Wszystko da się złamać :) tylko potrzeba czasu na to…
      ;)

  72. czy mogę zerwać umowe gdy taka rzec zaistniała?

  73. Jeśli moje dane sie tam ukażą,Netia będzie miała z mojej
    strony prze…. i nie wykluczam tu zgłoszenia sprawy na drogę
    sadowa i o odszkodowanie narazili moje dane .

  74. W nawiązaniu do informacji na temat opublikowania danych z
    systemów Netii, chcielibyśmy Państwa poinformować, że: 1.
    Potwierdzamy, iż w sieci ujawniona została część informacji
    dotyczących 1040 naszych klientów. W 40 przypadkach zostały
    ujawnione: numer umowy i konta abonenckiego, PESEL i PIN służący do
    identyfikacji w serwisie internetowym Netia Online. W pozostałych
    przypadkach ujawnione zostały wyłącznie: numer umowy abonenckiej i
    PESEL. Netia S.A. dla tych kont zablokowała dostęp do serwisu . 2.
    Przeprowadziliśmy dodatkową kontrolę zabezpieczeń baz danych Netii,
    która potwierdziła, że według naszej najlepszej wiedzy są one
    należycie zabezpieczone przed nieuprawnionym dostępem z zewnątrz,
    zgodnie z wysokimi standardami i przy wykorzystaniu wysokiej klasy
    narzędzi i technologii. Wykluczamy na dzień dzisiejszy, że wyciek
    nastąpił wskutek włamania do sieci z zewnątrz. 3. Netia S.A.
    złożyła w prokuraturze zawiadomienie o podejrzeniu popełnieniu
    przestępstwa oraz na bieżąco podejmujemy inne działania
    przewidziane prawem dla tego typu sytuacji. Mając na celu Państwa
    komfort chcielibyśmy przypomnieć zasady bezpiecznego korzystania z
    serwisu Netia Online (http://www.netiaonline.pl)

  75. a w czym problem ? w wiekszosci firm np Orange pracownicy z
    Outsorcu maja dostep do baz danych ktore bez problemu moga zgrac na
    pena lub poprostu wyslac sobie poczta ;D

  76. a nwm wypstrykał się już z bazy czy coś jeszcze będzie upubliczniać?

  77. Z tego co mówił, to miało być co tydzień 500..
    jestem ciekaw czy sprawa jest zamiatana pod dywan, czy nie wiadomo nic więcej, czy trzeba samemu szukać bo niebezpiecznik już sobie odpuścił bo się nic nie dzieje czy może specjalnie.. cokolwiek? czy już jakieś pieniądze poszły w ruch?

  78. No właśnie, co z nvm, pb milczy, nie ma żadnych nowych wpisów, wystraszył się, złapali go, ocb, ktoś coś wie?
    Byłem ciekawy czy i kiedy go złapią…

    • Napisał że czeka do końca lutego, potem publikuje bazę:

      “Jeżeli do końca lutego na moim koncie BTC nie znajdzie się 500 BTC to tydzień po tygodniu będę publikował bazę danych do logowania online.”

  79. Loguje się do swojego konta Internetii i co widze? Przerwa konserwacyjna. Więc albo moje dane wypłynęły i zablokowali mi konto, albo coś grzebią ;\

  80. Już tyle razy było pisane że to nie dotyczy Internetii…

  81. no i co tam w temacie ?
    termin upłynął i cisza ?

    • Ciemność widzę, ciemność…

      Czy to oznacza, że Netia jednak zapłaciła?

  82. Tak jak pisałem wcześniej – w polskim stylu sprawie ukręcono łeb.

  83. […] ktoś zrobił użytek z wykradzionej parę lat temu Netii bazy klientów? Dajcie znać, jeśli dostaliście tego e-maila, a nie jesteście klientami […]

  84. Około 8 (!) lat temu zamawiałem usługę internetu w Netii. Nie wchodząc w szczegóły po 3 miesiącach zerwałem umowę. Dziś dostałem sms z informacją o wycieku moich danych.
    1) kompletnie nie pamiętam co tam podawałem
    2) jakim prawem oni trzymają tak długo moje dane?!?
    3) czy ktoś wie dokładnie co tam było podane? Można wziąć na to kredyt?
    4) Zgłosić to na policję na wszelki wypadek?

    Pozdrawiam.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: