13:55
1/10/2010

Gazeta opisała wyciek danych osobowych 4 tys. marynarzy należących do Solidarności. Sam wyciek jest mało interesujący, a błąd z punktu widzenia bezpieczeństwa błahy. Natomiast wypowiedzi “informatyków” opiekujących się stroną i serwerem to perełka na miarę “głębokiego ukrycia” :-)

Szyfrowanie “dupą” w głębokim ukryciu

Poufne dane zrzeszonych w Solidarności marynarzy znalazły się w internecie. Były podczepione do stron kilku urzędów w katalogu o nazwie “dupa” — pisze Gazeta.

/tmp/dupa

Po danych marynarzy nie ma już śladu

Plik został znaleziony na w domenie: www.eboi.pyrzyce.um.gov.pl i zawierał takie informacje jak: imię i nazwisko, data urodzenia, dokładny adres, telefon kontaktowy, stanowisko na statku, informacje o armatorze oraz informacje dot. opłacania składki.

Wysoko szyfrowane certyfikaty

Strona Pyrzyc leży na serwerze firmy alfatv.pl, która tłumaczy, że nie zarządza stronami, a jedynie udostępnia miejsce na serwerze i oprogramowanie, twierdząc dodatkowo, że — i teraz najlepsze:

dostęp do tej listy był zabezpieczony poprzez autoryzację wysoko szyfrowanymi certyfikatami

Prawda, że ta wypowiedź zasługuje na nagrodę niebezpiecznikowego zera? Sam nie wiem, czy nie jest lepsza od “głębokiego ukrycia” :-)

Rozwiązanie zagadki?

Wg wypowiedzi związkowców, kilku działaczy miało dostęp do tych danych poprzez uwierzytelnienie przy pomocy tokena (huh?). Hipoteza jest taka, że jeden z “uprawnionych” wrzucił plik z danymi na serwer do katalogu “dupa” aby móc go szybciej i bezproblemowo (beztokenowo?) udostępniać z pominięciem uwierzytelnienia. Ewidentnie “dał dupy”, umieszczając członków w tak pięknie nazwanym katalogu ;-)

Dzięki wszystkim, których nie sposób tu wymienić, a którzy od rana zalewają nam skrzynkę informacjami na temat tej wpadki :-)

P.S. Na uwagę zasługuje też nazwa Certification Authority certyfikatu SSL, którym podpisane są strony na wspomnianym serwerze, a które nosi nazwę “WTF Alfa” — nie jest to jednak kolejny wybryk “kulturalnego” informatyka, a jedynie skrót od Wytwórnia Telewizyjno Filmowa ;-)

Przeczytaj także:



25 komentarzy

Dodaj komentarz
  1. Hahaha :>

  2. W tym kontekscie “głębokie ukrycie” nabiera nowego znaczenia.

  3. google poindexowało tą “dupe”, i jest dostępna z ze sporej ilości domen na serwerze alfy. Czy to aby normalne ;) ?

  4. Ło matko z córkom… Popłakałem się na cytacie. :)

  5. No i dupa:)

  6. Bartosz: “członek w dupie” też nabiera nowego znaczenia :]

  7. Ja kiedyś umieszczałem tabele dupa w bazie MYSQL pewnego serwisu
    i szef mnie osłodził mówi :
    “Lol to nie dopuszczalne aby w bazie danych były jakieś dupy”
    No ale że aż tak to uh i oh

  8. Osz, swietni są :) Chętnie posłuchałbym większej ilości wypowiedzi tych ‘specjalistów’. Przyszło mi do głowy jeszcze przysłowie – “I specjalista dupa, gdy userów kupa”.

  9. Zwykłe ukrycie:
    example.com/tajnedane
    Głębokie ukrycie:
    example.com/tajnedane/uwaga/odejdz/nie-czytaj/tu-sa-gleboko-ukryte-dane/jeszcze-glebiej/jeszcze-glebiej/jeszcze-glebiej/o-tutaj

  10. „Ała, no nie pchaj tak na chama, weź posmaruj tokenem.”

  11. dane ukryte w “dupie”?
    no to ze ktos im zrobil lewatywe xD

  12. Szykuje się pogromca “Głębokiego Ukrycia” – Niebezpiecznik Awards 2010. ;]

  13. Czy tak trudno było posługiwać się tokenem? Żenada. Pewnie to były tokeny OTP (kalkulatorki chronione pinem są droższe), więc to takie uciążliwe chyba nie było. Powinni odpowiadac za niedbalstwo i ujawnienie chronionych danych.

  14. “Dał dupy umieszczając członków”
    Niebiezpiecznik uczy i BAWI.

  15. Niektóre komentarze mają nie mniejszą siłę rozbawiania, niż sam artykuł ;)

  16. ciekawe czy GIODO wyciągnie z tego jakieś konsekwencje, dopiero może kogoś zaboleć d..pa

  17. WTF Alfa – hahaha WTF?!

  18. duzyrny szyfrant alfatv stawal na stolku, zeby dodac sobie powagi, stad ta “wysokosc”.

  19. @igit
    GIODO, ale pewnie również część tych marynarzy wytoczy proces. Dla admina wesołe to nie będzie.

  20. @nivlheim
    Zwykłe ukrycie, Głębokie ukrycie.

    Jest jeszcze najważniejsze wysoko szyfrowalne, głębokie ukrycie w dupie:
    example.com/tajnedane/odbyt/dupa/ciemnosc/uwaga/odejdz/nie-czytaj/tu-sa-gleboko-ukryte-dane/jeszcze-glebiej/jeszcze-glebiej/jeszcze-glebiej/o-tutaj/kal/jelito/WTF

  21. A wiecie, że mi jedna bezzębna ruda z lisem w wydziale stosownego urzędu w Polsce odmówiła rejestracji firmy tylko dlatego, że jej się nazwa skrócona nie podobała? Heh… a miałem już przed oczami wizytówkę: nazwa skrócona firmy – właściciel.

    A… zapomniałem dodać…. firma miała się nazywać: Dystrybucja Uniwersalnych Produktów Amway’a ;)

  22. i szef mnie osłodził mówi :
    “Lol to nie dopuszczalne aby w bazie danych były jakieś dupy”

    tiaaa…już ja widzę jak ktoś mówi “LOL” zamiast po prostu się zaśmiać. Chyba Tybijczyk, który pierwszy raz od miesiąca widzi dzienne światło. ha ha.

  23. I się wydało kto ma speców od zabezpieczeń do dupy ;)

  24. Wysoko szyfrowane certyfikaty
    No jak sobie poszyfrowali certyfikaty, to nic dziwnego, że dane zostały na wierzchu :D

  25. umieszczanie tylu członków w tak pięknie nazwanym katalogu ?
    to albo jakieś małe członki albo duuży katalog

Odpowiadasz na komentarz snajper

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: