23:09
19/5/2013

Jak informuje Echo Dnia, kielecka policja zatrzymała 28-latka, który zgłosił się do Urzędu Wojewódzkiego z informacją o dziurze w jednym z serwerów należących do urzędu…

Zhackował i się przyznał

Jak wynika z relacji rzecznika prasowego wojewody świętokrzystkiego, 28-latek powiadomił w czwartek urząd, że udało mu się włamać na jeden z należących do urzędu serwerów. Przedstawicielka urzędu zapewnia, że nie doszło do kradzieży żadnych ważnych baz danych urzędu, ale sprawę “na wszelki wypadek” badają biegli, którzy w trakcie przeszukania mieszkania 28-latka zajęli 100+ płyt CD/DVD, telefon komórkowy i 2 laptopy.

Kielecki Urząd Wojewódzki zhackowany

Kielecki Urząd Wojewódzki zhackowany – do czasu załatania błędu strona wyglądała tak. (fot. Echo Dnia)

Ciekawa jest wypowiedź rzecznika prasowego Komendy Wojewódzkiej Policji w Kielcach, który podejrzewa, iż

niewykluczone, że na nośnikach znajduje się między innymi oprogramowanie służące do łamania zabezpieczeń, czyli tak zwanego hackingu

Abstrahując od niezbyt precyzyjnego paragrafu, na który zapewne powołuje się rzecznik prasowy KWP (na jego podstawie możnaby przecież postawić zarzuty prawie każdemu administratorowi sieci, albo każdemu użytkownikowi dystrybucji BackTrack; ba zwykła przeglądarka internetowa jest “przystosowana do popełnienia przestępstw” na które powołuje się ten artykuł KK), naszym zdaniem reakcja kieleckiego urzędu, choć całkowicie zgodna z prawem, jest dość surowa jak na okoliczności opisywane przez rzeczniczkę — z jej wypowiedzi wszakże wynika że 28-latek nie żądał pieniędzy za ujawnienie informacji o dziurze ani nie szantażował w żaden inny sposób urzędników — ba, rzeczniczka nawet zapewnia, że “włamywacz” nie uzyskał dostępu do żadnych wrażliwych danych.

Reakcja urzędu jest więc ostra, ale jak najbardziej zgodna z prawem i uzasadniona, jeśli Urząd nie ma pewności co do intencji włamywacza i skali/skutku włamania.

Na niezamówione pentesty jest paragraf

Niech to zdarzenie będzie przestrogą dla wszystkich miłośników “niezamówionych pentestów“. Tego typu czynności to łamanie prawa — wykonując testy bezpieczeństwa bez zgody właściciela infrastruktury, wykonujesz je na własną odpowiedzialność i ryzykujesz zatrzymanie przez policję nawet jeśli swoimi odkryciami za darmo i bezinteresownie podzielisz się z właścicielem. Prawda jest taka, że “po ujawnieniu” twój los jest całkowicie w rękach właściciela sieci, do której się włamałeś — a łatwo jest sobie wyobrazić, jaka jest pierwsza reakcja osoby, która dowiaduje się, że ktoś mógł np. czytać jej pocztę ;)

Historia z Kielc to nie pierwszy tego typu przypadek — już w 2007 roku VaGla opisywał przypadek studenta, który po wskazaniu błędu i ofercie jego naprawy, został zatrzymany przez policję ale sąd go uniewinnił.

[poll id=”38″]

Ale ja lubię się włamywać…

Jak widać, czasem hobby pt. “chęć pomocy innym w byciu bardziej bezpiecznym” (jak często tłumaczą się włamywacze) może nas kosztować wiele stresu. Dlatego jeszcze raz przestrzegamy wszystkich przed wykonywaniem niezamówionych testów bezpieczeństwa. Jeśli koniecznie musicie coś “psuć”, celujcie w te firmy, które pozwalają się testować w ramach programów typu Bug Bounty. Nie dość, że za znalezione i zgłoszone firmie w odpowiedzialny sposób błędy nic wam nie grozi, to jeszcze możecie na tym zarobić!

Kolejną opcją jest zatrudnienie się jako pentester i wykonywanie profesjonalnych, zgodnych z prawem (bo za pozwoleniem “celu”), testów bezpieczeństwa, np. w ramach naszego zespołu bezpieczeństwa — chętnych zapraszamy do wysyłania CV na ten adres.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

81 komentarzy

Dodaj komentarz
  1. Czyli jak mam na 30+ płytach DVD repo Debiana to automatycznie mogę być podejrzany o rozpowszechnianie wiadomo jakiej pornografii, bo w main na jednej z nich jest tor-geoipdb_0.2.3.25-1_all.deb ?

    • Dokladnie tak !
      Jesteś ciężkim kryminalistą i należy Ciebie trzymac razem z mordercami i gwałcicielami.

    • a jak masz w domu nóż kuchenny to są dwa paragrafy: nielegalne posiadanie broni białej i zamiar popełnienia morderstwa na teściowej…

    • na broń białą – nóż – nie trzeba (jeszcze) mieć jakiegoś pozwolenia, a teściowa zawsze sama upada na trzymany przez zięcia nóż, ewentualnie pcha szyje akurat tam, gdzie zięć kroi stejki :P Także z nożem spokojnie – rzeczywiście gorzej z jakimkolwiek softem.

    • Że tak powiem, powinienem zostać zatrzymany za gwałt – narzędzie do tego mam :)

      Oto Polska właśnie ze swej niebezpiecznej strony…

  2. roted i based to to nie jest. Nie chce mi się myśleć :/ Szprytnie

  3. Ech, następny idiota który zamiast sprzedać dziurę ją zgłasza.

    • No jak co ale strona urzędu poszła by za tysiące…

  4. Muszę wydłubać z klawiatury klawisz ‘

  5. Teraz po 3 latach się cieszę, że jeden z największych dostawców Energetycznych nie doniósł na mnie do Policji jak zgłosiłem im lukę pozwalającą podglądać faktury innych klientów :) A wysłałem maila z adresu imie@nazwisko.pl więc łatwo było by zlokalizować :)

  6. Ej sorry, ale ja bym teraz zaskarżył Urząd Wojewódzki… Bo zamiast zrobić coś z tym błędem, który może umożliwić innej – mniej uczciwej – osobie, dostęp do tzw. “wrażliwych danych” to mszczą się na człowieku który chciał ich ostrzec. No cóż – żyjemy w państwie urzędasów, którzy nie zasługują na swoje posady z racji swojej ignorancji i braku wiedzy.

  7. O ile pamiętam, to zgodnie z KPK, urząd ma nieco inną sytuację niż podmiot prywatny – jeżeli dowiedział się o popełnienie przestępstwa, ma obowiązek zawiadomić prokuraturę.
    A moim zdaniem, w tym wypadku powinien złożyć dwa zawiadomienia – o “obejściu” zabezpieczeń i o niedopełnieniu obowiązku zabezpieczenia danych przez urząd…

  8. i jak tu być przykładnym obywatelem? Powodzenia zatrzymanemu …

  9. przepraszam bardzo, co to znaczy 100+ płyt CD/DVD, to znaczy ponad 100 płyt?

    • Tak, to znaczy dokładnie to.

    • Ale gdyby było 100++ znaczyłoby, że liczba płyt się powiększa o jedną za każdym razem gdy ktoś przeczyta artykuł ;)

    • @A

      error: lvalue required as increment operand

    • A może chodziło o DVD+R?

    • 100+ oznacza od 100 do +oo. ;)

  10. no i wszystko jasne, z urzedasami sie nie da wspolpracowac, trzeba ich kroic az bedzie skwierczec.

    • +
      Pozostaje tylko wierzyć, że każdy weźmie sobie do serca tę jakże cenną uwagę, gdyż aparat administracyjny wciąż się rozrasta i przyjmuje coraz bardziej karykaturalne kształty…

  11. Mnie zawsze zastanawiało, jak to wygląda z konfiskatą nośników takich jak płyty cd/dvd/br- co właściwie robi policja w razie przeszukania? Patrzy które płyty wyglądają na “nieoryginalne”, czy zbiera wszystko jak leci, włącznie z wyraźnie legalnymi nośnikami?

    • Zabierają wszystko jak leci, każdą płytę, dysk, pendrive,
      … Później laboratorium skanuje wszystko i znajduje dowody na
      popełnione przestępstwa. No i jeszcze musisz przedstawić faktury
      zakupu na każdy znaleziony software (inny niż freeware) bo będzie
      traktowany że to pirat.

  12. rozumiem że link mailto w artykule (“CV wyslij tutaj”) to test na wiedzę informatyczna ???

  13. Hackingu? A nie crackingu?

    • Może o hakerowanie chodziło xD

    • Może chodziło o oprogramowanie do łamania zabezpieczeń sieciowych a nie “czysto” software’owych ;)

  14. Puk puk!
    – Dzień dobry, zostawił pan klucz w drzwiach.
    – Poczeka pan chwilkę, zaraz zadzwonię na policję z informacją, że pan się do mnie włamał.

    • W tym przypadku wchodzisz do środka bez “puk puk” otwierając sobie drzwi tym kluczykiem. I w tym cały problem ;)

  15. Patrzę na wyniki minisondy i nie wierzę w szczerość odpowiedzi… Naprawdę gościowi z ulicy, który wskazałby Wam dziurę otwarlibyście szeroko drzwi i zaprosili do współpracy? Mam nadzieję, że nie administrujecie moimi danymi…

    • Pewnie, że ankieta nie jest szczera. Wystarczy przeczytać artykuł. Zaraz polecieliby na policję i tak też robią. W obawie o swoją pracę. A na niebezpieczniku by światu pokazać jakimi to są fajnymi i cool ludzmi klikną co innego.

    • Niby dylemat. Ale …:
      1. We współpracy nie eskaluje się dostępu.
      2. Najsensowniejszy sposób na uzyskanie wiedzy do czego i jak się dostał. Bo jeżeli liczysz, że będzie sam się obciążał zeznając na policji to się mylisz. Powie najwyżej to co będzie musiał, a potem wróci po zemstę.
      3. Odsyłając go do prokuratora pozbawiasz się w przyszłości zgłoszeń usterek i promujesz tylko FD.

    • Pewnie że tak, zaprosił bym na kawę i pogadał. To że ktoś nie wyp… wszystkiego do góry nogami choć mógł tylko przyszedł porozmawiać na temat dziury zasługuje na odrobinę szacunku z drugiej strony. Społeczeństwo strachu i wypranego mózgu z telewizji:
      – piwnicę ma Pan otwartą
      – już dzwonię na policję Ty złodzieju

    • Panie Gąbka, napisanie “Ty złodzieju” wielką literą to dla mnie dobitny przykład hipokryzji. Pisanie zaimków osobowych wielką literą oznacza szacunek dla adresata, zaś samo słowo “ty” w powyższym znaczeniu jest obelgą.
      Wniosek z tego taki – pisanie gdzie popadnie zaimków osobowych wielkimi literami jest wielkim błędem i powinno być karane obowiązkowym powrotem do podstawówki.
      PS: Czepiam się konkretnej wypowiedzi, nie jej autora.

  16. Coś Niebezpiecznik pitolisz. Ten art. mówi, że: “Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom..” czyli samo posiadanie np. BackTracka na pewno pod ten par. nie podpada.

    • ściąganie backtracka to pozyskiwanie przecież.

    • Masz racje ale zanim machina policji ustali fakty i wyda decyzje może minąć wiele dni a Ty będziesz czekał i czekał…

  17. Ankieta jest do kitu, gdyż nie zawiera żadnego w miarę bezpiecznego rozwiązania dla obu stron.

    Co już miałem okazję wyjaśniać w:
    http://lasu2string.blogspot.com/2010/07/informatyk-zawodem-wysokiego-ryzyka.html

    “… Nie możemy oferować odpłatnego jej załatania. Dzieje się to dlatego, iż jako potencjalni hackerzy możemy chcieć uzyskać dostęp do kodu w celu dalszej penetracji systemu, a w interesie firmy leży zadbanie aby sprawa nie przybrała takiego rozwojowi wypadków.
    Pozostawienie sprawy samej sobie może okazać się poważnym błędem. Bo problem może wypłynąć a my zostaniemy kozłem ofiarnym (logi mogą okazać się trwalsze od naszej sklerozy).
    W zależności od metody odkrycia luki można rozważyć złożenie zawiadomienia o przestępstwie na mocy ustawy o ochronie danych osobowych, gdyż o zgrozo atak może okazać się jedyną formą obrony. Tu jednak lepiej zasięgnąć porady prawnej i to wyjątkowo dobrej, nie zapominajmy w końcu, że niektóre bronie są obosieczne.”

  18. @268a: Are You sure? ;)

    @Niebezpiecznik: A szukacie ludzi tylko w Krakowie, czy też inne miasta wchodzą w grę? Na etat czy zlecenia?

  19. Ciekawe na co liczył ujawniając swoje dane? Na sławę? Jak chciał ich ostrzec, to mógł to zrobić anonimowo.

  20. ktoś o tym mówił jakieś sto dwieście lat temu , o tym że … w polsce mogą aresztować kasperskiego
    za posiadanie złośliwego oprogramowania które może służyć do popełniania przestępstw kto to był ? yyy a u ą aaa to ja byłem …
    Po raz enty wszystkim proponuję przeczytać z uwagą te popularne paragrafy
    a później już pozostanie tylko Vagiel czy jak mu tam i sięganie po opinie biegłych przed kliknięciem w PRL

  21. Typowe panstwo bezprawia. Nic nowego. I to sa fakty, a nie jakies “uogulnianie”. Prawo jest, JEST fikcja.

  22. Rozwiązanie jest proste – udostępniać publicznie metodę / opis / skrypty.

    Może w końcu odpowiedzialni się nauczą odpowiedzialności, a bezpieczeństwo poprawi się po kilku spektakularnych “demolkach” spowodowanych przez gawiedź. A tak to tematy pod dywanem lądują, a ludzie kompetentni, co mogliby pomóc, ciągani są po komendach i prokuraturach…

  23. Najśmieszniejsze jest to, że w przypadku samego nieuzgodnionego pentestu byłaby szansa na umorzenie, natomiast na dyskach, kompach, komurkach na 100% znajdą “coś” nielegalnego, zawiadomią BSA albo innych pokrzywdzonych i sprawa jak znalazł. Gość ma szczęście, że nie zaglądali mu do szuflad bo by jeszcze coś znaleźli… :P

  24. Józef K.

  25. “do łamania zabezpieczeń, czyli tak zwanego hackingu”
    :> BUAHAHAHAHAH

  26. moral jest jeden , wlamywac sie, kopiowac jak leci ,
    publikowac te dane wszedzie gdzie sie da i usuwac z stad skad sie
    to wzielo , slowem robicz czysta demolke by chociaz wiedziec o co
    maja wąty

  27. elmooo: zaczynaj! ;]

  28. Morał jest jeden – nie pchać się tam, gdzie was nie chcą i nie grzebać po cudzych systemach :P

  29. http://www.echodnia.eu/apps/pbcs.dll/article?AID=/20130520/POWIAT0104/130529917 ciąg dalszy. Jeśli nie uda im się skazać go za to “włamanie”, to gość dostanie rachunek z BSA, albo innego crapu zajmującego się walką z piractwem :]

    • Skąd pewność, że ma coś pirackiego?

  30. Hm.
    . koleś źle zrobił, bo się włamał;
    . Urząd źle zrobił, bo następny white-hat (lub grej ;) ) będzie trzymał język za zębami i o włamaniu urzędnicy dowiedzą się z mediów;
    . wypowiedź rzecznika polucji przezabawna – coś a’la “złapaliśmy terrorystę – niewykluczone, że w schowku na miotły trzymał narzędzia terrorystyczne”; jaki budżet, taki rzecznik;

  31. Tylko pogratulować

    Po co wygłupiać i zostać posadzonym za natrafienia na przypadkową “dziurkę” niech admin działa to w końcu jemu płacą.

  32. “Nie mów mi o moich dziurach, wolę by ktoś bardziej wredny wsadził moje bazy na pastebin :P”

  33. Chłopaka skrzywdziło Państwo. Jakim prawem weszli mu do domu? Przecież, nic złego nie zrobił, BAAA… pomógł Państwu zabezpieczać systemy. Ciekawą jaką odpowiedzialność poniosą administratorzy urzędu. Narazili Państwo na wprowadzenie stanu wyjątkowego na mocy ustawy z 2011 podpisanej przez Komorowskiego. Kpina i tyle. Powinny pójść paragrafy na urząd a chłopakowi podziękować i przeprosić za rewizje. Każdego z nas to może spotkać, jak będziemy chcieli chronić Polskie systemy rządowe w dobrej wierze.

  34. Cała Polska!

  35. 1) Informatycy stanowią zagrożenie dla systemu – trzeba ich niszczyć
    2) “Znajdź mi człowieka, a ja znajdę na niego paragraf”
    3) Państwu zależy żeby obywatele byli coraz biedniejsi, coraz bardziej chorzy i coraz bardziej się bali – tacy się nie zbuntują np jak im się podniesie podatek o 1 punkt procentowy
    4) Są grupy interesów, które chcą mieć monopol na wiedzę. Patenty i “nielegalne informacje” to tylko kilka narzędzi.
    5) bycie dobrym dla państwa? Nawet nie możemy być dobrzy dla siebie nawzajem (podatek od pomocy sąsiedzkiej, faza z kolesiem który rozdawał chleb i fiskus go zjadł itd).
    6) prawnicy nie zgłaszają dziur w polskim prawie, tylko nadmiernie je wykorzystują, doradzając podmiotom gospodarczym i politykom by robili to samo.
    *) Szczerze, najlepiej siedzieć cicho a państwo niech sobie siedzi na swoim serze szwajcarskim bo na nic lepszego nie zasługuje.

    • Skończ z tym narzekaniem na system bo mdli mnie już od tego.
      1) To nie “informatyk” tylko “informatyk który włamał się na .gov, złamał prawo i sam poszedł się przyznać”.
      3) Państwu zależy żeby obywatele byli szczęśliwi, tacy oddadzą na nich głos. A jeżeli już jakieś państwo wybiera inną drogę kierowania krajem to walczy z edukacją obywateli (przykładem jest Iran za Rezy Pahlaviego gdzie analfabetyzm w niektórych regionach wynosił 75%-90%)
      5) Wyłapuj kolejne absurdalne sytuacje zadarzające się raz na rok, daleko tą demagogią zajdziesz.
      6) I dzięki temu zwykły obywatel bierze prawnika – bo może znaleźć lukę w prawie która uratuje mu dupę.
      *) Albo chodzić na wybory i przestać narzekać na “państwo”przy każdej możliwej okazji. Ktoś zrobi taką głupotę jak ten zatrzymany – winne jest państwo, system.

      PS: Pierwszy raz widzę takie kodowanie maila ;)

  36. Czy urzędnicy postąpili słusznie donosząc do niego na policję? Zależy od tego w jaki sposób odkrył tą lukę, czy przez przypadek czy po przez celowe działanie (w co na pewno bym nie uwierzył). Bo na pewno nie można powiedzieć że luka w oprogramowaniu jest równoznaczna z otwartymi drzwiami. Jeśli w drzwiach jest zamek to oznacza że nie powołanym wstęp wzbroniony i samo szukanie sposobu na dostanie się przez takie drzwi jest złe. I jeśli ktoś do mnie przyszedł by z podobną sprawą to może i bym nie dzwonił od razu po policję ale na pewno bym mu nie dawał za to pieniędzy (a tym bardziej pracy). Bo to trochę przypomina mi czyszczenie szyb samochodów na skrzyżowaniach gdy stoisz na czerwonym, najpierw ci wyczyszczą a potem chcą kasy. Tak ciężko się najpierw zapytać? Albo w ogóle poinformować że macie zamiar taki “test” przeprowadzić?

  37. Do programu “Państwo w Państwie”. Nie jednego już tak skrzywdzili.

  38. Co za zacofany kraj… Żałuję, że tu żyję.

    • my tez. dobrze by bylo jakbys wyjechal. dzieki.

  39. Niestety Wojewoda kielecki, albo upoważniona przez niego
    osoba, która składała zawiadomienie o przestępstwie jest zwyczajnie
    nieświadomy skutków swojego postepowania. Zaczne od tego, że
    przestępstwo (nieuprawniony dostep do systemu informatycznego) jest
    przestępstwem wnioskowym, czyli aby postepowanie sie toczyło, musi
    być złozony wniosek o ściganie sprawcy – bez wniosku nie wszczyna
    sie postępowania ablo wszczęte umarza. Jaki z tego wniosek:
    następca(cy) tego człowieka: 1. Nie będą informować nikogo o luce;
    2. Wykorzystają ją tak aby nie można było ich ustalić; 3. Dadzą
    informacje o luce innym, którzy ją wykorzystają 4. Opublikują
    informacje o luce publicznie Czemu nie postąpiono rozsądnie i po
    podziękowaniach dla uczciwego człowieka nie wzięto się za 4 litery
    osobie której zapłacono za konfigurację ww. serwera? Ale cóż
    rozsadek i polityka nie idą w parze, zwłaszacza jak się ma
    potencjalną biegunkę medialną przed oczami – “lepier” od razu z
    armata do komara…

    • “Czemu nie postąpiono rozsądnie i po podziękowaniach dla uczciwego człowieka nie wzięto się za 4 litery osobie której zapłacono za konfigurację ww. serwera?”

      Bo to zięć/syn/kuzyn/brat wojewody/marszałka/prezydenta był (znaczy admin serwera).

  40. Ten artykuł wcale nie jest stronniczy,i nie ma nic wspólnego z prowadzonymi przez Pana Niebezpiecznika szkoleniami…

    • Do tej pory nie miał – po twoim komentarzu ma; więc żeby pociągnąć sprawę dalej – wszystkich informatyków pracujących w urzędzie w Kielcach zapraszamy na nasze szkolenia za 50% ceny ;-)

  41. :-)JAK INFORMATYK SZUKA PRACY W POLSCE.
    WŁAMUJE SIĘ NA SERWER TYLKO JEST TU BŁĄD BO TO JEST ZACOFANY KRAJ (dziękujemy warszawiakom i innym istotą ludzkim za wybranie dla nas wspaniałego rządu, bo nie oszukujmy się kto na nich glosował)
    MAM DLA NIEGO CIEKAWA PROPOZYCJE ZRÓB SOBIE WIZĘ I WBIJ SIĘ DO FBI ONI CIE ZA TO NIE WSADZĄ

    • Nie lubię poprawiać błędów ale coraz częściej widzę, że ludzie nie potrafią napisać liczby mnogiej. IstotOM, podmiotOM, kolegOM, ale: z kolegĄ, z TobĄ, z istotĄ.

  42. @Marek

    Nie jest. Ja podrzuciłem tego linka. Uważam, że Pan Piotr podchodzi do tego miejsca dość luźno i raz na jakiś czas możemy się pośmiać z “gof” adminów. Wszyscy wiemy na jakiej zasadzie działa w Polsce administracja (przynajmniej ta niższego szczebla), oraz jakie są sposoby dobierania “specialistów” na poszczególne stanowiska. Jak widać ten wyjątek potwierdza regułę.

  43. Pytanie: czemu w ankiecie robicie checkboxy skoro można wybrać tylko jedną opcję? Od tego są radio. :)

  44. Nie ma jakiejś oficjalnej komórki/instytucji gdzie można coś takiego zgłosić tak by zajęto się problemem a nie zgłaszającym?

    Jeśli korzystam z “e-administracji” i widzę coś bardzo podejrzanego w tym jak to działa – co powinienem zrobić?

  45. “Na niezamówione pentesty jest paragraf”
    I to jest debilizm. Załóżmy, że podczas korzystania ze strony nabiorę podejrzeń, że np. w formularzu jest SQL injection (w całkiem legalny sposób – bo mi zwróci np. dziwne wyniki wyszukiwania). I teraz co, mam pisać/dzwonić, że być może coś jest nie tak? To by trzeba z 10 takich zgłoszeń dziennie wysyłać, bo co druga strona ma coś zesrane, a to z wyszukiarką, a to być może podejrzane rzeczy przekazuje GET-em, a to wywala błędy z PHP… Czyli albo mogę pisać hurtem zgłoszenia o możliwym babolu (które to admini zaczęli by olewać po miesiącu otrzymywania ich tysiącami – tak by było, gdyby nagle wszyscy kumaci chcieli uczynnie i legalnie zgłaszać błędy). Albo mogę złamać prawo i sprawdzić podatność – wpisać test na SQL injection, pomanipulować GET-em… Ale wtedy jak coś znajdę i zgłoszę, to jest kaplica, bo 1) technicznie rzeczbiorąc złamałem prawo, 2) Technicznie rzecz biorąc admin “nie ma pewności co do intencji włamywacza i skali/skutku włamania” (czyli czy np. nie zrobiłem czegoś więcej oprócz prostego testu – wiadomo, jak to jest z logami i ich analizą, nie zawsze da się wyciągnąć szczegół najbardziej potrzebny).

    Czyli podsumowując najlepiej nic nie robić, odwrócić wzrok i za miesiąc czy dwa złośliwie się pod nosem uśmiechnąć podczas lektury newsa o złych hakierach, którzy wykradli bazę z danego serwisu…

    • Ale wiesz, to trochę sytuacja w rodzaju: — Zobaczyłem
      otwarty samochód. Ale skąd mam wiedzieć, czy właściciel może ma na
      niego oko? Więc musze nim pojeździć, a potem zgłoszę to
      właścicielowi.

    • Raczej sytuacja w stylu: spróbuję otworzyć drzwi, jak się uda to zawiadomię właściciela.

  46. W sumie szkoda, że tak się to skończyło, bo oznacza to, że następnym razem ktoś taki nie zgłosi błędu urzędowi – bo i po co jak go tylko czekają za to nieprzyjemności – a błąd wykorzystać będzie mógł przestępca. Karma is a bitch.

  47. Opisaną sytuację należy traktować jako przestrogę na przyszłość dla wszelkiej maści ludzi chcących być uczciwymi. Uczciwość w tym kraju nie popłaca , wystarczy spojrzeć na pierwszego z brzegu urzędniczynę lub jakiegoś polityka.
    Już widzę jak słynny na całą Polskę rzecznik policji – Sokołowski ,który ma “dykcję szybkostrzelnego karabinu maszynowego” ogłasza:
    … w wyniku szeroko zakrojonej akcji został zatrzymany groźny bandyta ,który planował atak terrorystyczny na Urząd Wojewódzki … :D

  48. Kapusiom to by pasowało jaja poucinać ;)

  49. […] PS. Ciekawe ile kosztowały audyty po zabawie na serwisach Urzędu Wojewódzkiego w Kielcach? […]

  50. czyli jak znajdziesz dziura kradnij co chcesz i geba na klodke bo jakas c*** cie podkabluje

  51. Zoltar napisał do wergga: “Ale wiesz, to trochę sytuacja w rodzaju: — Zobaczyłem
    otwarty samochód. Ale skąd mam wiedzieć, czy właściciel może ma na
    niego oko? Więc musze nim pojeździć, a potem zgłoszę to
    właścicielowi.” chłopczyku czytanie ze zrozumieniem się kłania. Jest to sytuacja w rodzaju: – Zobaczyłem otwarty samochód, ale nikogo nie zawiadomię i sobie pójdę, bo w razie czego będzie na mnie.

  52. karwasz twasz barabasz i znowu będe spał w pracy bo niebiezpiecznik mnie wessał i nie chce oddać :<

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: