15:21
7/4/2016

Doszło do wycieku danych z serwisu randkowo-erotyczno-kamerkowego, Zbiornik.com. Bardzo ciekawie sprawę przedstawiają sami administratorzy serwisu, wyznaczając przy okazji nagrodę za ujawnienie danych “włamywacza” i przyznając się do kilku błędów. Jest też zapowiedź bug bounty. Transparentność działań i wnioski są godne pochwały.

Zbiornik.com

Zbiornik.com

A oto pełna treść oświadczenia:

Włamanie

Pod koniec marca otrzymaliśmy wiadomość, w której autor poinformował nas, że odkrył dziurę w systemie i jest w posiadaniu poufnych danych pochodzących z naszych serwerów.

Przedstawiając siebie jako człowieka honoru, dla którego słowo i szacunek jest więcej warte niż pieniądze oznajmił nam, że dostał “na nas” zlecenie od konkurencji. Jednakże nie chcąc robić krzywdy ani nam, ani naszym użytkownikom przedstawił propozycję, w której dzięki kwocie 1000000PLN (płatne w bitcoinach) wskaże nam ową lukę jak również nie będzie go już “kusiło” aby wykorzystać posiadane dane “poza naszymi plecami”.

Niestety, po analizie logów okazało się, że faktycznie część bazy danych została skopiowana.
Nic nie wskazywało na to, że cracker zdołał złamać zabezpieczenia serwerowe, więc założyliśmy, że dziura jest w samym skrypcie starego zbiornika, przez co udało mu się dostać do jednej z baz danych.

Niemniej podjęliśmy szereg działań mających na celu dodatkowe zabezpieczenie serwerów oraz łatanie wszelkich potencjalnych luk. Po dwóch dniach prac byliśmy przekonani, że nam się udało.

Postanowiliśmy więc sprawdzić, czy nasze zabezpieczenia okazały się skuteczne.
Odpisaliśmy, iż jesteśmy w stanie zapłacić i prosimy o podanie adresu konta (bitcoin), jednakże wymogiem jest podanie aktualnych danych dostępowych do bazy danych, które upewnią nas, że luka, za wskazanie której mamy zapłacić nadal istnieje.

Dostaliśmy odpowiedź wraz z adresem bitcoin umożliwiającym wpłatę okupu wraz z odmową podania aktualnych danych dostępowych, co utwierdziło nas w przekonaniu, że nasze działania przyniosły odpowiedni skutek.

Mając tą świadomość wprowadziliśmy dodatkowe wymogi dotyczące haseł oraz wymusiliśmy ich zmianę wszystkim użytkownikom. Nowe hasła są już w pełni zabezpieczone przez hasz bcrypt z losową solą.

Gorzka chwila prawdy.
Tak, mieliśmy świadomość, że jakość kodu starego zbiornika nie jest najwyższych lotów.
Jest to zlepek prac różnej maści programistów, którzy przewinęli się przez zbiornik na przestrzeni ostatniej dekady.
Dlatego też kilka miesięcy temu powołany został nowy zespół odpowiedzialny za przepisanie całego zbiornika od podstaw, przy zachowaniu najwyższych standardów bezpieczeństwa.

Z naszej strony chcielibyśmy szczerze przeprosić wszystkich naszych użytkowników, mając jednocześnie nadzieję na “drugą szansę”. Nasza wina jest bezsporna.

Co teraz.
Wszystkim użytkownikom, którzy posługiwali się jednym hasłem “do wszystkiego” zalecamy jego zmianę.
W szególności w skrzynkach pocztowych.
Jeśli ktokolwiek padnie ofiarą szantażu zalecamy zgłosić sprawę na policję.
My dla policji mamy już pełny raport, który mamy nadzieję pomoże w ustaleniu tożsamości złodzieja.
Oferujemy także 10000zł nagrody za ujawnienie danych tego człowieka.

Co dalej.
Przeprowadzimy dodatkowy, kompleksowy audyt przez zewnętrzną firmę.
Wzorem największych firm zaoferujemy system nagród za pomoc w odnajdywaniu luk w oprogramowaniu.

Mój “kolega” korzystał ze Zbiornika — co ma robić, jak ma żyć?

Jeśli Wasz kolega na Zbiorniku miał takie samo hasło, jak w innym miejscu — niech zmieni hasła, tym razem na różne.

Jeśli na zbiorniku kolega występował “anonimowo”, ale umawiał się na spotkania (podając swoje dane teleadresowe w wiadomościach prywatnych) lub na privie wymieniał się mogącymi kompromitować go materiałami — niech zastanowi się, co zrobi jego partnerka/partner, jak się dowie.

Od użytkowników już wymuszane są okupy za “nieujawnianie” danych

Dochodzą do nas słuchy, że poszczególni użytkownicy serwisu są już szantażowani (atakujący ma rzekomo kompromitujące ich materiały i chce je ujawnić znajomym z pracy ofiary, chyba, że otrzyma odpowiedni “okup”).

Ktoś założył stronę zbiornik.pw w celu “automatyzacji” wymuszania okupów — część użytkowników jest na nią kierowana przez szantażystę.

zbiornik-pw

PS. Z serwisów “kamerkowych” dane wyciekały już nie jeden raz — w branży tej jest dość wysoka konkurencja, która regularnie się “zwalcza”.

Przeczytaj także:

78 komentarzy

Dodaj komentarz
  1. Ot gorzka lekcja uświadamiająca, jak zgubne jest umieszczanie potencjalnie kompromitujących danych w sieci.

    • “potencjalnie” kompromitujące fotki/filmy seksu z żoną :D Tak, jest w tym potencja i potencjał :P

  2. Może nie w temacie, ale mają śmieszną informację o “ciostkach”.

  3. Ale trzeba przyznać, że reakcja serwisu – wzorowa.

    • Od wzorowej daleko bo logika jest tu dobra tylko na pierwszy rzut oka. Najpierw się namierza po cichu człowieka przy użyciu odpowiednich firm a następnie się o tym głośno mówi.
      Wmawiają że haker nie podał danych do logowania – a to takie dane są mu potrzebne? Skąd ta pewność?
      Zmiana haseł na bcrypta – to nie mieli żadnego hasza haseł jeszcze? To amatorszczyzna.
      Co zrobią ci ludzie którzy mogą teraz stracić pracę przez radykalne błędy serwisu który nawet maile to odczytuje strasznie wolno – więc dowiedzieli się sami z opóźnieniem 2-4 tygodni.

      Wnioskuję ze hasła trzymali jawne – inaczej nie srali by tak o to że ludzie mogą mieć identyczne do skrzynek pocztowych. Jak tak można?

      Czasy zbiornika skończyły się kilka lat temu – teraz to już nie te czasy, są lepsze alternatywy i dużo bezpieczniejsze.

    • Ja nie piszę o zabezpieczeniach tylko o reakcji na wtopę.
      Bez ściemniania: mocno daliśmy dupy, przepraszamy, robimy co się da.

    • A mnie ciekawi, na ile w praktyce jest zdatne hashowanie i solenie haseł w przypadku pełnej kompromitacji serwera?
      Fakt, jest to utrudnienie, ale nie gwarancja 100% bezpieczeństwa przy słabych hasłach userów.

      “Co zrobią ci ludzie którzy mogą teraz stracić pracę przez radykalne błędy serwisu który nawet maile to odczytuje strasznie wolno – więc dowiedzieli się sami z opóźnieniem 2-4 tygodni.”
      W sumie jak ktoś ma z tym problem, to może zrobić dwie rzeczy:
      1. Pogodzić się z faktem, kim są i nie udawać księżniczek/księciów.
      2. Zacząć naprawdę zachowywać się, jak ten idealny człowiek, którego udają.

    • “Co zrobią ci ludzie którzy mogą teraz stracić pracę przez radykalne błędy serwisu…”

      Nauczą się, żeby nie robić pewnych rzeczy jeśli mają coś do stracenia.

    • Na przykład jakie ? (kolega pyta :P)

    • @Rafał jeśli wyciekły skróty haseł, ich złamanie jest tylko kwestią czasu. Może mieli jakieś słabe algorytmy haszujące? Nie muszą przecież być w czystym tekście.

  4. Swoim kolegom też przekażcie ^^

    • I “sąsiadce” też ;-)

  5. Nie rozumiem tych ludzi (klientów serwisu). Wydawałoby się że zasada “zakładaj że cokolwiek umieszczasz w sieci, zostanie tam na zawsze i kiedyś może zostać przeczytane / przetworzone przez każdego” jest dobrym kompasem w kwestii gospodarowania swoimi danymi. Ale widocznie jest jakiś kłopot z przyswojeniem tego.

    • Dla Ciebie jest to oczywista oczywistosc. Ale miliony ludzi nie ogarniajacych internetow nie maja o tym pojacie. A uwierz mi, sa mlodzi (swiezo po sredniej/studiach) co nie potrafia skonfigurowac sobie klienta poczty. Mam tu namysli podstawowa konfiguracje zeby wysylal/odbieral maile a nei jakies wymyslne zabezpieczenia. Dla nich swiat sie konczy na selfi do facebooka…

    • Mozesz zginac w wypadku samochodowym. Ale wciaz wychodzisz na ulice i jezdzisz samochodem. I zapewne nie robisz tego wylacznie w sytuacjach koniecznych do zycia. Tu jest tak samo.

  6. Jak to jest, że najlepiej zarabiające serwisy mają najbardziej liche zabezpieczenia? Mam rozumieć, że przed atakiem wszystkie hasła były gołym tekstem w bazie?

    P.S. Bardzo spodobał mi się fragment “Jest to zlepek prac różnej maści programistów, którzy przewinęli się przez zbiornik na przestrzeni ostatniej dekady”, ma takie fajnie, erotyczne zabarwienie :D

    • Ciekawe, czy kastingi na admina też robili…? ;>

  7. Przecież dostając się do bazy nie musiał znać danych dostępowych…
    Poukładali sobie sprytną wymówkę i tyle. To nie pierwsza kradzież danych ze zbiornika z tego co wiem. Mydlenie oczu i tyle a jakości jak nie było tak niema.

  8. Jeszcze nie dodałem bo zapomniałem że biedni userzy – teraz mogą mieć naprawdę przeje$#ne jak ci z tego międzynarodowego Asley Madison czy jakoś tak, jak tylko ktoś opublikuje w necie dane to po robocie – kupa ludzi straci prace.

    • Albo wręcz odwrotnie… ;>

    • @Rafał, za głupotę się płaci ;).
      Poza tym nazywanie ludzi szukających okazji do zdrady (mówię o Ashley Madison) a potem lamentujących, że im się związek rozpada biednymi, to chyba lekka przesada. Ot karma w swojej wspaniałej subtelności :).

  9. Z tego co pamiętam, to używając opcji “przypomnij” hasło ok. pół roku temu dostałem je na maila w PLAINTEXCIE! Także nie dziwię się reakcji admina, bo gdzie można było spieprzyc tam spieprzyli.

  10. Dostałem SMS od szantażysty i nie mogę zrozumieć jednego. Na zbiorniku spędziłem w życiu 20 min. Nie wysłałem tam ani jednej wiadomości i nie wrzuciłem żadnego zdjęcia. Zobaczyłem tylko czy nie ma tam moich sąsiadów i nigdy nie wróciłem. Na 100% nie podałem numeru telefonu. Konto mailowe przypisane do zbiornika było kontem na którym nie było żadnych moich danych.. Skąd w takim razie mają mój numer telefonu ?

    • Spytaj kolegi…

    • Może miałeś te samo hasło na mailu co na zbiorniku. Ktoś się zalogował na maila, a tam miałeś podany nr telefonu.

    • Nie mają, wysyłka leci losowo, zawsze jest szansa, że się trafi na rzeczywistego uzytkownika.
      No chyba, że hasło było takie same jak do innego portalu / maila itd. którego na przykładu użyto do rejestracji. Wtedy możliwości jest jakby więcej.

    • Żeby założyć konto na Zbiorniku, trzeba wysłać SMS. Nieopatrznie zrobiłeś to z własnego telefonu, stąd mają Twój numer.

    • @Dominik
      Od jakiegoś czasu, kiedyś nie wymagali.

  11. 10k za podkablowanie kogoś ?
    Raz że nie honorowe, dwa że drobne.

    • Nie wiem, kim jesteś że 10k oceniasz jako drobne i o jakim honorze piszesz?
      To bandyta ma jakiś honor?
      A odnośnie drobnych, to niejednego już zamordowali dla kilkudziesięciu groszy…

  12. Czy ten ich “priv” był prawdziwy, czy taki jak np. na Facebooku? :P

  13. Okej, pękło mi serce że zbiornik się rozciekł, ale zastanawia mnie inna sprawa.
    Od dwóch dni media szumią nt panama papers, z bełkotu spikerów można wywnioskować że ktoś się włamał i wykradł sporo z bazy Mossacks’a, a branżowe media milczą.
    11.5 mln dokumentów zakańczających karierę góry tego świata to informacja niegodna nawet *ptr’a?

    • Bardziej kwestia popularnosci. No bo co bardziej dotknie przeciętnego janusza? To że wiedza o jego trylionach w Panamie czy to że Grażyna się dowie ?

    • fejsowaliśmy, na ten temat, jak jeszcze nie było wiadomo jak dane wyciekły. Potem były sprzeczne informacje i dalej nie ma wiarygdnych, sensownych danych na temat technicznej strony ataku. Tak, temat duży, ale na razie brak rzetelnego info…

    • To spisek, redakcja Niebezpiecznika też należy do góry tego świata.

    • Piotr Konieczny, lepiej byscie napisali o malware ktory szyfruje dyski ludzia a samo malware takze zawiera dokladny adres ofiary. Ciekawa sprawa powiem.

      A co do tego zbiornika bombnika to ja powiem tylko jedno, karma dogonila jedzacych.
      P.S Ja nadal nie kumam o co chodzi z tymi zwolnieniami ????

  14. cyt: “Mój “kolega” korzystał ze Zbiornika — co ma robić, jak ma żyć?”
    Dooooobre ;-) ;-) ;-) ;-) ;-) ;-) , jak przeczytałem to (oczywiście nie nagłos) to dzieci uciszały mnie przez 5 minut tak mnie to rozbawiło ;-)

  15. Mnie zastanawia ten cały szantaż userów owego portalu…
    Jeżeli ktoś na portalu używał fakeowych danych, nie podawał swoich danych adresowych oraz numeru tel, mail np. był stworzony tylko do celów “zbiornikowych” a wszelkiego rodzaju media typu filmy, zdjęcia itp miał z “wymazaną” twarzą to chyba nie ma się czego obawiać.
    Poza tym zastanawia mnie fakt jak w powyższej sytuacji atakujący chciałby dostać informacje o rodzinie, znajomy, współpracownikach etc danego usera…?
    W powyższym przypadku wydaje mi się to niewykonalne, co innego jak poprzez dane ze zbiornika atakujący dostanie się do skrzynki mailowej lub innych serwisów z tym samym mailem i hasłem co na zbiorniku…

    • o iwo się boi, że jego fakowy profil ktoś namierzy : )

      jaki miałeś login? to sprawdzimy czy jest coś na Ciebie

    • :) kolega ma pietra :P

    • Zawsze możesz skłamać że twój profil to wcale nie twój i założyli ci go wrogowie żeby cię zniszczyć za wybitność, których posiadanie jest jak wiadomo świadectwem sukcesu.
      Jedno kłamstwo w tą czy w tą, jest jedna złota zasada w życiu “nigdy się nie przyznawaj”

    • CSI sie nie ogladalo?? Zamazanie twarzy? Phi! 2 minuty w paincie i bedziesz mial oryginalny obraz do tego powiazany z kontem na facebooku! ;)

    • @TomekK
      Enhance!!

  16. To jest firma! (Mniejsza o to czym się zajmuje!) Podjęła odpowiednie kroki , i oto chodzi! A nie mydli ludziom oczy!

  17. Na szczęście miałem losowe hasło z KeePassa.

  18. Dawajcie więcej artykułów o stronach erotycznych. Tej nie znalem. W sumie znam tylko łysego z brazers bo często jest na kwejku.

    • “Kolega” powiedział mi że na tubegalore masz wszystko :D

  19. Jak za komuny

  20. Jako Katolik Polak rasa biaa (hue hue) powiem wprost. kto do cholery trzyma swoje nagie nagrania w necie wrzucone na jakąś stronkę? Przecież to zwykłe porno. W głowie mi się to nie mieści. Ja bym na miejscu osoby która przejęła to wszytsko po prostu opublikował całość i niech jest nauczka na przyszłość.

    Mówimy o osobach DOROSŁYCH.

    Z Bogiem i krzyżyk na drogę.

    • Porno jest fajne :P

  21. Mój kolega zapytuje uprzejmie czy pan włamywacz haker mógłby mu podać/przypomnieć jego hasło do zbiornika (hasło kolegi, nie włamywacza), gdyż on zapomniał był.. a na rzeczonym portalu pono cuda sie dziejo panie

  22. “A mnie ciekawi, na ile w praktyce jest zdatne hashowanie i solenie haseł w przypadku pełnej kompromitacji serwera?”
    Jest ważne, bo ludzie używają tych samych haseł w innych miejscach, a hash – przynajmniej teoretycznie – uniemożliwia odtworzenie oryginalnego hasła. Nawet jeśli znasz sposób tworzenia hash.

    • Hashowanie ma aktualnie send jedynie jak to jest bcrypt .. i wtedy sol jest losowa i dla kazdego usera inna. Wtedy wyciek całej bazy hashy nie spowoduje ze zlamanie jedenego pozwoli poznac sol i tym samym inne hasla latwo sie rozszyfruje. Niestety bardzo duzo portali robi dalej stara metoda md5(haslo . “sol”) przy czym sol jest stala dla calego serwisu :/

  23. Przy rejestracji trzeba wysłać SMS premium za 3 zł, z tego, co pamiętam. Także teoretycznie stąd, ale praktycznie? Czy baza danych sms premium / kodów do weryfikacji i ta z danymi użytkowników to ta sama? Ciekawe…

  24. Ktoś próbuje wrobić showup…

  25. Cóż za piękna reklama… Sprawcy nigdy nie odnajdą bo go nie było… Więc będzie nasza Policja walczyć z wiatrakami. A serwis będzie miał darmową reklamę w każdym medium. I każdy z ciekawości się zarejestruje. Śmiech mnie ogarnia że “hakier” chce 1mln w btc ale nie podaje konta tylko serwis grzecznie prosi i dopiero wtedy podaje adres konta btc. Dla mnie to wałek zrobiony przez sam serwis i jeszcze 10k dla kolesia który pomoże w ujęciu sprawcy hahaha dla gimbusa chyba. ;)

    • Wiesz dla 14-15 latka to całkiem konkretna kasiorka.
      A wbrew powszechnej tu opinii to wśród takich jest wielu świetnych speców.
      Trochę mniej zadufania w sobie stara kadro…

      Najlepsi w branży bezpieczeństwa w wieku nastu lat mieli na kontach spektakularne włamy
      Wielu nie pokończyło szkół nie mówiąc o studiach które z zasady są pomijane przez co zdolniejszych.
      To wyśmiewanie się z gimnazjalistów może wam się kiedyś czkawką odbić jak wam taki “gimbus” zrobi z d jesień średniowiecza oracją serwer…

    • Czy ja wiem czy to taka fajna “reklama”, że dane wielu osób zostały wykradzione…
      Mnie by to raczej nie skusiło do rejestracji, a wręcz odwrotnie :]

  26. Strona zbiornik.pw (104.28.9.11) jest hosttowana w CloudFlare, Inc. w usa wiec po nitce do klebka dalo by sie dojsc bo ktos kupil ta usluge hostingowa. Domena jest kupiona w Panamie wiec na wspolprace bym nie liczyl.

    • Jeśli ktoś para się sprzedawaniem kradzionych danych to na pewno zabezpieczył się przed takim scenariuszem i np. założył konto na słupa.

  27. Kolega mówi, że mają jego numer tel podany przy aktywacji ale się nie boi bo skąd hakier ma wiedzieć gdzie on mieszka i kto to jest jego znajomy, narzeczona, gdzie pracuje itp. Chyba że to służby ABC. Adres email generował mailinator lub coś podobnego.

    A jeśli nawet go namierzy to zrobi komingałt jak dorosły facet – tak, biję konia :)

  28. To była tylko kwestia czasu. Oni w ogóle nie szyfrowali haseł :)

  29. Coś mi się wydaje, że to ich całe włamanie to pic na wodę – im chodzi głównie o (darmową) reklamę portalu. Pewnie pan Piotr jest współzałożycielem zbiornika ;)

  30. 1. To nie próba reklamy przez właścicieli serwisu, bo szantaż ze zbieraniem kasy po “pińcet złoty” szkodzi userom. Dla rozgłosu w mediach wystarczy samo info o wycieku. A i tak nie zachęca do rejestracji.

    2. Włamywacz podaje się za “człowieka honoru”, kasy żąda od właścicieli a userom podobno nie chce zaszkodzić.
    Skąd pewność, że to ta sama osoba, która szantażuje userów przez zbiornik.pw, a nie inny nie powiązany ze sprawą oportunista, łasy na łatwą kasę?

    2. Czy ktoś może mi podpowiedzieć skąd hakier po udanym szantażu wie, kto mu zapłacił?
    Na jego portfel wpływa BTC i skąd tam info od kogo?
    Jeśli nie ma jak tego sprawdzić to cały szantaż jest blefem

    • 3.Nie jest ważne od kogo wpływa wspomniana waluta, bo odbiorcy, jak i nadawcy nie da się zlokalizować. W teorii można sprawdzić zawartość portfela, ale nie jest to istotna informacja.

      2. Dlatego serwis nie powinien nic płacić, bo gdy tylko braknie gotówki chakierwoki, na stół stawia się kolejne karty… Tak jak to było w przypadku PluZa.

    • 2. Można to zweryfikować na kilka sposób. Prześle fragment bazy danych, czy też poda jakieś wrażliwe dane z aktualnej zawartości strony.

    • Mylisz się. Zauważ że strona zbiornik.pw za każdym razem podaję inny adres więc akurat w bardzo łatwy sposób uda mu się zlokalizować kto zapłacił.

    • Jak nie wiesz jak działa bitcoin, to się nie wypowiadaj.

  31. “Jeżeli wasz kolega….” :D

  32. trzeba być słabym intelektualnie żeby z cywilnego mejla wrzucać filmy z żoną do netu :D

  33. W tagach macie zbiornik.pl zamiast com :)

  34. Tak sobie poczytałem komentarze i zastanawia mnie jeden drobiazg.

    Piszecie o jakiejś utracie pracy.
    Co ma nasze życie seksualne do pracy?
    Przecież co robią moi pracownicy w czasie wolnym mnie nie obchodzi.
    W sumie nawet jak by w firmie świntuszy to dopóki nie syfią albo nie szkodzą wizerunkowi to ich sprawa.

    Owszem szukający okazji do zdrady mogą mieć przerąbane. Ale przecież szukać na zbiorniku to niemal jak dać bilbord przed wejściem do domu z zdjęciem nr telefonu i hasłem że się szuka kochanki/kochanka
    Jakoś mi takich ludzi nie zal bo zdrada sama w sobie jest płytka i żałosna a szukanie na zbiorniku świadczy o zupełnym braku zastanowienia się nad tym co się robi.

    A wszyscy swingersi i inni fascynaci?
    No cóż czy robili coś złego?
    Owszem problemem są filmy ale skoro je umieścili “tylko dla znajomych” to chyba zdawali sobie sprawę z tego ze to musi polecieć w sieć. Wcześniej czy później ale poleci.

    Strasznie mnie zawsze śmieszy ale i fascynuje jak to jest że ludzie umieszczają swoją sypialnię w sieci na “zamkniętych” portalach a potem jak ktoś się włamie albo po porostu ich zidentyfikuje to spalają się ze wstydu.

    Wielu się wydaje ze skoro byli na zbiorniku to nikt nie będzie wiedział…
    Wiecie ilu waszych znajomych ma ciekawe preferencje? :D
    Podajecie im rękę są waszymi pracownikami albo wy pracujecie u nich…
    I co bo ktoś to żuci do sieci stracicie szacunek dla szefa/pracownika?

    Ludzie siedzący na takich portalach żyją często w jakimś matriksie i nie rozumieją ze szanse iż na umówione spotkanie czy na swing party przyjdzie ich szef/szefowa nawet z współmałżonkiem nie jest wcale nierealne a wprost przeciwnie… I co wtedy? :D
    Pomijam szokujące i lekko ekstremalne dla wielu sytuacje jak “spotykają” swoich rodziców co u wielu z niewiadomych przyczyn wywołuje koszmarne traumy jakby rodzice się bawić nie mogli…

    Tak samo jak nie jest wcale nierelane umówienie się swoją drogą połową na zdradę tejże drugiej połówki.. I to ma uzasadnienie bo często ludzie szukają tego co mieli w związku na początku i to szukają nie na końcu świata a blisko żeby było wygodnie.

    Takich włamów było trochę będzie jeszcze na pewno sporo.
    Zawsze było niepotrzebne podniecenie czasem nawet prasa wieściła masowe rozwody i skandale obyczajowe…

    I wiecie co?
    No właśnie nic.
    Nasi rodzice uprawiali sex (jeśli kogoś zszokowałem tą informacją przepraszam) my uprawiamy i nasze dzieci będą uprawiać…. Albo już uprawiają (i jeśli macie nastoletnie dzieci i się łudzicie że nie to wstańcie i idźcie z nimi porozmawiać o antykoncepcji a nie wmawiajcie sobie że wasze dziecko nie bo ma dopiero 10 11 12 13… lat)

    Nasze wyzwolone i bezpruderyjne społeczeństwo zakłada ze robi coś ekstra.. Coś postępowego coś nowego… A ja śmiem twierdzić ze ta cała postępowość to tylko w naszych głowach i największe “zgorszenie” wywołują takie “skandale” u młodych o zgrozo.
    Ludzie starszej daty często ci wstrętni “katole mochery i dewoty” uśmiechną się pod nosem bo się młodzi dali złapać i a inni młodzi się emocjonują…
    Oni sie ne dali nakryć i jawią się jako ci co po Bożemu raz na tydzień… A robili to samo a i czasem odnoszę wrażenie ze byli bardziej postępowi i mniej zakłamani w tym niż my młodzi. (zobaczcie na wykres wyrzy demograficznych ;) )

    Przeanalizujmy co się stało…
    Ktoś się włamał an publiczny portal do którego dostęp może mieć każdy.
    Ktoś uzyskał dostęp do “prywatnych” kolekcji zdjęć… Zazwyczaj jednak umieszczanych w celu pochwalenia się nimi publicznie :)
    Ktoś uzyskał dostęp do informacji o preferencjach wielu ludzi. Ale znowu o preferencjach ludzi którzy się z tym nie kryli bo umieścili inf. o tym na portalu publicznym.

    Można by dalej te straszne konsekwencje wymieniać ale szkoda czasu.
    Problem? Powiązanie zdjęć z danymi konkretnych osób. np nr telefonu mailem.
    Tak to problem ale znowu większość ludzi na portalu umieszcza tam materiały w celu nawiązania kontaktów. Więc? W każdej chwili mogły ich dane wyciec w niepowołane ręce gdyż je udostępniali przypadkowym osobom.

    Problem dwa. Koś zdradza i szuka tam okazji.
    Na głupotę nie ma lekarstwa. To znaczy jest i zostało zapikowane przez włamywacza.

    Mówimy o włamaniu na portal z materiałami wrażliwymi zamieszczanymi tam w celu ich upublicznienia. Łudzenie się ze te dane nie zostaną użyte do próby szantażu jeśli taka będzie miała sens byłoby totalnym oderwaniem od rzeczywistości.

    Więc tak z punktu widzenia bezpieczeństwa mamy kompromitację zabezpieczeń portalu.
    Ale zbytnie emocje?
    Schował bym do szafy. Jeśli te dane wyciekną to w większości wypadków ludzie po prostu będą mogli zweryfikować na ile ich znajomi są warci utrzymania znajomości a na ile sa pryszczatymi nadmiernie emocjonującymi się łóżkiem innych i niedojrzałymi osobnikami tylko głośno mówiącymi jacy to są postępowi.
    Tak to może być bardzo przykre zderzenie z rzeczywistość.

    Więc tak naprawdę z punktu widzenia bezpieczeństwa mamy tu o wiele ciekawszy temat.
    Temat tego czemu ludzie wciąż nie potrafią prawidłowo identyfikować zagrożeń.
    Czy wiedza społeczna jest tak mała?
    I czy nie potrafią czy godzą się na niebezpieczeństwo a może nawet go pożądają?

    Z punktu wiedzenia bezpieczeństwa systemów te pytania są istotne.

  35. polowa ludzi zamieszczajacych takie “tresci osobiste” na serwerach zbiornika to polglowki albo ludzie nie wiedzacy calkowicie jak internet dziala ….

    A wystarczylo by chwilowe udostepnienie owego pliku na Dropboxie w trybie prywatny i potem skasowac po kilku godzinach, no coz tak to juz jest jak sie lapie za cos czego sie nie umie uzywac.

    No coz, moze pomysl z dropboxem nie jest idealny ale na 100% bardziej bezpieczny niz trzymanie fotek/filmikow na tym samym serwerze co stoi sam portal….

  36. Dlaczego ktoś by miał stracić pracę z tego powodu? Jak ktoś nie jest katechetką albo sam nie wiem kim to przecież nie ma żadnej podstawy do zwolnienia. Tam nie ma żadnych niezgodnych z prawem materiałów.

  37. Wystarczyło tylko przestrzegać 10 przykazań, nierządnicy.

  38. A czy wiadomo jaki typ podatnosci zostal wykorzystany? Nieaktualne oprogramowanie na serwerze, sql injection, etc.?

  39. Od połowy kwietnia nie mogę wejść na swój profil. Na moim profilu ktoś zmienił hasło. Możliwość kontaktowania się z administratorem jest żadna. Na moje prośby do administratora o podanie hasła do mojego profilu brak jest reakcji

    • Bo to zbiornik g__na.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: