13:55
1/10/2010

Gazeta opisała wyciek danych osobowych 4 tys. marynarzy należących do Solidarności. Sam wyciek jest mało interesujący, a błąd z punktu widzenia bezpieczeństwa błahy. Natomiast wypowiedzi “informatyków” opiekujących się stroną i serwerem to perełka na miarę “głębokiego ukrycia” :-)

Szyfrowanie “dupą” w głębokim ukryciu

Poufne dane zrzeszonych w Solidarności marynarzy znalazły się w internecie. Były podczepione do stron kilku urzędów w katalogu o nazwie “dupa” — pisze Gazeta.

/tmp/dupa

Po danych marynarzy nie ma już śladu

Plik został znaleziony na w domenie: www.eboi.pyrzyce.um.gov.pl i zawierał takie informacje jak: imię i nazwisko, data urodzenia, dokładny adres, telefon kontaktowy, stanowisko na statku, informacje o armatorze oraz informacje dot. opłacania składki.

Wysoko szyfrowane certyfikaty

Strona Pyrzyc leży na serwerze firmy alfatv.pl, która tłumaczy, że nie zarządza stronami, a jedynie udostępnia miejsce na serwerze i oprogramowanie, twierdząc dodatkowo, że — i teraz najlepsze:

dostęp do tej listy był zabezpieczony poprzez autoryzację wysoko szyfrowanymi certyfikatami

Prawda, że ta wypowiedź zasługuje na nagrodę niebezpiecznikowego zera? Sam nie wiem, czy nie jest lepsza od “głębokiego ukrycia” :-)

Rozwiązanie zagadki?

Wg wypowiedzi związkowców, kilku działaczy miało dostęp do tych danych poprzez uwierzytelnienie przy pomocy tokena (huh?). Hipoteza jest taka, że jeden z “uprawnionych” wrzucił plik z danymi na serwer do katalogu “dupa” aby móc go szybciej i bezproblemowo (beztokenowo?) udostępniać z pominięciem uwierzytelnienia. Ewidentnie “dał dupy”, umieszczając członków w tak pięknie nazwanym katalogu ;-)

Dzięki wszystkim, których nie sposób tu wymienić, a którzy od rana zalewają nam skrzynkę informacjami na temat tej wpadki :-)

P.S. Na uwagę zasługuje też nazwa Certification Authority certyfikatu SSL, którym podpisane są strony na wspomnianym serwerze, a które nosi nazwę “WTF Alfa” — nie jest to jednak kolejny wybryk “kulturalnego” informatyka, a jedynie skrót od Wytwórnia Telewizyjno Filmowa ;-)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

25 komentarzy

Dodaj komentarz
  1. Hahaha :>

  2. W tym kontekscie “głębokie ukrycie” nabiera nowego znaczenia.

  3. google poindexowało tą “dupe”, i jest dostępna z ze sporej ilości domen na serwerze alfy. Czy to aby normalne ;) ?

  4. Ło matko z córkom… Popłakałem się na cytacie. :)

  5. No i dupa:)

  6. Bartosz: “członek w dupie” też nabiera nowego znaczenia :]

  7. Ja kiedyś umieszczałem tabele dupa w bazie MYSQL pewnego serwisu
    i szef mnie osłodził mówi :
    “Lol to nie dopuszczalne aby w bazie danych były jakieś dupy”
    No ale że aż tak to uh i oh

  8. Osz, swietni są :) Chętnie posłuchałbym większej ilości wypowiedzi tych ‘specjalistów’. Przyszło mi do głowy jeszcze przysłowie – “I specjalista dupa, gdy userów kupa”.

  9. Zwykłe ukrycie:
    example.com/tajnedane
    Głębokie ukrycie:
    example.com/tajnedane/uwaga/odejdz/nie-czytaj/tu-sa-gleboko-ukryte-dane/jeszcze-glebiej/jeszcze-glebiej/jeszcze-glebiej/o-tutaj

  10. „Ała, no nie pchaj tak na chama, weź posmaruj tokenem.”

  11. dane ukryte w “dupie”?
    no to ze ktos im zrobil lewatywe xD

  12. Szykuje się pogromca “Głębokiego Ukrycia” – Niebezpiecznik Awards 2010. ;]

  13. Czy tak trudno było posługiwać się tokenem? Żenada. Pewnie to były tokeny OTP (kalkulatorki chronione pinem są droższe), więc to takie uciążliwe chyba nie było. Powinni odpowiadac za niedbalstwo i ujawnienie chronionych danych.

  14. “Dał dupy umieszczając członków”
    Niebiezpiecznik uczy i BAWI.

  15. Niektóre komentarze mają nie mniejszą siłę rozbawiania, niż sam artykuł ;)

  16. ciekawe czy GIODO wyciągnie z tego jakieś konsekwencje, dopiero może kogoś zaboleć d..pa

  17. WTF Alfa – hahaha WTF?!

  18. duzyrny szyfrant alfatv stawal na stolku, zeby dodac sobie powagi, stad ta “wysokosc”.

  19. @igit
    GIODO, ale pewnie również część tych marynarzy wytoczy proces. Dla admina wesołe to nie będzie.

  20. @nivlheim
    Zwykłe ukrycie, Głębokie ukrycie.

    Jest jeszcze najważniejsze wysoko szyfrowalne, głębokie ukrycie w dupie:
    example.com/tajnedane/odbyt/dupa/ciemnosc/uwaga/odejdz/nie-czytaj/tu-sa-gleboko-ukryte-dane/jeszcze-glebiej/jeszcze-glebiej/jeszcze-glebiej/o-tutaj/kal/jelito/WTF

  21. A wiecie, że mi jedna bezzębna ruda z lisem w wydziale stosownego urzędu w Polsce odmówiła rejestracji firmy tylko dlatego, że jej się nazwa skrócona nie podobała? Heh… a miałem już przed oczami wizytówkę: nazwa skrócona firmy – właściciel.

    A… zapomniałem dodać…. firma miała się nazywać: Dystrybucja Uniwersalnych Produktów Amway’a ;)

  22. i szef mnie osłodził mówi :
    “Lol to nie dopuszczalne aby w bazie danych były jakieś dupy”

    tiaaa…już ja widzę jak ktoś mówi “LOL” zamiast po prostu się zaśmiać. Chyba Tybijczyk, który pierwszy raz od miesiąca widzi dzienne światło. ha ha.

  23. I się wydało kto ma speców od zabezpieczeń do dupy ;)

  24. Wysoko szyfrowane certyfikaty
    No jak sobie poszyfrowali certyfikaty, to nic dziwnego, że dane zostały na wierzchu :D

  25. umieszczanie tylu członków w tak pięknie nazwanym katalogu ?
    to albo jakieś małe członki albo duuży katalog

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: