13:50
3/8/2021

Wiele w życiu widzieliśmy, ale wciąż są historie, które nas zaskakują. Zapewne słyszeliście o tym, że w piątek Tauron poinformował, że ktoś pobrał dane osobowe klientów. Wydaje nam się, że znamy szczegóły tego incydentu, wiemy kto pobrał dane klientów, a na dodatek, wygląda na to, że za tym wyciekiem stoi historia, która nadaje się na film — usiądźcie wygodnie.

Tu haker z Piły, Twoje dane wykorzysta ktoś z Izraela

W środę pewna osoba zapytała nas, czy wiemy coś o wycieku z Taurona. Pytała w związku z telefonem, który zrelacjonowała mniej-więcej tak:

“gość przedstawił się jako hacker z piły mówiąc, ze (mój) numer wyciekł z Taurona i pewnie zostanie niedługo wykorzystany przez kogoś z Izraela, etc. Nie był to bot, odpowiadał na pytania i co ciekawe – nie nakłaniał do żadnej interakcji. Coś nowego na rynku? Najpierw wzbudza zaufanie, żeby potem dopiero coś wykonać? :D”

Wierzcie lub nie, ale nie było to najdziwniejsze pytanie jakie tego dnia spłynęło na naszą skrzynkę (to o co ludzie nas pytają, to temat na osobny artykuł…). Ponieważ o żadnym wycieku z Taurona w środę nikt z nas nie słyszał, sprawę przesunęliśmy do naszego “Archiwum X“, gdzie lądują różne równie niewytłumaczalne lub niewiarygodne zgłoszenia.

Wtem, w sobotę rano…

Tauron informuje o kradzieży danych klientów

Dużo poszkodowanych zgłosiło nam wiadomość, jaką otrzymali od Taurona więc opublikowaliśmy w tej sprawie artykuł. Chwilę potem, odezwał się do nas ktoś, kto stwierdził że to on pobrał dane klientów Taurona. Historia którą opisał była tak niewiarygodna, że już mieliśmy wiadomość przesunąć do katalogu “LOL“…

…ale na samym końcu e-maila znalazło się coś, co zmieniło nasze zdanie i wprawiło w osłupienie — do maila załączone było nagranie rozmowy konsultanta z klientem Tauronu. Z oczywistych powodów Wam nie zacytujemy tu jego treści.

Przytoczymy natomiast wypowiedź nadawcy, którego na potrzeby tego artykułu będziemy nazywać Edisonem. A raczej części jego wypowiedzi, bo nie wszystko nadaje się do cytowania…

“Nie było włamania. Oni sobie to po prostu udostępnili”

Siemanko,W tauronie czy tam w firmie partnerskiej nie było włamania. Oni sobie to po prostu udostępnili xDDDD
Zaczeły mnie kurwiszcza skanować mój port nr 22 i 9999 (SSHD) 22, (…) a że ja koder z krwi i kości co bał sie o swoj dobytek (…), domniemam chcieli mi sie włamać msiałem się bronić. Pech chciał że mój skrypt wojenny trafił na kompa atakujacego ktorym okoazało się call center lub tauron, teraz już mnie to pierdoli. No co z 200 gb rozmów 2 miliony nuerów unikalnych, twardziela ja wysyłam do inspektoratu danych osobowych, tak żeby in ktos za niedopatrzenie kare finansowa dojebał. Następnym razem te kurwy niech się 1000000x zastanowia co odpalają i przeciwko komu. (…)
Ludzom proszę powiedzieć tak: (…) Nikt nie weżmie kredytu ani nie sprzeda danych.(Bio ja je włśnie skasowałem i niema żadnej kopii).Tauron był tylko straszony żeby ruszyli swoje zajebane dupska. (…) sram na ich dane na ich hajs. Nie powiem nie powiem pod wpływem emocjii chciałem 200 poln na browarka za milczenie ze podam icgh do TV potem 10k pln chialem, ale jak dzieiaj szmaty się pucneły światu że”jakiego to kurwa cyberataku nie doswiadczyli” Mowie huj z nimi cewle ulane zwykłe z neta. Tylko niech nie pierdola farmazony ze mieli włamanie. powiedzieli przez telefon że jestem chory psychicznie i że zabezpieczenia są od najlepszych ludzi. – Spoko To mowie sciagne sobie conieco i dam cynka że maja lipn serverek bez żadnych zabezpieczeń i ze udostępniają dane, Podałem im swoj ip i date i godzinyt adres na chate nr telefony imie i nazwosko. Wtedy dopiero się obudzili A od dzisiaj w necie pierdolą że cyberatak. to jest tak jakby ktos otworzył w willi wrota pojechał na wakacje i powiedzial potem ze mu soie włamali hahaah. Na dowód ze nie wale w huja screeny i poare pliczków. BTW: jak psy mnie dzisiaj mijały to się pytały o mnie czy wiem gdzie ja nmieszkam no kurwa mać ja piredole w dupe policje powiedziałem ze nie wiem ale chyba gdzieś tutaj, hjahaahahah czaiczie Panowie i Panioe takie dzbaneczki w polsce chodzą
(…)Jeszcze raz, Ludziom nic nie grozi, ja nie jestem taka kurwą zeby puścić to dalej, z 1 prostego powodu, To jest nieprofesjonalne i karma wraca szybciutko. (…) Tardziele zjechałem szlifierka kątową (…) przepraszam za emocję ale juz jestem po 0,7 balantajsa łychy i blancie marychy xD

Ze względu na dość specyficzny sposób wypowiedzi, podsumujmy to, co przekazał nam Edison, uzupełniając informacje o inne szczegóły, których dla przejrzystości nie będziemy już cytować w oryginale:

  • Serwer Edisona miał odnotować próbę ataku z dwóch adresów IP: 93.105.88.X oraz 93.105.88.Y. Ponieważ serwer był honeypotem, Edison przyjrzał się “w odwecie” adresom IP, które go atakowały. Na jednym z hostów udostępniony był webserver z listą katalogów. Katalogi nie były zabezpieczone więc rozpoczął pobieranie ich zawartości (komenda wget -r IP). Ponieważ danych było dużo, wyszedł na imprezę.
  • Kiedy Edison wrócił z imprezy, zorientował się, że pobrane pliki to nagrania rozmów z klientami Taurona. Miało tego być 200 GB i 2 miliony unikatowych numerów.
  • Edison będąc jeszcze (tu cytat) “najebany wódeczką” sprawdził kilka z numerów. Dzwonił do ludzi i mówił, że ich rozmowy z Tauronem są publicznie dostępne i mogą wpaść w niepowołane ręce.
  • Edison postanowił poinformować firmę Tauron o swoim odkryciu, ale w jego opinii próba powiadomienia o błędzie zakończyła się porażką. Miał zostać wyśmiany, a raz stwierdzić miano, że jest chory psychicznie. Nie poddał się i napisał e-maila. Próbował też pozyskać namiar na odpowiednią do kontaktu osobę na czacie. Miał podać Tauronowi swoje imię i telefon, łącznie z adresem.
  • Edison przyznaje, że aby sprawy nie zignorowano postanowił postraszyć Tauron by “ruszyli dupska”. Tym straszeniem miało być domaganie się “w emocjach” najpierw 200 złotych a potem 10 tysięcy złotych w zamian za milczenie o incydencie. Podobno “dopiero wtedy się obudzili”.
  • Niczego się nie obawia, bo w jego opinii niczego złego nie zrobił, wręcz przeciwnie — chciał pomóc, ale go zignorowano. Twierdzi też, że gdyby danych nie ściągnął, to “admin olałby sprawę”, a tak, ma nadzieje, że “zmusił do działania odpowiednie osoby aby zajęli się sprawą i zabezpieczyli serwer.”
  • Pobrane dane skasował, więc ofiary nie powinny się obawiać, że ktoś wyłudzi na nie kredyt w związku z tym incydentem.

 

Dobra i zła wiadomość…

Dobrą wiadomością jest to, że według Edisona, pobrane nagrania zostały skasowane, więc klientom Taurona nic nie powinno grozić.

Złą wiadomością jest to, że przed Edisonem na serwer mógł dostać się przecież ktoś inny, więc nie wiadomo, czy był on jedyną osobą, która pobrała dane i nagrania klientów Taurona. Zwłaszcza, że wedle Edisona, serwer z danymi “atakował” inne hosty w internecie, co może sugerować, że został zhackowany i był już wykorzystywany przez kogoś do ataków…

O ile zaufamy Edisonowi… Bo choć rzeczywiście dysponuje on faktycznymi nagraniami rozmów (co udało nam się potwierdzić) i faktycznie serwer, z którego te nagrania pobrał po prostu je udostępniał bez zabezpieczenia (co też udało nam się potwierdzić), to niestety nie bardzo jest jak zweryfikować stwierdzenie, że serwer Edisona faktycznie był atakowany przez serwer na którym składowane były dane osobowe klientów Taurona…

To potwierdzić może tylko analiza serwera, z którego nastąpił wyciek danych. A serwerem tym zarządza… no właśnie. Tu zaczyna się druga, nie mniej ciekawa część artykułu. Otwórzcie kolejną paczkę chipsów!

Tauron nie chowa głowy w piasek, ale mówi, to nie nasz fuckup

Kilka minut po publikacji naszego pierwszego artykułu, odezwała się do nas rzeczniczka Taurona. (Na marginesie, brawo za sprawny monitoring mediów!). Otrzymaliśmy od niej dodatkowe informacje, których nie było w komunikacie rozesłanym do klientów — z klientami Taurona rozmowy prowadziły “dwie firmy partnerskie“. Rzeczniczka nie podała nam ich nazw, ale…

W związku z wiadomością otrzymaną od Edisona, przekazaliśmy rzeczniczce nasze pytania dołączając plik z nagraniem pobranym przez Edisona. Choć na większość naszych pytań nie otrzymaliśmy odpowiedzi (co na tym etapie sprawy można zrozumieć) to rzeczniczka ujawniła nazwy obu, wcześniej przytoczonych partnerów, wskazując, że to oni ponoszą winę za wyciek.

Niebezpiecznik: Czy serwer z którego pobrano dane klientów to 93.105.88.X, a jeśli tak, kto odpowiadał za bezpieczeństwo tego serwera i kiedy ostatnio przeszedł on testy bezpieczeństwa?

Nieuprawniony dostęp do danych dotyczy informacji przetwarzanych przez firmy PROMO-ART. Sp. z o.o. oraz TRADE OFFICE sp. z.o.o., które współpracowały z TAURONEM. Za wybór infrastruktury i jej zabezpieczenie odpowiadają te firmy (zwróćcie uwagę na ostatnie zdanie, zaraz stanie się superważne — dop. red.)

Czy prawdą jest, że Tauron otrzymał zgłoszenie o braku wystarczających zabezpieczeń ww. serwera, ale zignorowano osobę zgłaszającą informacje o ryzyku wycieku danych klientów? Czy prawdą jest, że Tauron był szantażowany przez osobę, która pobrała dane, a jeśli tak, jakiej kwoty domagała się ta osoba za nieujawnienie faktu ataku i danych pozyskanych w jego wyniku?

Zgłoszenie o możliwości nieuprawnionego dostępu do danych klientów TAURON nie zostało przez nas zignorowane. Po otrzymaniu zgłoszenia natychmiast przystąpiliśmy do działań, które miały na celu przede wszystkim zabezpieczenie interesów naszych klientów. Temu służyła m.in. wielokanałowa, szeroka akcja informacyjna skierowana do klientów. Wszelkie informacje dotyczące tej sprawy, w tym okoliczności towarzyszące zgłoszeniu, przekazaliśmy natychmiast do organów ścigania.

Ile GB danych wykradziono z serwerów na których znajdowały się dane klientów Taurona?

PROMO-ART. Sp. z o.o. oraz TRADE OFFICE sp. prowadziły z klientami rozmowy w sprawie oferowanych produktów i usług. Wyniki audytu wskażą, ile GB danych zawierały przejęte rozmowy.

Z powyższego odnieść można wrażenie, że Tauron jest w dość kłopotliwej sytuacji. “Zawalili” partnerzy Taurona, ale teraz Tauron musi wziąć ten incydent na klatę. I jak na razie — piszemy to zupełnie szczerze — radzi sobie z tym całkiem nieźle. Nie chowa głowy w piasek, przekazuje klientom informacje, bierze odpowiedzialność za niebezpośrednio swoje błędy.

Nie znamy treści umów z podwykonawcami Taurona, więc nie wiemy na 100% kto odpowiadał za ochronę danych klientów, ale z odpowiedzi rzeczniczki Tauronu wynika, że to partnerzy Taurona odpowiadali za wybór infrastruktury oraz jej bezpieczeństwo, czyli zlecanie testów bezpieczeństwa i monitoring.

Serwer przez miesiąc udostępniał dane klientów Taurona każdemu…

Incydenty zdarzają się najlepszym, ale powodem wycieku było udostępnienie nagrań na webserwerze bez żadnego zabezpieczenia dostępu do katalogów. A to jest poważne przeoczenie, które każe nam postawić tezę, że infrastruktura nie była monitorowana ani testowana pod kątem bezpieczeństwa, a przynajmniej nikt nie zauważył, że dane klientów Taurona pobrać może każdy przez co najmniej miesiąc. Nasza analiza potwierdziła, że dane były publicznie dostępne co najmniej od 29 czerwca do 27 lipca.

Kim są ci partnerzy Taurona?

Po przekazaniu przez Tauron nazw obu spółek postanowiliśmy się im przyjrzeć. Pierwsza spółka z o.o. o nazwie Trade Office (KRS: 0000443592) była dawniej znana jako WARSAW BUSINESS CENTER. Firma istnieje od roku 2012. W zarządzie zasiada Marlena Anna Świderska (rok ur. 1976). Stosując kilka technik OSINT-owych dotarliśmy do danych z ZUS, które sugerują, że spółka nie zatrudnia zbyt wielu osób. Wspólnikami ujawnionymi w KRS są Mariusz Proczek, Marlena Świderska i Władlen Kraśnicki. Nadmieńmy, że Mariusz Proczek prowadzi również jednoosobową działalność w zakresie call center (NIP: 8261955995, REGON: 141278677).

Jeśli chodzi o drugą spółkę, to istnieją dwa podmioty o nazwie Promo-Art, ale tylko w jednym z nich (KRS: 0000627770) prezesem jest właśnie Władlen Kraśnicki (rok ur. 1976), ten sam który jest wspólnikiem w Trade Office (nawiasem mówiąc był on również prezesem tej firmy w latach 2019-2020). Ze względu na to powiązanie zgadujemy, że właśnie o tę spółkę chodziło rzecznice Taurona. Firma Promo-Art działa m.in. na rynku zaopatrywania w energię elektryczną, gaz i parę. Ponadto w CEIDG figuruje osoba o nazwisku Władlen Kraśnicki, która prowadzi jednoosobową działalność gospodarczą “MWA – Energy” (NIP: 5213337364, REGON: 142609047). Jest to również działalność w zakresie call center.

Z kolei adres IP wskazany przez Edisona jako ten, który miał go atakować i z którego miał on pobrać dane klientów Taurona należy do spółki VirtuaOperator Sp. z o.o., która w gronie swoich klientów ma wiele znanych marek:

Nie wiemy, czy serwerem z którego wyciekły dane zarządzała firma VurtuaOperator, czy Promo-Art lub Trade Office. Aby to ustalić i zweryfikować inne informacje, jakie na temat incydentu przekazał nam Edison postanowiliśmy przesłać kilka pytań każdemu z tych podmiotów. Problem w tym, że spółki Trade Office i Promo-Art nie udostępniają żadnych danych kontaktowych (poza fizycznym adresem siedziby). Pytania przesłaliśmy więc na ustalony techniką OSINT-ową prywatny adres e-mail Władlena Kraśnickiego. Do czasu publikacji niniejszego artykułu, nie odpowiedział on na naszą wiadomość.

Spółka VirtuaOperator jest bardziej dostępna. Ma stronę internetową, więc pytania do niej skierowaliśmy na podany adres e-mail. Niestety, też nie otrzymaliśmy od niej żadnej odpowiedzi. Jeśli dotrą, zaktualizujemy artykuł. A póki co musicie zgadywać:

  • Która z ww. spółek jest odpowiedzialna za złe skonfigurowanie serwera i wyciek danych klientów.
  • Czy to możliwe, że serwer VirtuaOperator na którym były dane klientów Taurona był zainfekowany i atakował inne komputery w internecie.

Aktualizacja 3.08.2021, 16:25
Kamil Mazur z VirtuaOperator przesłał nam właśnie taką wiadomość:

Podany adres jest przypisany do wykorzystania przez jednego z naszych klientów. (…) w tym wypadku zajmujemy się wyłącznie zapewnieniem dostępu do sieci bez ingerencji w przesyłany ruch sieciowy, czy zabezpieczenia serwerów klienta. (…) Nikt nie informował nas o takim zdarzeniu. Dowiedzieliśmy się o tym incydencie z korespondencji z Waszą redakcją.

Z powyższego wynika, że podwykonawcy Tauronu do administracji serwera przystąpili sami albo zlecili to jeszcze jednej firmie.

Ciekawy jest też fakt, że przetarg, który na obsługę Tauronu wygrały spółki Promo-Art i Trade Office został zaskarżony przez innego oferenta. Powodem miały być rażąco niskie ceny i brak wyjaśnień… Polecamy lekturę wyroku dotyczącego czynu nieuczciwej konkurencji.

Wnioski…

Niezależnie od tego, co tu się faktycznie stało, ten incydent przejdzie do historii.

Po pierwsze, mamy znaną, dużą firmę, która outsource’uje swoje usługi do małoznanych, ale powiązanych ze sobą podwykonawców. Nie wiemy co zadecydowało o wyborze tych spółek i powierzeniu im danych osobowych klientów Taurona. Co więcej, spółki te oparły swoje działania wykonywane na rzecz Taurona o usługi jeszcze jednego podwykonawcy, tworząc długi łańcuch dostaw. A to na pewno nie ułatwia reakcji na incydent. Zwłaszcza, że dwa z trzech podmiotów nie upubliczniają żadnych form szybkiego kontaktu z nimi.

Po drugie, mamy osobę, która po znalezieniu niezabezpieczonych danych klientów próbuje ten fakt zgłosić, ale jest ignorowana. Trzeba tu jednak lojalnie podkreślić, że jeśli zgłoszenie błędu przez Edisona było utrzymane w takim stylu jak e-mail do nas, to nie dziwimy się, że mniej doświadczeni pracownicy Taurona mogli nie potraktować go na serio.

Dobra rada dla firm: czasem warto sprawdzić nawet najbardziej “odjechane” (lub nieskładne) zgłoszenie związane z bezpieczeństwem. Nawet jeśli zgłaszający sprawia wrażenie “najebanego wódeczką“.

Po trzecie, mamy rzadką sytuację, kiedy zgłaszający błąd, być może ze względu na używki, traci zdrowy rozsądek i ucieka się do szantażu. To nigdy nie jest dobrym pomysłem, nawet w “żartach”, nawet w celu “podniesienia priorytetu” zgłoszenia. Nie róbcie tego zgłaszając błędy bezpieczeństwa firmom.

Jeśli próbujesz zgłosić jakiejś firmie błąd bezpieczeństwa, a firma Cię ignoruje, napisz do nas. Pomożemy nadać sprawie odpowiedni priorytet i zadbamy o to, abyś został potraktowany poważnie.

Po czwarte, sprawą zajmuje się już policja, a dane “podejrzany” podał Tauronowi na talerzu. Czas start!

Jesteśmy niezmiernie ciekawi, jak działania Edisona oceni zarówno Tauron, mając teraz ich szerszy kontekst jak i sama prokuratura. A także, co zrobi PUODO? Czy art. 269c znajdzie tu zastosowanie, jeśli w tle był szantaż (ale “po wódeczce”!)?

Jestem klientem Taurona, co robić, jak żyć?

Tak jak to zaznaczyliśmy w poprzednim artykule — zrobić możesz niewiele. Jeśli ufasz, że Edison skasował dane, które pobrał i zakładasz, że nikt inny przez co najmniej miesiąc, kiedy serwer był publicznie dostępny, nie pobrał nagrań Twoich rozmów, to śpisz spokojnie. Jeśli nie wierzysz w powyższe — i faktycznie dzwonił ktoś do Ciebie z Taurona — to załóż, że wszystko co powiedziałeś w rozmowie z konsultantem wyciekło, wraz z Twoim numerem telefonu, który znajdował się w nazwie pliku z nagraniem. Dowodu zastrzegać nie musisz, a być może jesteś w gronie szczęśliwców, którzy w rozmowie nie podali peselu, adresu i innych informacji.

Niezależnie od powyższego, zapamiętaj, że nawet jeśli teraz Ci się upiekło, to Twoje dane prędzej czy później i tak wyciekną z jakiejś firmy. To się dzieje regularnie. Dlatego warto się na taki wyciek przygotować zawczasu. Jak? Nagraliśmy godzinne wideo szkolenie na ten temat. Zebraliśmy w nim wszystkie informacje dotyczące wycieków danych i kradzieży tożsamości. W szczegółach omawiamy różne usługi pomagające w takich sytuacjach (i takie, które twierdzą, że pomagają).

  • Sprawdź, co na Twój temat już wyciekło do sieci i do czego dostęp mają przestępcy.
  • Dowiedz się, co zrobić, aby nikt tego nie wykorzystał przeciwko Tobie!

Do końca dnia, dostęp do naszego szkolenia “Wycieki Danych” możesz kupić aż 50% taniej podając kod EDISON. Dostęp do szkolenia otrzymasz na 30 dni, więc spokojnie zdążysz go zobaczyć.

Kliknij tutaj aby kupić w promocyjnej cenie (ważne tylko do 23:59).

 
PS. A jeśli chcesz hackować prawdziwe serwery, także firm energetycznych i dostawać za to pieniądze — ale zgodnie z prawem — to podeślij nam swoje CV. Właśnie rekrutujemy osoby, które potrafią znaleźć błędy w infrastrukturze serwerowej i w aplikacjach (zwłaszcza webowych i mobilnych). Celowo nie używamy tu zwrotu “pentesterów” — z otwartymi ramionami przyjmiemy każdą osobę z powyższymi zdolnościami, nawet jeśli nie ma miliona lat doświadczenia w wykonywaniu “profesjonalnych testów bezpieczeństwa”. Nasi najlepsi pentesterzy to przekwalifikowani programiści lub admini. Aha, nie interesuje nas jakie studia zaczęliście i czy je skończyliście. Dopuszczamy pracę zdalną lub z naszego biura, na B2B, zlecenie lub UoP.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

149 komentarzy

Dodaj komentarz
  1. Ale komedia :D

  2. To sa typowi admini z nadania kolesi lub rodziny. Ludzie, ktorzy nie maja pojecia o IT, ale ktorzy wiedza jak sie wkrecic przez znajmosci. Na podstawie moich doswiadczen sprzed lat z Urzedem Miejskim w Gdyni moge potwierdzic, ze jest to standard. Tam tak samo “profesjonalnie wdrazano w glebokim ukryciu” Dziennik Ucznia: cala baza SQL byla wystawiona w siec – imiona, nazwiska, szkoly – do wyboru do koloru. Jak im to zglosilem to zaczeli bagatelizowac sprawe, a na koncu kpic w zywe oczy ze “nie wiem z kim rozmawiam, a i tak nic im nie zrobie” – to w ramach podziekowania. Typowa bezuzyteczna banda ignorantow, ktorzy doskonale wiedza, ze poza budzetowka nie maja zadnej szansy zatrudnienia, wiec nie umiejetnosci, czy profesjonalne podejscie, a dupochron jest dla nich jedynym priorytetem.

    • baza danych SQL-a wystawiona do Internetu bez żadnego uwierzytelniania?

    • @none totalnie otwarta, podpieta do jakiegos interface www. Wystarczylo zmienic sciezke, aby przegladac wszystkie rekordy.

    • DROP DATABASE

    • Ale jak niby dostęp do bazy? w JS czy HTML? O czym Ty dokładnie piszesz? Sprawdziłem, nic takiego tam nie widzę, jak by to miało działać, że browser łączy się do bazy?

    • @jac to raczej o czym Ty piszesz. Nie czytasz ze zrozumieniem. Wdrozenie DU mialo miejsce 6-8 lat temu (nie pamietam dokladnie, szmat czasu) i wtedy ta sprawa miala miejsce. Po moim zgloszeniu luke – po pewnym czasie – usunieto.

  3. Edison wydaje się równy gość, chciał dobrze, ale obawiam się, że państwo prawa nie uwzględni najebania wódeczką jako okoliczności łagodzących i go za ten szantaż dojadą.

    • O ile go policja znajdzie :D

    • To potem się okaże że jednak nie skasował, i będzie się mścić w celu osiągnięcia “bilansu moralnego” lepiej jak go zostawią w spokoju.

    • A najlepiej jakby go zatrudnili w CBZC :D Są co najmniej 2 powody: 1. Zna się na penetracji jak przystało na bezpiecznika; 2. Pije jak przystało na policjanta :D

    • dobry adwokat psycholog i w stanie poczytalność

    • Jest jeszcze opcja że ta cała historia to próba wyłgania się z wtopy, którą zaliczył podczas akcji.

      Bazując na jego historii i biorać pod uwagę że mógł nieco koloryzować fakty sprawa mogłaby wyglądać tak:

      Korzystając z afery mailowej Dworczyka uznał że spółki skarbu państwa to dobry cel bo za niewielką opłatą zdecydują się ukryć kolejną aferę spowodowaną kolesiostwem. Nie oszukujmy się wielkich umiejętności hakowania nie trzeba do tego co zrobił, nie przełamał żadnego zabezpieczenia (to plus dla niego w obronie w sądzie). Jednak można wnioskować że wcale nie musi posiadać wybitnych umiejętności. Mając dane stwierdził że grzecznie poprosi o 200pln za milczenie na rozpoczęcie rozmowy, póxniej eskalował do 10k żeby zaczęli go traktować poważnie, a w planach miał jeszcze zażądać okupu za skasowanie danych, nie tylko za milczenie. Tylko w międzyczasie się zorientował że zrobił jakąś trywialną pomyłkę. Np. pobrał dane z prywatnego adresu IP, wysłał maila z webmaila bez tora, proxy, itp., cokolwiek. Wiedział że mają go jak na widelcu. Zadzwonił do nich jeszcze raz przedstawił się podał swoje dane poprosił o naprawę sytuacji. Udawał whitehata żeby się wymigać, do tego stworzył bajeczkę o alko żeby się wytłumaczyć z rządań.

      Jaka jest prawda się nei dowiemy, no chyba że z upublicznionego wyroku sądu.

    • Akurat w tym (k)raju linia orzecznictwa sądów jest taka, że bycie pod wpływem alkoholu to jedna z istotniejszych okoliczności łagodzących…

    • Jest jeszcze opcja że ta cała historia to próba wyłgania się z wtopy, którą zaliczył podczas akcji.

      Bazując na jego historii i biorać pod uwagę że mógł nieco koloryzować fakty sprawa mogłaby wyglądać tak:

      Korzystając z afery mailowej Dworczyka uznał że spółki skarbu państwa to dobry cel bo za niewielką opłatą zdecydują się ukryć kolejną aferę spowodowaną kolesiostwem. Nie oszukujmy się wielkich umiejętności hakowania nie trzeba do tego co zrobił, nie przełamał żadnego zabezpieczenia (to plus dla niego w obronie w sądzie). Jednak można wnioskować że wcale nie musi posiadać wybitnych umiejętności. Mając dane stwierdził że grzecznie poprosi o 200pln za milczenie na rozpoczęcie rozmowy, póxniej eskalował do 10k żeby zaczęli go traktować poważnie, a w planach miał jeszcze zażądać okupu za skasowanie danych, nie tylko za milczenie. Tylko w międzyczasie się zorientował że zrobił jakąś trywialną pomyłkę. Np. pobrał dane z prywatnego adresu IP, wysłał maila z webmaila bez tora, proxy, itp., cokolwiek. Wiedział że mają go jak na widelcu. Zadzwonił do nich jeszcze raz przedstawił się podał swoje dane poprosił o naprawę sytuacji udając zaniepokojonego whitehata, tylko po to aby wymigać się od odpowiedzialności. Do tego dodał bajeczkę o alko.

      Na koniec napisał do Niebezpiecznika, aby nagłośnić swój altruizm i wywrzeć presję społeczną i medialną na system prawny.

    • @WuHaPe:

      Moim zdaniem szantaż był nieznaczny i w dodatku pod wpływem alkoholu. Gdybym był prokuratorem, to wnosiłbym o umorzenie ze względu na niewielką szkodliwość tego czynu. Za to przeciw Tauronowi wytoczyłbym ciężkie działa, bo jak mówi Ewangelia: “komu wiele dano, od tego wiele wymagać się będzie”.

      Na razie funkcjonariusze policji się chwalą na jednym ze swoich profili na Twitterze, że zatrzymali tego człowieka:
      https://twitter.com/kwpkrakow/status/1423598861365522433

  4. Virtuaoperator to operator telekomunikacyjny, pewnie dostarczali im jedynie łącze, więc ich bym tutaj za specjalnie nie mieszał.

    • Nie tylko łącze, a także serwer. Cała klasa adresowa podana w artykule do nich należy.

    • Nie wiem skad informacja ze VirtuaOperator dostarczal serwer, ale mam przekonanie graniczace z pewnoscia, ze to bzdura ;)

    • serwer stoi na korytarzu przed biurem xD

    • @Kaxff. To przecież jest standard, że korzystając z usług ISP dostajesz adresy IP przypisane do tej firmy.

    • Uprawnienia były nadane jako dla każdego tak więc nie ma mowy o dostępie do danych nieuprawnionych.

  5. The future is now old men
    Dzisiejsi 20+ latkowie mają inny styl wypowiedzi niż 40latkowie, nie ma co olewać ludzi którzy używają xd
    Zoomersi > Boomersi

  6. Pora przejrzeć co ściągałem po pijaku z netu :)

  7. Ach te przetargi, przetargi, przetargi firm państwowych…
    “Zamawiający winien był udostępnić odwołującemu złożone przez wykonawców TRADE i
    PROMO-ART wyjaśnienia rażąco niskiej ceny.”

    Jak rażąco niska cena, to jakiej jakości usług się spodziewaliście???

    Szczegóły:
    https://www.przetargi.egospodarka.pl/wyroki-kio/2020/orzeczenie,1692.html

    • PZP mnie zadziwia. Zwycięża najtańszy, ale udupia się go, gdy to pozostali są rażąco drodzy.

    • “Rażąco niska cena” to pojęcie z ustawy Prawo Zamówień Publicznych, które oznacza cenę oferty niższą niż 70% średniej arytmetycznej innych ofert lub wartości szacowanej.
      Miałem w przetargu na proste switche gości co dali ofertę na swoje kombajny L3+PoE za dziesięciokrotnie wyższe kwoty i po wyliczeniu średniej arytmetycznej ofert pozostali oferenci (z normalnymi cenami rynkowymi) musieli pisać wyjaśnienia r.n.c., czyli de facto udowadniać, że nie są wielbłądami.
      “Rażąco niska cena” to tylko nazwa prawnicza.
      A tu komentarz do ustawy: https://komentarzpzp.pl/strona-glowna/dzial-ii/rozdzial-5/art-224/komentarz-do-art-224-ustawy

    • @Wojciech
      +1

  8. Tutaj haker. Ale nie ten co trzeba.
    Wstyd mi za tego dzbana trochę, że odkrył lukę w serwerze i nie powiadomił Taurona. To nie jest haker, tylko szkodnik i dzban.

    Oby nigdy nie poznał hakera, bo to spotkanie z prawdziwym hakerem może być dla niego smutnym doświadczeniem życiowym.

    No przepraszam w imieniu społeczności hakerskiej za tego dzbana. Wstyd nam…
    :(

    • Dupa jesteś nie haker. Powiadomił ich. Miał jescze w zębach im przynieść dane i błagać?

    • Haha jaki haker
      Udostępnienie publicznie folderu nazywasz “luką w serwerze”

    • Czytałes wogole artykul?

      Ktorej spolecznosci?
      Masz jakies imie? czy jestes moze jednym z originalnych/primodial (nowozytnych) hackerow nalezacych do klubu modelarstwa kolejowego?

    • no tak, bo poważni hakierzy siedzą i hakują w maskach anonymous i nie w głowie im imprezowanie xD
      w artykule jest informacja, że próbował poinformować Tauron o problemie, ale go olali
      panie poważny prawdziwy hakierze, na szczęście kultura hakerska nie kończy się na tobie i twoich trzech kolegach, którym jest wstyd za takie “niedojrzałe” zachowanie. niech takie jednostki jak Edison piją łychę, palą blanty i dalej “hakują” serwery takich molochów jak Tauron, bo wychodzi na to, że mają większy wpływ na społeczność niż wielu hakerów z przerośniętym ego ;)

    • Słabo czytałeś ten artykuł, gdyż gość zawiadomił Tauron o publicznie dostępnych danych na tym serwerze, ale został zignorowany. Dopiero jak zaczął żądać kasy za milczenie to się sprawą zajęli.

    • Zazdrościsz, bo nie najebaleś się mną xD

    • Witamy przedstawiciela znanej, lubianej i szanowanej grupy de-em-iks, a zwlaszcza jej elitarnych jednostek udrzeniowych mamo-mamo-jezdem-chakjerem xD

    • Pomyliłeś sobie hackera z crackerem. Idź poczytać Jargon File. Obrażasz wszystkich hakerów.

  9. Hmm, a moze cala ta historie wymislil Tauron? Chodzi o pseudo zaoewnienie ze dane sa bezpieczne….

    • no nie wiem czy klienci poczują się bezpieczniej po ogłoszeniu, że ich dane mógł pobrać bez trudu nie przerywając nawet chlania pojedynczy człowiek

  10. Tauron sam z siebie dba o bezpieczeństwo, a przynajmniej niektóre działy. Współpracowałem kiedyś z nimi przy jednym projekcie, nasze urządzenie IOT zostało odrzucone z powodu braku szyfrowania (mimo działania po APN), dostaliśmy też całkiem fajny arkusz z wieloma typowymi błędami, które sprawdzają, coś w rodzaju audytu bezpieczeństwa.

    • A ogladales kolego Krzysztofie kiedykolwiek starej-daty filmy o kasiarzach?
      Odpowiedz sobie na pytanie: Kto trzymal WŁASNE pieniadze w najlepszych sejfach?

      xD

    • No niestety nie oglądałem.

    • To ja moze wyjasnie:

      Gdyby niszczyli ludziom zycie zaslaniajac sie niekompetencja (nieswiadomoscia) – to bylo by to gowniane dzialanie.
      Ale ujawnienie informacji o tym, ze kiedy chodzi o ich wlasne pieniadze/zyski to potrafia zadbac o zabezpieczenia, oznacza nie tylko ze sa kompetentni (w sensie pozytywnym) ale tez, w konsekwencji, ze dla paru groszy poswiecili (efektywnie *SPRZEDALI* – poniewaz swietnie zdawali sobie sprawe z ryzyka) dane swoich klientow…

      I tak, mozna powiedziec ze jesli tajemniczy ktos mi zaplaci (bezposrednio czy tez osiagne posrednie korzysci) zebym polozyl portfel kolgi ktory mi go (NIEDOBROWOLNIE) powierzyl w jakims ciemnym zaulku w nocy i poszedl na spacer to wcale go zlodziejowi nie sprzedalem ani nie bylem wspolnikiem przestepstwa owego portfela kradzierzy.
      Ale w rzeczywistosci mamy do czynienia z najzwyklejsza kradzierza, polaczoną z tworem logistyki mentalnej i funkcjonalnej sluzacym zaciemnieniu sytuacji dla osob postronnych, ofiary, wymiaru sprawiedliwosci i samego kradnacego…

  11. Zatrudnijcie Edisona :)

    • Ano! Może chociaż wódeczkę ze sobą przyniesie.

  12. A ja kiedyś do Was pisałem w sprawie ZTM i po kilku mailach mnie porzuciliście jak niechciane dziecko :( a nie pisałem jak “po wódeczce”. Tyle dobrze, że ZTM naprawiło to co Wam opisałem. Liczyłem na sławę, chwałę i potęgę posępnego czerepu… a wyszło jak zawsze.

    • Zgłoszony przez Ciebie incydent był jednak, przyznasz, mniejszego kalibru ;-) Mamy go odpowiednio otagowany i przywołamy w tworzonym tekście, dedykowanym tego typu przewinieniom, przekrojowo, w różnych firmach.

  13. Szkoda gościa. Natłumaczy się. A sprzęt zwrócą, jak już straci wartość.
    Czy są jakieś alkomaty odblokowujące kompa?

    PS Ciekawe jak wygląda jego kod, skoro maile wyglądają tak jak widać?

    • Oczywiście jestem ciekaw epilogu, tj. dalszych losów Edisona. Dajcie znać jakbyście coś słyszeli albo zatrudnili :>

    • Już bez przesady – znam bardzo dobrych programistów, których na Slacku trudno zrozumieć (dosłownie piszą niewyraźnie… Na klawiaturze) ;D I to na trzeźwo! Pisanie poprawnie po polsku i pisanie dobrego kodu to jednak trochę inne umiejętności – wbrew pozorom.

  14. Napisałem do Taurona czy planują wykupić Alerty BIK itp. dla swoich klientów albo dokonać jakiejś rekompensaty za wykupienie takiej usługi przez to zdarzenie. O dziwo dostałem szybko odpowiedź (pisałem po 15), że jeżeli nikt nie wysłała sms/email/zadzwonił w sprawie wycieku to twoje dane “nie wyciekły”. A tu się okazuje, że jeszcze gorzej jest niż jakby to był faktycznie atak (-‸ლ).

    • O tyle “dobrze”, że wyciekły nagrania rozmów a nie baza danych. Teraz każde takie nagranie trzeba by przesłuchać i znaleźć fragment, w którym ewentualnie padają dane osobowe. Chociaż zastanawiam się, czy nie dało by się do tego wykorzystać jakiegoś oprogramowania do rozpoznawania mowy, ale raczej bez błędów by się nie obeszło.

    • Nie trzeba słuchać, puszczasz wszystkie nagrania przez automat do rozpoznawania mowy (Excel) i generujesz stos plików CSV, potem jus tylko GREP i gotowe.

    • Temu tematowi (przeszukiwanie nagrań rozmów telefonicznych w poszukiwaniu ciekawych danych) poświęciliśmy ten odcinek naszego podcastu Na Podsłuchu: https://www.youtube.com/watch?v=S_1TGDINky8&list=PL8RzQcu8B4N-i62OQVZ8dVLi2HK4YTFkZ&index=4

  15. Ło cie baben xD

  16. No klasyczna dojna króweczka z udziałem Skarbu Państwa – z przyssanymi do wymion pijawko-spółeczkami i firemkami, których rolą jest wydoić, ile tylko się da, i podzielić się mleczkiem z pastuchem krówki.
    To samo jest w kopalniach, KGHM, czy Orlenie…. Cecha rozpoznawcza: niekompetencja.

  17. Brak słów.

    Ech, gdyby tak powyciekało publicznie coś mocno prywatnego od kilku “ważnych” leśnych dziadków czy dzianego kolesiostwa…
    Może przynajmniej by w niektórych działach dało radę nepotyzm przyciąć.

    • No akurat ktokolwiek ważny dzwoni bezpośrednio do kumpla prezesa, czy innego dyrektora. Nawet inżynierowie telekomów załatwiają często swoje sprawy przez bezpośrednie kontakty. Firmy często mają opiekunów/doradców. Ba, prąd do domu łaskawie można przyspieszyć przez kumpla budowlańca, który zna kogośtam lokalnego.

      Infolinia jest dla… powiedzmy łagodnie, że “reszty”.

  18. “nawet jeśli teraz Ci się upiekło, to Twoje dane prędzej czy później i tak wyciekną z jakiejś firmy” – czyli wszystko jasne, rodo w tym przypadku jest tylko do kręcenia kasy, dumne puodo i ich niebotyczne wyjaśnienia dlaczego nałożyli karę 100 ton złota na firmę A i B niczego nie zmieni. Testowanie każdej zmiany w trybie CD jest praktycznie niemożliwe, nie każdego stać na całe rzesze pentesterów 24h (pozdrawiam freelancerów na jdg).

  19. Taką bazą klientów najbardziej zainteresowani byliby “upierdliwi” instalatorzy fotowoltaiki.

    • Przecież im numery losuje komputer ;)

    • Jedno co zauważyłem w przypadku tych od fotowoltaiki – póki “siedzę” w jednym miejscu, jest cisza. Gdy wyjadę, zaczyna się “lawina ofert”. Np: wyjazd w sobotę “na powietrze” (pół dnia): wczoraj – trzy próby kontaktu, dzisiaj – trzy kolejne. Wygląda, jakby operator komórkowy udostępniał dane z BTS innym podmiotom pomimo, że na infolinii informują mnie, że wszystkie możliwe zgody są wyłączone.

    • Ale mają coś skopane bo dzwonią do blokersów :P

  20. a) losowy pijany gimbus bez wysiłku jest w stanie pozyskać w swojej piwnicy terabajty newralgicznych danych nie robiąc praktycznie nic – może tych speców od cyberbezpieczeństwa i tego gimbusa zamienić miejscami?
    b) To na tym polegają te mityczne etaty 15k? Na posadkach po znajomości ludzi, którzy na niczym się nie znają, ale doją kasę jako “informatycy”?
    c) wielka firma zatrudniająca setki informatyków, którzy nic nie potrafią, więc wynajmuje podwykonawców informatycznych, którzy z kolei wynajmują własnych podpodwykonawców, a ci podpodpodwykonawców – Monty Python to pikuś
    d) zaczynam rozumiem, dlaczego w Polsce jest kilka milionów firm, a wskaźniki produkcji leżą – skoro połowa z nich nie produkuje i nie tworzy absolutnie nic – chyba najlepszy dowód na to, że ustrojem gospodarczym w Polsce jest turbokapitalizm

    • a) nie wiem o jakich specach od cyberbezpieczeństwa piszesz, nikogo takiego tam nie było – przypominam, że wyciek nie był z tauron tylko od partnera

      b) tam nie ma żadnego etatu IT, żadnego

      c) ani jednego informatyka nie zatrudnia ta firma

      d) turbokapitalizm? wtf xD

  21. Zatrudnijcie Edisona tylko nienormowany czas pracy mu zagwarantujcie, bo może zaniemoc czasem

    • I jakieś napoje byle z %..

  22. 99,9% firm (z Rządem i np. infolinią szczepionkową na czele) outsourc’uje usługi call-center. Decyduje efekt skali, który potrafi obniżyć koszt infolinii nawet kilkudziesięciokrotnie w porównaniu do usług realizowanych samodzielnie. Jednocześnie na rynku usługodawców call-center konkurencja się olbrzymia, a co za tym idzie jest duża presja aby ciąć koszty. Pracownikom legalnie nie można płacić mniej niż minimalna ustawowa stawka godzinowa. Oszczędzają więc na bezpieczeństwie – choć takie call-center (i zatrudnieni tam za minimalną-godzinową studenci) mają dostęp do istotnych danych osobowych, niejednokrotnie, milionów ludzi.

  23. “Drink all the booze, hack all the things”

    Definicja charakteru: chaotic good

  24. Szkoda, że na dropboxa nie wrzucali tych rozmów..

  25. Jedna uwaga:
    Tauron nie odpowiada “bezpośrednio lub pośrednio” i nie ma tu jego winy “pośredniej lub bezpośredniej”.
    Klienci dzwonią do Taurona i on ponosi PEŁNĄ odpowiedzialność przed swoimi klientami. Mnie jako klienta nie interesuje, że tak prostacko cięli koszta.

    Ps. Za taki wyciek, powinni WSZYSTKIM poszkodowanym zaoferować co najmniej opłacenie konta w BIK’u…

  26. Chociaż nie zawsze wszystko rozumiem, to i tak zawsze czytam artykuły Niebezpiecznika od deski do deski i z wypiekami na twarzy. Świetną macie robotę Panowie <3

  27. Działania “hakera” można uznać co najwyżej za będące w “szarej” strefie, jednak w żadnym wypadku nie uznał bym ich jako pretekstu do ewentualnych akcji prawnych wycelowanych w jego kierunku. Nie zrobił nic złego a nawet chciał pomóc. Mógł wystawić ogłoszenie na którymś z dark netowych forum z ofertą sprzedaży w celu zyskania potencjalnie sporej kwoty, postanowił jednak poinformować o incydencie poszkodowaną firmę która nie tylko zignorowała incydent co jeszcze zwyzywała zgłaszającego od wariatów… Styl wypowiedzi to jedno, ale jej zawartość merytoryczna to coś zupełnie innego, więc to że styl pisania miał jak “po kilku małych” też nie jest żadnym wytłumaczeniem. Szczerze to powinni mu jeszcze za to zapłacić, a wobec winnych wyciągnąć konsekwencje. Chociaż znając życie winny jest wysoko postawiony (chodzi mi o częste bagatelizowanie zgłoszeń osób niżej postawionych jako “małoprawdopodobne” albo “nieistotne” lub “zbyt drogie do poprawienia”, albo jak wspomniane wyżej rażąco niskie koszty tej usługi czyli “jaka kasa taka usługa”) i co najwyżej mogą znaleźć kozła ofiarnego.

    A ktoś bardziej przebiegły na miejscu Edisona, w przypadku gdyby jednak chcieli go ścigać, mógłby udostępnić anonimowo dane na internecie. W końcu nie można by mu tego odowodnić, jak sami zaznaczyliście nie koniecznie on był pierwszą osobą która zyskała dostęp do tego systemu. Oczywiście nie namawiam ani nie podrzucam pomysłów, przezentuję tylko możliwy scenariusz ;)

  28. Firmy (partnerzy) moze i odpowiadaly za bezpieczenstwo, ale to tauron odpowiadal za te firmy.
    Wiec czego oczekiwalbym, to Tauron ujawniajacy:
    1. Dokladnie jak bardzo sie na ich uslugi wykosztowal
    2. Krotka analiza porownawcza, z tym co oferuja profesjonalne firmy
    3. Jakies audycik pokazujacy ze firmy krzak nie dostaly buranardów PLN (jawnie) nie oferujac w zamian nic…

    I to jest moment w ktorym Tauron moze powiedziec ewentualnie “przykro nam, ale nie nasza wina” bo inaczej to typowe pseudowydlumaczeniu: “ze X tylko pistolet trzymal, przeciez ofiare zabila *kula* to czego sie jego czepiaja”…

    • Ps. A przepraszam – emocje wziely gore! Doczytalem.

      Taki przetarg sugeruje ewidentnie wine Taurona, w tym wydarzeniu. Jesli ktos kupuje sprzet/usluge ponizej kosztow produkcji powinien tez dostarczyc uzasadnienie niskiej ceny (inne niz oczywista w innych wypadkach wada towaru)

  29. Ja piernicze, po doczytaniu, ROK. “Caly” 1 ROK od lipnego przetargu zajelo dwu pseudofirmom narobienie strat w wielkosci zblizonej do maksymalnie mozliwej….

  30. Obawiam się, że Edison będzie jedynym kozłem ofiarnym.

    Szkoda, że tak tu wszystko wyłożyliście na tacy bo jakiś pociotek, siostrzeniec czy inny szwagier jakiejś szychy mógłby wypiąć klatę do odznaczenia i wysokiej premii jako bohater cyber-służb, który zdemaskował i ujął groźnego cyber-terrorystę czyli poczciwego Edisona. Zepsuliście im niezłą ustawkę.

    Gdyby Edison potrzebował papugę to może by tak jakąś zrzutkę dla niego zorganizować? Nie znam człowieka ale jakoś go polubiłem …

    • Jestem za!
      Z własnego doświadczenia wiem jak to wygląda, więc na pewno się dorzucę do obrony.

  31. Znawcy tematu się odezwali.
    Firmy Trade Office i Promo-Art to małe spółki, które na zlecenie Tourona prowadzą kampanię marketingową lub infolinię.
    System oparty na Vicidial z centralą asterisk (widać po nazwie pliku nagrania) postawioną na linuksie. A ponieważ budżet skromny, bo tam się kokosów nie zarabia to na admina nie stać, a o firewall to coś słyszeli. Wystawili katalog z nagraniami pewnie dla tourona, bo tamci chcieli prowadzić odsłuchy. VirtuaOperator nic z tym wspólnego nie ma, jedynie dzierżawi im łącza (o zgrozo podstawowe i zapasowe od tego samego operatora). Jakoś to działało, aż się rypło, bo ktoś był za bardzo wcipski. Ot i cała filozofia.

    • To, że system jest zrobiony po taniości, nie musi oznaczać, że firmy zarabiają grosze.
      Nawet jeśli te firmy wygrały przetarg zaniżoną ceną, to tak samo nie oznacza, że nie nastąpiło “urealnienie” tej ceny za usługi.
      W podanych w artykule informacjach, pojawia się tyle “smaczków”, że domysły nie dają się odpędzić. ;)

  32. Z tym czy dane wyciekły to mam uzasadnione wątpliwości, że jednak tak.
    Kilka minut po tym jak przyszedł SMS z TAURON o możliwym wycieku danych, to otrzymałem sms’a z próbą oszustwa: “PGE: Prosimy uregulowac naleznosc: https://rebrand.ly/platnosc-pge-u32we1
    Gdzie mogłem się dowiedzieć o planowanym odłączeniu prądu i wymóg zapłaty 3zł z groszami… Oczywiście przekierowało na podstawioną bramkę płatności :)
    Chyba zbyt duży zbieg okoliczności…

    • O tych smsach piszemy od 2 miesiecy. Masowo sa rozsylane. Gartylujemy – dotknął cię ZBIEG OKOLICZNOŚCI, najczęstsza przyczyna teorii spiskowych ;)

  33. Ciekawe, czy wszyscy klienci akceptowali kontakt marketingowy. Tak to jest, jak się odsprzedaje dane jakimś szmatławcom. Żenada. Strzelam, że to standard… i standardem jest dziadostwo “zabezpieczeń”.

  34. Niestety wiedzą z tego zakresu jest tak słaba, że życia nie starczy aby propagować używanie rozumu. Sam przejąłem swojego czasu fanpage jednego z miast i kilka kont urzędniczych w mniej niż 15minut. Zadzwoniłem do urzędu i dopiero 5, czy 6 rozmówca podszedł poważnie do tematu. Chyba wydam książkę o tym. Zostaniecie patronem? ;)

    • Mamy Tobie w ramach patronajta wysyłać pomarańcze do Sztumu :) ?

  35. A propos podpodpodwykonawców w budżetówce, to nic się nie zmieniło od dekad. Jako studenciak na drugim czy trzecim roku gdzieś w 2. połowie 90-tych przytuliłem kilka tysiaków na spółę z kumplem za dwa tygodnie hakowania w dobrym starym stylu, jako podwykonawca znajomego asystenta na polibudzie, który był podwykonawcą firmy przytulonej do uczelni, która robiła fuchy dla TPSA. A wszystko dlatego, że TPSA nie wiedziała, że kupiła standardowy pakiet softu od Siemensa, więc zleciła zrobienie tego naokoło, firma nie umiała w Unixa, a asystent umiał, ale mu się robić nie chciało, więc wziął dwóch zdolnych studenciaków. Ten pakiet od Siemensa robiący to, co mieliśmy zrobić, odkryliśmy przypadkiem na dyskietce w szufladzie, gdy reinstalowaliśmy inny pakiet po małym przypadkowym rm-rf’ie… Ciiiii, dyskietka z powrotem do szuflady…

  36. Mail z 16.50
    Szanowni Państwo,
    aby pomóc w zabezpieczeniu Państwa danych przed wykorzystaniem przez osoby nieuprawnione, pokryjemy koszty rocznego korzystania z usługi Alerty BIK.
    Dzięki tej usłudze, natychmiast otrzymają Państwo powiadomienie SMS i e-mail, gdy w BIK pojawią się informacje np. o próbie uzyskania kredytu z użyciem Państwa danych lub kiedy ktoś będzie sprawdzał Państwa w Rejestrze Dłużników BIG InfoMonitor.
    Usługa przez rok będzie dla Państwa całkowicie bezpłatna, po skorzystaniu z podanego poniżej kodu rabatowego.
    Aby ją aktywować prosimy postępować zgodnie z instrukcją zamieszczoną na stronie. W tym celu należy m.in. założyć konto w BIK i wykonać przelew identyfikacyjny na 1 zł. To często stosowana procedura, której różne instytucje używają, by potwierdzić Państwa dane. Pokryjemy wszystkie koszty rocznej usługi Alerty BIK, zrekompensujemy także koszt przelewu identyfikacyjnego.
    Państwa kod rabatowy: ***
    Zalecamy aktywowanie usługi niezwłocznie. Kod Alerty BIK będzie aktywny przez 12 miesięcy. Kod jest jednorazowy.
    Z wyrazami szacunku
    Zespół TAURONA

  37. Jeśli faktycznie serwer “Taurona” atakował Edisona (a jestem w stanie w to uwierzyć) to by znaczyło że już wcześniej był zrootowany i pewnie był częścią botnetu, co patrząc na poziom zabezpieczeń nagrań wydaje się być prawdopodobne. Tarantino nie powstydziłby się scenariusza :)

  38. Ciekawe czyje pociotki są właścicielami tych śmiesznych spółek. Może trzeba by zrobić jakieś szerzej zakrojone śledztwo dziennikarskie?

    • Imię Władlen wskazuje na wielopokoleniową karierę w PRLu.

    • Pewnie niczyje. Jest cała masa spółek, które żyją z przetargów.
      Często jest to jazda po bandzie. Ran na górze, raz na dole. Ale niezłe strzały też się zdarzają. Co ważne: trzeba być Sp. z o.o. z kapitałem 5 tysi.

  39. A mnie męczy jedno pytanie odnośnie ochrony danych, przy spisywaniu umowy kupna/sprzedaży. Jak taka ochrona danych ma się do faktu, że na umowie wymagają wpisania oprócz imienia, nazwiska, peselu, to także nr dowodu osobistego (sic). Przeciez ja nie wiem, czy osoba kupująca, nie skorzysta potem z takiej informacji (poprawny i istniejący nr dowodu osobistego, wraz z pozostałymi danymi). Czy naprawdę nadal jest obowiązek udostępniania takich danych?
    Czy mam może założyć, że i tak już ktos, skądś wykradł moje dane wcześniej, i i tak już mam zaciągniete kredyty?

    • Swego czasu w mojej okolicy grasował gość, który skupował stare trupy (nie droższe niż 1000zl) i później wyłudzał kredyciki na dane z umowy kupna sprzedaży. Niestety moja znajoma wpadła w jego sidła i później biegała po policjach czy sądach.

  40. Jeśli chodzi o treść maila to tak bym się tego nie czepiał. W środowiskach TORowych panuje (albo jeszcze kiedyś panowało jak częściej onion forum lurkowałem) przeświadczenie, że nawet styl pisma może kogoś zdeanonimizowac i wszyscy hakerzy oraz ludziki robiące mniej lub bardziej nielegalne rzeczy specjalnie zniekształcali swoje wypowiedzi robiąc literówki, wplatając wulgaryzmy i robiąc błędy gramatyczne. Jeśli się wtedy człowiek przyjrzy to takie wypowiedzi są aż karykaturalne i generyczne. Czy to działa? Nie mam pojęcia, ale pisząc swój manifest, na pewno nie uzylbym swojego stylu.

    • to samo pomyślalem – że on to pisał specjalnie w taki sposób

    • W 2017 z pewnej trójliterkowej agencji wyciekły narzędzia do przerabiania kodów, żeby wyglądały na rosyjskie, chińskie, izraelskie albo inne, coś jak fingowanie odcisków palców. Jeśli da się przerobić kody, to emaile też, nawet automatem.

    • “W 2017 z pewnej trójliterkowej agencji wyciekły narzędzia do przerabiania kodów, żeby wyglądały na rosyjskie, chińskie, izraelskie albo inne, coś jak fingowanie odcisków palców. Jeśli da się przerobić kody, to emaile też, nawet automatem.”
      Przyznaię racię.

  41. Ja dzisiaj dostałam kolejnego maila od Taurona z informacją o rabacie na alerty BIK w związku z ostatnim wyciekiem danych…

  42. Od razu widac ze jakiemus pisowskiemu kolesiowi zlecili uslugi

  43. oj tam oj tam – z 2 miesiące temu na jednym z moich webserwerów, jeden klient wysyłał za każdym razem 2 takie same requesty – jeden ze swojego IP, a drugi z puli UW. Dokładnie te same dane. Ciekawe, co? Po zgłoszeniu klientowi problem się rozwiązał. Niezłe co?

    • A masz jakiś pomysł? bo to ciekawe..

  44. Ja dla relaksu skanuje czasami bloki IP dużych popularnych operatorów, popularne porty jak 80 czy 8080 itp, raz znalazłem serwer apache z włączonym listingiem a tam dane jednej z lokalnych telewizji, masa reklam i jakieś umowy. Czasami się trafi nas i dostępne publicznie zdjęcia rodzinki na wakacjach, no i monitoring hikvision na domyślnym haśle + masa routerów. :D

  45. Redaktorzy drodzy!
    Czy możecie nam wyjaśnić jak to możliwe, że wykorzystanie PESEL w umowach kredytów i podobnych celach nie jest potwierdzane akcją w aplikacji bankowej lub jakimkolwiek formularzem na gov.pl po zalogowaniu na profil zaufany?
    PESELe wyciekają co chwilę, możemy mówić o odpowiedzialności podmiotów typu promo art… A może jednak powinniśmy bardziej skupić się na zmianie prawa? Tak, by te dane z wycieków nie były wiele warte?

    • Od dawna apelujemy (i hejtujemy) wszystkie firmy, które korzystają z jawnego i publicznie dostępnego przecież w wielu wypadkach numeru PESEL do:
      – uwierzytelnienia, że ktoś kto go zna to jego właściciel/posiadacz
      – autoryzacji jakiejś operacji na koncie klienta po podaniu peselu właściciela konta (bo przecież tylko on go zna…)
      Takie wykorzystanie pesela, do uwierzytelnienia/autoryzacji powinno być prawnie zakazane. Patrz przypadek T-Mobile: https://niebezpiecznik.pl/post/tmobile-duplikat-sim-swap/

  46. Ten Władlen to musi być dosyć wiekowy facet, sądząc po imieniu.

    • 1976. Kto nadaje dziecku takie imię w epoce Gierka? Chyba tylko partyjny działacz z mgłą w miejscu mózgu.

  47. Mnie tego typu wycieki nie dziwia. Moge si odnieść do Szwecji która jest jakby uznawana za rozwinięta w kwestiach IT. Zewnetrzni pomagacze,nieogarniete procedury i pomroczność jasna występuje tutaj w wielu firmach.Jest tak nasrane ze to jest nie do pomyślenia do tego często mozna trafić na serwery ktore infekuja firmy i to duuuze zagraniczne. Dochodzi do tego ze produkcja w zakladach porafi byc wstrzymana. Covid dal czas na działanie i nieupublicznianie paru firmom swoich wpadek. Zadnych uslug outsourcingu bo robia tylko bajzel ktory ani oni nie kontroluja ani w tym bajzlu potem nie mozna sie odnalezc i “rozwiazywanie problemow” to syzyfowa praca wiec pasuje
    to tylko zaorac.Bardziej ogarniete sa mniejsze firemki ze swoim bezpieczenstwem i procedurami a nizeli wielkie molochy i to nie ze wzgledu na wielkosc infrastruktury.Ale w tuszowaniu medialnym szwedzi prowadza.W sumie nie powinno sie udostepniac tego typu informacji do publicznej wiadomosci wiec z tym przynajmniej sobie radza.

  48. A jakbyscie chcieli i byli zaintreresowani tematem na podstawie mediow to tez duzo informacji jest podanych.Wujek google z wyrazeniem : svenska företag it dålig säkerhet

  49. Trzy uwagi: (1) Baza to “nagranie + numer telefonu”. Dość trudne do zautomatyzowanego wykorzystania. (2) Przedmiotem przetargu była “sprzedaż” (telemarketing – pewnie jakiś nowych taryf, usług itp.). W związku z tym pewnie większość rozmów kończyła się w pierwszej minucie, nawet bez podania imienia i nazwiska. (3) Tauron to nie “prezentacja garnków” i nie “losował” numerów, a pewnie dzwonił co “celowanej” bazy danych klientów którym kończą się umowy, posiadając już ich wszelkie możliwe dane osobowe. Dodatkowo obecnie – zgodnie z prawem – nie da się zawrzeć z konsumentem umowy przez telefon. W związku z tym – nawet jeśli ktoś się zdecydował na proponowaną mu nową umowę/taryfę – nie było potrzeby żmudnego podawania danych osobowych przez telefon. PODSUMOWUJĄC: nawet jeśli ktoś inny wcześniej skopiował bazę lub “Edison” ma jej kopię – 99,99% klientów Taurona może spać dość spokojnie.

  50. Jakoś nie wierzę, że przez miesiąc nikt tych informacji nie pobrał… ;) Dane wyciekają teraz tak często, że właściwie nie ma firmy, która by była odporna na zabezpieczenie ich w sieci.
    Wykopki piszą, że Tauron proponuje roczny wykup abonamentu w BIG – może warto skorzystać zanim wiele osób dowie się od komornika, że ma chwilówki do spłacenia ;)

    • Usługa monitoringu PESELa w BIK kosztuje – z tego co pamiętam 20zł+VAT/rok. Każdy może sobie wykupić – niezależnie, czy jest klientem Taurona.
      Czy warto – to już każdy sam sobie musi odpowiedzieć, szczególnie że na rynku są “chwilówki bez BIK”.

  51. Elo,
    Pytanie podstawowe ,jak Edison wykrył że zostaje atakowany przez porty 22 i 9999 bo tego nie rozumiem ? Łączył się z jakąś stroną taurona czy czym ?

    • Przeczytaj punkt zaczynający się od słów “Serwer Edisona miał odnotować próbę ataku z dwóch adresów…”

  52. A dlaczego ciągle uważacie, że serwer taurona atakował hosta Edisona?
    Może jakiś admin w tauronie się pomylił w adresie ip uzywając scp albo rsync.

    • Oj bardzo ciekawe… może admin też był po kieliszku

  53. No i teraz pytanie czy warto zakładać ten alert BIK i podać tam wszystkie swoje dane z PESELEM i numerem dowodu i liczyć, że stamtąd nie wycieknie, czy zostawić i żyć dalej?

    • musisz oszacowac sobie ryzyko sama. kiedys pewnie i z BIK pocieknie. wtedy bedziesz miala gorszy problem niz ten przed ktorym chcesz sie ochronic korzystajac z BIKa. Zreszta bik nie widzi wszystkiego i tak wiec to niepelna ochrona.

  54. Po tym artykule zacząłem się zastanawiać na ile takie nagrane rozmowy są komukolwiek przydatne.

    Przecież te dane osobowe z tych nagrań trzeba wyciągnąć, kupa roboty żeby to obrobić i skatalogować. Pewnie nie ma jednego schematu rozmowy, do tego automaty konwertujące nagranie na tekst też nie mają 100% trafności i weź to automatyzuj.

    Nakład pracy, żeby pozyskać dane osobowe chyba jest dosyć znaczny, więc w konsekwencji nieopłacalny.
    No chyba, że losujemy rozmowę, odsłuchujemy nagranie i mamy dane pojedynczej osoby, które chcemy wykorzystać do wzięcia kredytu, czy czegoś innego.

  55. Jak kryterium wyboru podmiotu jest tylko cena to tak się to właśnie kończy. Myślę, że UODO wytłumaczy dość szczegółowo Tauronowi kto odpowiada za wyciek. To szkolenie nie będzie najtańsze.

  56. byłem na rozmowie w tauronie swego czasu. nie dziwi mnie nic :)

  57. Tak sobie myślę, że tych Pąństwowych Spółek nikt w ryzach nie trzyma. Normalnie działające na rynku Spółk zostały by z buta ukarane, sęk jednak w tym, że kara dla Taurona to kara dla narodu. Nikt nie beknie za takie niedbalstwo i dziaderstwo.

    • To nie jest dziadostwo. tak działa izraelski unit 8200. firma niemal widmo z 1 osobą stawia za zbyt tanio serwer otwarty w necie dla każdego żeby klub niewidzialnej ręki mógł pobierać z niego dane. tak miało być od początku

  58. Czyli reasumując:

    – Firma A postawiła niezabezpieczone serwery.

    – Ktoś najprawdopodobniej skorzystał z okazji i wykorzystywał te serwery do… różnych rzeczy, m.in. do skanowania portów. To mógł być ktokolwiek: CIA, Mosad, KGB, UOP, lub najprawdopodobniej jakieś inne… Einsteiny.

    – Nasz Edison poczuł się osobiście urażony łaskotaniem we wrażliwe miejsca (jak to ujął? zniknął mu “skrypt bojowy”?) i postanowił się zemścić na… Firmie B, której Firma A była podwykonawcą. Bo ta była w jego zasięgu, trafił na jej wrażliwe dane.

    Faktycznie, hakier pełną gębą!

  59. Czy ktoś zna ten tajemniczy sposób na wyciągnięcie tej informacji z ZUS?

    • Tak, uczestnicy niebezpiecznikowego kursu osint. Pozdrawiamy

  60. Ale przecież to PAŃSTWOWA FIRMA, więc skąd to zdziwienie?

    • ale nie ma co się będzie odział cyber a Przewodniczącego Komitetu ds. Bezpieczeństwa Narodowego i spraw Obronnych Jarosława Kaczyńskiego.

      Nie ma czego się obawiać :D

  61. Jestem w gronie “szczęśliwych” klientów Tauron i dziś dostałem kod na darmowy roczny dostęp do BIK Alert :o
    Trzeba przyznać, że robią co mogą. Jeszcze nie zafundują dostęp do Waszego nagrania o wycieku DO i będzie git.

  62. LoL ale beka. Kolo mocno przydzbanił ze swoimi danymi osobowymi. Ale jeśli zgłosił zawiadomienie do Urzędu Ochrony Danych Osobowych, to nie wiemy kto się będzie śmiać ostatni. Bo koleś dostanie max zawiasy a im powinni dojebać za taką niefrasobliwość i kaskadowy outsourcing po spółkach weselnych wujków zgodnie z art. 83 ust. 4 RODO – karę do 10000000 EUR plus prokuratura powinna przyjrzeć się tym przetargom (ale jak wiemy tego nie zrobi, bo kto by srał na swoich) – zostaje tylko kozioł ofiarny pod postacią najebanego kodera.

  63. Szatańskim pomysłem było by rozesłanie fejkowych maili w takiej formie jak zrobił to Tauron tylko z dołączonym linkiem, licząc że trafi się na klienta Tauron . A później ten przelew na 1 zł no i sami wiecie co dalej.

  64. :) W autobiografii Edwarda Snowdena opisuje on sytuacje kiedy jako dzieciak odkrył że firma zajmująca się enegrią jądrową USA miała niezabezpieczone serwery lata temu i każdy publicznie miał dostęp do ich plików…

  65. No i go złapali.

    • A co, uciekał im? Przecież sam się kulturalnie przedstawił i podał adres to w końcu do niego trafili, co i tak zajęło im niepokojąco dużo czasu. Ale czego się spodziewać po cyber-skautach …

  66. […] wydarzeń związanych z wyciekiem danych klientów Taurona przedstawią przez Edisona opisaliśmy w tym artykule. W skrócie, Edison był oburzony tym, że Tauron ignorował jego złoszenia dotyczące braku […]

  67. Szanowna Redakcjo,

    jak czytam te Wasze deklaracje to pusty śmiech mnie ogarnia

    ‘Jeśli próbujesz zgłosić jakiejś firmie błąd bezpieczeństwa, a firma Cię ignoruje, napisz do nas’

    Zgłosiłem do Was poważną lukę, która od wielu lat znacznie poszerza (umożliwia) skalę przestępstw, których ofiarami padają niewinni (co prawda naiwni) obywatele nierzadko pełni po prostu zaufania i chęci pomocy drugiemu człowiekowi.

    Luka: prawo bankowe. Artykuł 105 Prawa Bankowego punkt 4i
    firma: BIK
    patronat: KNF, Ministerstwo Finansów, Związek Banków Polskich, które uchwaliły tą prawną patologie i utrzymują to przyjazne dla przestępców środowisko prawno-systemowe

    i co z tym zrobiliście ?

    Całe kurwa nic ! Dlaczego ?

    Bo jesteście marnymi obsrańcami a nie dziennikarzami, a Wasze kreowanie się na chuj-wie kogo to sobie możecie wsadzić.

    Nie stać Was było nawet na jakąkolwiek odpowiedź tylko kurwa głowa w piasek – PIZDY !

    Z głębokim poważniem

    • Jak tak do nich napisałeś i z takim “gorącym tematem”, to nic dziwnego ze ci nic nie odpisali…

    • Brzmisz trochę jak Edison, tylko nie po wódeczce a po jakimś dragu.

      Napisz tak o tych obsrańcach może do KNF i ZBP, a potem przywitaj smutnych panów w garniturach pod domem.

      Żadna redakcja nie “zajmie” się zmianami prawa, chyba że faktycznie ustawa ma ewidentnego bubla. Ty natomiast brzmisz jak frustrat, który się obraził że redakcja, która nie ma obowiązku odpowiadać na każdego maila stwierdziła że może za słabo opisałeś temat. Jak pisałeś tego maila tak jak tutaj, i ja bym go dostał to mógłbyś ode mnie dostać co najwyżej dość niecenzuralną odpowiedź ;).

  68. no i jest ! sampling do voice recognition i sampling glosow Polakow z danymi wrazliwymi dostepne w swiecie internetowym, mozna przyjac ze maja to wszyscy zainteresowani … podobna usluge ma PEKAO SA , kurna spece od bezpieczenstwa – do przelewu podpisanego juz online prawie za kazdym razem kaza podawac prawie wszystkie dane wrazliwe ( automat wylosowal ) … w UK robi to automat i kaze podawac cyfry wyswietlane w apce na telefonie, bez danych wrazliwych … normalnie kurna dramat z tymi koncernami panstwowymi … kara GIODO – NIE MA , super tajna sprawe w celu ujecia super tajnego hakera prowadza spece …

  69. Brawo bystrzaki, styl komentarza dostosowałem do stylu bohatera ostatnich dni, który odważnie napisał do Niebezpiecznej redakcji, a ta odszyfrowała bohatersko jego pijacki bełkot.

    Już Niebezpieczna redakcja wie najlepiej jak bardzo merytoryczna była moja analiza z lutego 2021 roku.

    Załóżmy, że mam Twój dowód frajerze i jestem dość podobny do tej facjaty na zdjęciu i co firmuje system BIK-u ? W przeciągu tygodnia mogę narobić długów na Twój dowód tak na oko na 50k – 100k (zależy od grubośći frajera) i nikogo nie obchodzi to bo wg. prawa banki mają nawet 7 dni na wysłanie danych a drugie 7 dni na ich odebranie.

    Serwus ignoranci nie mający pojęcia o mojej korespondencji.

  70. Nayebany, to do domu, jak mówi stare powiedzenie.

  71. Jaki z tego moral ?
    Zamiast gadac z Tauronem (gloryfikowanym tutaj jako super reakcyjny), trzeba bylo zglosic sprawe do prokuratury, jako bezprawne udostepnianie danych osobowych w Internecie.

    Bo taka wlasnie byla prawda. To, ze wynajmuje sie podwykonawcow nie oznacza, ze zdejmujemy z siebie odpowiedzialnosc za dane. Co jest napisane w umowie z klientem koncowym ? Przypadkiem nie formulka, ze administratorem twoich danych osobowych jest spolka Tauron z siedziba gdziestam ?

  72. Czy szlifierka kątowa była na USB czy zasilana 230V?

  73. Najbardziej z tego wszystkiego jest zastanawiające to, z jakimi podmiotami współpracuję taka ogromna spółka (państwowa) jak Tauron. Wstyd i hańba.

  74. […] na niezabezpieczony serwer z 2 milionami nagrań rozmów klientów Taurona z konsultantami (to świetna historia, przeczytajcie ją). A teraz, jak informują nas Czytelnicy, po zalogowaniu się na swoje konto w Tauronie, widzieli […]

  75. […] Basi przeleżałaby w naszej skrzynce kilka miesięcy, zanim — jak to zwykle bywa — przypadkiem (lub po krótkiej analizie) nie znaleźlibyśmy sensownego wyjaśnienia “tajemnicy”. No […]

Odpowiadasz na komentarz Miki

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: