20:15
4/2/2016

Jeden z naszych czytelników, Rajhaner, podesłał nam dziś fotografię zlecenia, z jakim odwiedził go technik UPC. Zlecenie dotyczyło przedłużenia umowy i podłączenia nowego dekodera — ale najciekawsze na zleceniu było to, że wydrukowano na nim adres e-mail Rajhanera (w domenie UPC) łącznie z …aktualnym hasłem, zapisanym w formie jawnej.

Zlecenie z hasłem do skrzynki Rajhanera

Zlecenie z hasłem do skrzynki Rajhanera

Jak informuje nas Rajhaner, hasło domyślnie nadawane do skrzynki pocztowej UPC zmienił wiele lat temu na własne. I właśnie to jego zmienione hasło, nie wiedzieć czemu, znalazło się na zleceniu, do którego dostęp miał monter.

Rajhaner jest lekko zaskoczony tym, że “byle monter” może mieć dostęp do jego skrzynki pocztowej. Czytelnik zastanawia się też, kto jeszcze z pracowników ma dostęp do haseł abonentów UPC i czy wykorzystał go do “podejrzenia” zawartości skrzynki? Rajhaner dodaje:

Pierwszy raz w życiu spotkałem się z czymś takim, chyba śmiało możemy stwierdzić, że jest to sytuacja niecodzienna i alarmująca. 

Zgadzamy się z czytelnikiem, że nie jest dobrą praktyką drukowanie haseł do skrzynek jawnym tekstem na dokumentach takich jak zlecenia. Może to bowiem świadczyć, że

  • a) hasło może nie być w bezpiecznej formie (tj. w formie jednokierunkowej funkcji skrótu) przechowywane na systemach UPC.
  • b) do hasła dostęp może mieć dowolny pracownik, a co za tym idzie, ponieważ ludzie często korzystają z jednego hasła do wielu systemów, istnieje ryzyko, że pracownicy UPC mogliby próbować przejmować inne konta klientów, sprawdzając czy to samo hasło przypadkiem nie pasuje do imiennej skrzynki abonenta na GMailu, albo do konta na Facebooku.

Korzystam ze skrzynki od UPC — co robić, jak żyć?

Jeśli aktywnie korzystasz ze skrzynki w UPC, nie mamy dobrej wiadomości. Nie można wykluczyć, że pracownicy (i nie mamy tu na myśli administratorów serwerów pocztowych a zwykłych monterów) nawet jeśli już nie mają, to kiedyś mogli mieć do niej dostęp. Dlatego niezależnie od dostawcy usług pocztowych, wrażliwe maile zawsze warto szyfrować.

Jeśli natomiast nie korzystasz ze skrzynki w UPC, ale zmieniłeś domyślne hasło na inne — upewnij się, nie że użyłeś podobnego hasła do jakiejkolwiek innej usługi.

Stanowisko UPC

Nasz czytelnik nagłośnił tę sprawę także na Wykopie. To co spowodowało, że zadzwonił do niego pracownik UPC. Rajhaner tak opisuje rozmowę:

Wg nich, taka sytuacja nie powinna mieć miejsca. System źle zinterpretował usługę i zamiast domyślnego hasła w przypadku pierwszej aktywacji przy podpisywaniu pierwszej umowy, nie wiedzieć czemu, wydrukował moje aktualne hasło. W tej chwili współpracują z działem IT w celu wyjaśnienia sytuacji, przepraszają i twierdzą, że takie sytuacje nie mają miejsca i był to błąd systemu.

A więc pomyłka systemu…

Wpadka z wydrukiem hasła jest raczej fatalna, ponieważ sugeruje, że dane użytkowników UPC, jakimi są hasła, nie są przechowywane zgodnie z dobrymi praktykami (tj. po przetworzeniu jednokierunkową funkcją skrótu). Co ciekawe, rzecznik UPC w wypowiedzi dla Antyweb powiedział, że:

Hasła do poczty klientów przechowujemy w bezpieczny sposób.

Nie wiemy na czym polega owo “bezpieczeństwo”. Dlatego wysłaliśmy do UPC pytanie, z prośbą o komentarz w tej sprawie. Po otrzymaniu odpowiedzi, zaktualizujemy tego posta.

Podsumowując, należy mieć nadzieję, że poczta od dostawcy internetu jest tak niszową usługą, że większość abonentów UPC pozostało przy domyślnym haśle i nawet nie skorzystało ze tej skrzynki.

Aktualizacja 5.2.2016
Oto informacja od Michała Fury, rzecznika UPC:

hasła przechowywane są w odseparowanym systemie który zapewnia, że pracownicy UPC Polska nie mają możliwości zapoznania się z ich treścią.

Nasze pytanie brzmiało tak:

Na czym polega “bezpieczna forma przechowywania hasła” abonenta w systemach UPC, która jednocześnie pozwoliła na pozyskanie tego hasła w formie jawnej?


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

75 komentarzy

Dodaj komentarz
  1. Warto i tak dodać że hasła powinno się regularnie zmieniać co miesiąc, a nie jak “Rajhaner” co kilka lat ;)

    • Taak, najlepiej 30 znakowe z wielkimi, małymi literami, cyframi, znakami specjalnymi, unikalne, co miesiąc inne i Bóg wie jeszcze co. Do np. takiej twarzoksiążki to ok ale do każdego serwisu to nie jest w stanie się zapamiętać unikalnych haseł. Są managery ale w tym wypadku nie o to chodzi. Nie ważne jakie by miał hasło zmieniane nawet co dziennie i tak by to nic nie zmieniło.

    • Skoro moje hasło nie zostało złamane przez 10 lat, to znaczy, że jest dobre. A jak ktoś będzie używał BruteForce’a to złamie hasło bez względu na to, jakie ono będzie. Zatem częste zmiany hasła szkodzą użytkownikowi, a włamywaczowi nie robią wielkiej różnicy. Jedyne co, to do ważnych stron typu główny mail, bank, Allegro itp. warto mieć różne hasła, zaś do wszelakich for, filmwebów itp. już można jedno i to samo.

      Tak samo zabezpieczenia gier – bardziej szkodzą legalnym użytkownikom, niż utrudniają życie hakerom – bo ci i tak zrobią cracka, a legalny posiadacz nie zrobi sobie kopii bezpieczeństwa, a czasami nawet w oryginalnym systemie może mieć problemy z uruchomieniem (Win10, chociaż i w Win8.1 miałem przypadek, że Colin McR 2005 nie chciał działać, bo program do sprawdzania oryginalności płyty nie był zgodny z tą wersją systemu…).

    • @kaaboaye
      “Taak, najlepiej 30 znakowe z wielkimi, małymi literami, cyframi, znakami specjalnymi”
      Taaak, wiem, że to ironia, ale można mieć bezpieczne (ciężkie do złamania) hasło bez tego: http://xkcd.com/936/

    • @Koovert
      Nie do końca przekonuje mnie ta 44-bitowa entropia. To są 4 zwykłe słowa, czy zatem hasło nie jest podatne na łamanie słownikowe?
      (nawiasem mówiąc nie rozumiem w jaki sposób z 25 znaków hasła otrzymujemy 44 bity entropii).

    • “Skoro moje hasło nie zostało złamane przez 10 lat, to znaczy, że jest dobre” – pani Władysława ma drzwi z dykty i nikt się do niej nie włamał. Czy to znaczy, że drzwi są dobre? Poza tym skąd możesz wiedzieć, że nie zostało złamane? Wiedziałbyś jakby zostało wykorzystane.

    • Najlepiej właściwie byłoby nie mieć aż tylu haseł, a nie je zmieniać.
      Podoba mi się projekt (framework?!) passwordless.net – jakby akurat zupełnym przypadkiem do komentarzy zawitał programista Node.js, to polecam. API wygląda całkiem ludzko, choć idea jest o wiele bardziej wszechstronna i niezależna od środowiska.
      Jeśli chodzi o użyteczność, to sądzę, że pomysł z klikaniem tymczasowego linku w e-mailu będzie odpowiedni dla portali, do których logujemy się raczej rzadko – jakieś sklepy internetowe, gdzie klient zapewne kupi z jedną-dwie rzeczy, forum dyskusyjne, no i właśnie “panele” (odwiedzane z reguły, zdaje się, raz na miesiąc). Wtedy do ochrony mamy tylko swoje konto e-mail, a nie pęczki innych haseł.

    • @behegrzmot
      “A jak ktoś będzie używał BruteForce’a to złamie hasło bez względu na to, jakie ono będzie.”
      Niby prawda. :-) Ale komu tam będzie przeszkadzało, że ktoś złamie je za 2 mln lat. W większości wypadków nie trzeba 30 znaków, wystarczy wybrać takie hasło, aby nikt nie złamał go, biorąc pod uwagę wzrost mocy obliczeniowej, w ciągu takiego okresu czasu, przez jaki go używasz. Ale co w przypadku plików np przechowywanych w chmurze, które ktoś może zachować, a zależy ci na tym, aby nikt niepowołany nie otworzył ich np do twojej emerytury, albo śmierci, albo w niewiadomym czasie trwania jakiejś firmy (bo tak stanowiła umowa)? W tedy to nawet trudno mi ocenić, czy 30-znakowe starczy. Ale… w sumie, to wtedy chyba szybciej padnie algorytm szyfrujący niż 30 znakowe hasło. :-)

  2. A wiecie że ze stron UPC można było pobrać PESELE klientów. Więcej tu http://forum.mediaswiat.pl/viewtopic.php?t=7547

  3. Czy równie oburzony będzie czytelnik jak uświadomi sobie, że od soboty jego aktywność w sieci też może być podejrzana przez “byle glinę”?

    • Jak pokazuje akcja Snowdena z NSA to Kowalscy mogli być podsłuchiwani już od dawna i wcale nie musieli o tym wiedzieć.

    • ouu ujeea, wpierdzielmy polytykę do wszystkiego!

      Onet jest tam ->

    • ASD może i wcześniej sobie podsłuchiwali, ale teraz to robią legalnie i mogą wszystko przesłać do zaprzyjaźnionej kancelarii, przykładowo celem masowego nękania zgodnie z prawem ludzi, którzy wchodzą gdzie nie trzeba, ściągają co nie trzeba, piszą na forum co nie trzeba itp

  4. Lepiej kilka silnych haseł, podzielonych na grupy produktów, niż co miesiąc wszędzie nowe. Przy kilkudziesięciu usługach nie będziesz w stanie zapamiętać co miesiąc nowego hasła. Jeśli zbyt często narzuca się użytkownikowi zamianę hasła, prowadzi to jedynie do idiotycznych akcji typu zapisywanie haseł i przyklejanie na monitor lub tym podobne.

    • A od czego jest KeePass i pokrewne aplikacje?

    • P4:
      Jedyne bezpieczne hasło to takie które nigdzie nie jest zapisane, w jakikolwiek sposób.

    • MadBart:
      Jakiejkolwiek? A zapis na serwerze danej też?

    • @marian Ty na poważnie?

  5. a najsmieszniejsze ze w panelu skrzynki upc nie ma mozliowsci zmiany hasła samemu – jest tylko formularz “zapomnianego” hasła (www.upc.pl/upcmail/haslo/) gdzie podaje się swoje nowe hasło które… upc samo przypisuje do konta…..

  6. W przypadku gdy klient zamówi dekoder Horizon i osobno modem do internetu, hasło klienta zawsze jest widoczne na zleceniu, sytuacja ma miejsce od wprowadzenia do sprzedaży dekodera Horizon. Dodatkowo każdy technik ma możliwość zmiany hasła klienta, ponieważ rejestracja nowego modemu wymaga podania e-mail i hasła poczty UPC. Bardzo mało ludzi korzysta z tej poczty, dlatego 90% haseł to upc123.

  7. Można sobie zmieniać do woli, poznają każde bo u nich człowiek to zmienia :) https://www.upc.pl/upcmail/haslo/

    • Nie “człowiek” a Desygnowany Starszy Specjalista ds. Bezpieczeństwa Haseł z dostępem do Bardzo Tajnego Komputera. Wyobraziłem sobie kogoś kto się ubiega o pracę tam. W końcu łał, został adminem i dowiaduje się, że jego obowiązkiem jest ręczna zmiana haseł użytkowników.

  8. ” Hasła do poczty klientów przechowujemy w bezpieczny sposób.”
    Pewnie trzymają je w katalogu “TAJNE! Dostęp tylko dla administratorów” :P
    Albo używają tego sposobu: http://www.benchmark.pl/testy_i_recenzje/sto-porad-i-sztuczek-do-windows-7-czesc-3-3171/strona/10611.html – wystarczy kliknąć na “edytuj” na pliku .bat i zmienić hasło na “” (nic) i działa każde hasło :P

  9. Mi ostatnio zepsuł się KeePass. Baza danych nie chciała się otworzyć. Nie działały nawet wszystkie moje backupy bazy danych. Hasła odzyskałem bo miałem w jednym miejscu wyeksportowaną całą bazę do plaintextu. Utworzyłem też nową bazę to po zapisaniu nie chciała się ponownie otworzyć. Więc te programy mogą się czasem zepsuć. Od teraz trzymam hasła na kartkach w kilku miejscach.

  10. Wczoraj aktywowałem nową usługę w UPC (przedłużałem umowę) – technik przekazując mi dokumenty powiedział że musiał zmienić hasło do mojej skrzynki – dla ułatwienia na: upc1234 :-)

    Na szczęście skrzynka jest chyba zablokowana (blokują po 5-ciu miesiącach niekorzystania).
    Czekam właśnie na reset hasła.

  11. Kilkanaście miesięcy temu byłem w biurze Internetii, żeby zresetowali mi zapomniane hasło do e-boka (resetu nie można było zrobić z Internetu, btw). Pani z biura nie tylko miała dostęp do poprzednio ustawionego hasła (w czystym tekście oczywiście), ale również *na głos* spytała się czy to rzeczywiście było moje hasło. Nie wiem czy miała całe hasło, czy tylko początek, bo w panice jej przerwałem. Morał: używajcie wulgarnych słów w hasłach, bo nie wiadomo, kto może je czytać ;)

    • Seksmisja? :-)

  12. To pewnie nie pierwsza i ostatnia wpadka UPC – ja oczywiście nigdy nie korzystałem z tej UPC-owej poczty tak, że ja w końcu mi zablokowali (blokują po 5 miesiącach) jednak mam przekierowanie na adres podany przy rejestracji.
    I jakie było moje zdziwienie gdy kiedyś przyszedł do mnie spam spersonalizowany (wysłany na konkretny adres) – dostałem spam na pocztę podaną w rejestracji UPC jak i ten zablokowany którego nigdy nie używałem…
    Wyglądało mi to na włam do UPC i kradzież danych klientów lub bezczelną sprzedaż tychże danych…

    A skoro już się (po raz pierwszy) dołączyłem do komentów, to dodam, że Gdyńska Gazownia musiała mieć podobny problem, ponieważ mają moje nazwisko w swej bazie nietypowo przekręcone (a ja nie zamierzam tego poprawiać), a dostałem do skrzynki (fizycznej) jakieś spamerskie zaproszenia z tak samo przekręconym nazwiskiem…

    • To nie musi być problem gazowni, raczej tylko jej pracownik “pożyczył” sobie bazę danych ;o)

    • @Monter – no wiesz… pracownik “pożyczający” sobie dane jest problemem pracodawcy. To tak jak jedna kancelaria, której dane wyciekły do netu tłumaczyła – nasze systemy są perfekcyjnie zabezpieczone. Zawiódł usługodawca u którego mieliśmy wszystkie nasze dane.

  13. Warto również dodać, że hasło do poczty UPC, jest również hasłem do całego konta UPC. Nie da się ustawić osobnego. Na dodatek w UPC nie ma weryfikacji dwuetapowej.

    • Co rozumiesz przez hasło “do całego konta UPC”? Czy masz na myśli hasło do panelu klienta (https://strefaklienta.upc.pl/)? Bo tylko z tego jednego hasła w UPC korzystam, z ich poczty nigdy nie korzystałem i nie mam pojęcia, jakie tam mogło być pierwotnie ustawione hasło…

  14. Ktoś tam używa tego maila?

  15. Dziś i mnie odwiedził technik UPC. Jest podane na zleceniu hasło domyślne, czyli “UPC…” – UPC + nr. klienta.
    Po zalogowaniu się do poczty można znaleźć faktury oraz usługi z jakich korzysta abonent. Instalator może sobie pobrać taką fakturę i zmienić na niej nr konta do zapłaty ;)
    Po jakiego grzyba oni w ogóle tam umieszczają to hasło? Jak ktoś nie zna to niech dzwoni na infolinię a oni mu zresetują, bo raczej nie podadzą jakie jest.

    • A jednak nie, sorry, rozpędziłem się. Na poczcie znajdują się powiadomienia o wystawieniu faktury. Podana jest kwota faktury, jej numer i termin płatności.

  16. Pracownik salonu Play ma również wgląd do hasła do play online, które jest zapisane plaintextem. Nie wiem, dlaczego takie dane są udostępniane pracownikom w sposób jawny i czemu mają służyć…

  17. KeePass, dziękuję. ;-)

  18. Wypraszam sobie to “byle” ;-P

  19. No, a teraz połączcie to jeszcze z UPC Wi-Fi Free:

    https://www.upc.pl/internet/uslugi-dodatkowe/wi-free/

    Bezpieczny dostawca, jak nic.

    • Ponarzekać to sobie można, ale co zrobić jeśli nie masz alternatywy?
      Tzn. jest u mnie dostępna Multimedia, – szczęśliwie porzuciłem ją wiele lat temu, mając wóczas łącze 256Kb/s i zabronione wysokimi karami podłączenie drugiego kompa…
      A, jest też Orange, lecz tylko 20Mb/s – obecnie to trochę cienko na 5 kompów i inne urządzonka.

      A z UPC mam tylko net (właśnie zrezygnowałem z TV) i starutki modem Cisco BEZ Wi-Fi i żadnemu technikowi go nie oddam (chociaż próbowali już bajerować, że nie obsługuje on ponad 100Mb/s i muszą wymienić), co więcej, już nawet nie muszę go oddawać, bo oficjalnie jest wycofany i nawet nie trzeba go zwracać w wypadku rezygnacji z usługi.

      Ps. Zazdroszczę posiadaczom światłowodów z pełnym dupleksem – symetrycznego…

  20. warto dodać też że każdy monter może zmienić hasło wystarczy id

    • Zmienić, to jeszcze nie taki problem. Wtedy użytkownik przynajmniej widzi, że coś takiego miało miejsce (bo hasło jest inne). A i w logach się pewnie odkłada kto zresetował hasło. A tutaj – ktoś mógł zaglądać na tą skrzynkę w sposób dla właściciela zupełnie niewidoczny.

  21. Dominik, pozwól że napiszę, że moim zdaniem nie jest możliwe, żeby “zepsuł się KeePass” tak strasznie, żeby “nie było możliwe odzyskanie danych z żadnego z backupów”. To żadne backupy, jeżeli wszystkie były kopią tego samego zepsutego pliku. Dobry backup to backup wersji pliku sprzed tygodnia, miesiąca i kwartału. Takiego zestawu chyba nie można zepsuć, a tylko można zapomnieć może głównych haseł… A jeżeli nietrafiony jest ten mój komentarz, to proszę o wyjaśnienie – będzie dla mnie cenne!

  22. Bezpieczny sposób, czyli głębokie ukrycie. Sprawa jest jasna – albo plaintext, albo szyfrowane kluczem, który jest dostępny dla aplikacji. Jedno i drugie (prawie) równie naganne.

  23. To sie w glowie po prostu nie miesci.

    W moim przypadku w pewnej firmie telekomunikacyjnej BOK podal mi moje na poczte przez telefon. Bylo to jednak 5-6 lat temu, az dziwne ze takie metody dalej sa w pewien sposob praktykowane

  24. Usługi UPC “dla Domu” sprzedawane są dla “ciemnej masy”. Klient znający się nieco na bezpieczeństwie jest rzadkością, stąd taka polityka. Większość klientów UPC i tak nie będzie widziała problemu z hasłem wydrukowanym na zleceniu, podobnie jak z logowaniem do routera z loginem i hasłem admin. Mimo że absursalne jest sprzedawanie pakietu 250 Mb/s z routerem z którego da się wycisnąć po wi-fi jakieś 40 Mb/s i do którego każdy może sobie wygenerować hasło, ale 250 dobrze brzmi i dobrze się sprzedaje. Z zalet: dynamiczne IP jest praktycznie statyczne o ile modem jest stale podłączony do sieci, a pady netu praktycznie się nie zdarzają.

  25. Witam,

    Podobna sytuacja jest w dużej sieci kablowej TOYA w centrum Polski. Kiedys mialem problem z poczta i przez telefon konsultant w pewnym momencie sam wszedl na moja skrzynke u siebie na PC, powiedzial mi ile mam na niej emaili i przeczytał temat ostatniego w celu potwierdzenia ze wszystko niby dziala

  26. UPC to ogółem szit. Jeszcze kilka lat temu bym ich polecił, teraz mam wrażenie, że panuje tam kompletna niekompetencja.

    Monterzy nie wiedzą co mają mi zainstalować, nie potrafią się zalogować do własnego systemu – u mnie musieli dzwonić na infolinię i czekać 10 minut (LOL).

    Sami nie wiedzą jaki typ umowy z nimi zawarłem (na jednym papierku że terminowa, na drugim że bezterminowa), trzeba im tłumaczyć 3 razy, że nie chce się ich syfiastego publicznego wifi, a konto w ich systemie dostępu do faktur próbowałem założyć chyba 10 razy – dopiero telefon i opieprzenie jakiegoś konsultanta pomogło.

    W dodatku ten ich sprzęt to jakieś badziewie, w którym trzeba odkrywać nieudokumentowane funkcje, by w ogóle wyłączyć NAT.

    Ogólnie burdel na kółkach, nie polecam.

    • U mnie akurat problemów nie sprawiają, ale faktycznie firma się sypie. Szczytem było jak technik mnie wezwał do mojego klienta, bo ustawiłem hasło na router i on teraz się nie może do niego dostać. Tylko że… On wymieniał router. Przyniósł swój. Twierdził, że ustawiłem hasło na router w jego walizce. Pomogłem mu, wpisałem ich standardowe hasło i zadziałało.

  27. Bezpieczny sposób przechowywania haseł przez UPC należy rozumieć jako taki, który umożliwia łatwe odtworzenie/odzyskanie hasła prze klienta (i wszystkich pracowników firmy) w przypadku problemów z pamięcią. Nie wiem dlaczego wszyscy zakładają, że bezpieczne przechowywanie hasła należy rozumieć inaczej?

    Jak wam piszą dostawcy rozwiązań do backupu “Twoje pliki są bezpieczne” to czy chodzi im, że je zaszyfrowali i zabezpieczyli do nich dostęp? Nie – chodzi im o to, że możecie je szybo odzyskać. Tak samo jest z hasłami w UPC. Bezpieczny = łatwy do odzyskania.

    • Dość pokrętna ale słuszna marketingowo “logika”.

    • Haseł przechowywanych bezpiecznie nie da się łatwo odzyskać. Kropka.

  28. A co z Netiowymi 4-cyfrowymi “hasłami”, zapytajcie ich czemu nie można tego z zmienić na coś normalnego? W końcu NVM miał te piny w wycieku.

  29. “był to błąd systemu” Najlepiej zwalić na system… jaki system?? bo UPS ma własny własny system, system Windows, a może system Linux lub jeszcze inny system… systemów jest pełno!
    Jestem programistą i nie mam idealnego “systemu”, ale rzecznik mógł powiedzieć, że “faktycznie w Naszym systemie” pojawił się błąd, gdzie szybko go naprawimy… a może faktycznie w ich systemie jest wszytko OK i to Wina Windows lub Linux ??? hmmm

    • Ej, pojęcie systemu jest super. Jako punk spotkałem się (tak!) z hasłem “fuck the system”. Powiesz i każdy pokiwa głową! Szkoda, że każdy inaczej rozumie system ;) Jeszcze napomnę wczesny “system monitoringu” w KZK GOP (unia przewoźników miejskich w GOP), który okazał się systemem GPS-ów. Autobus jest monitorowany? No jest, bo monitorują jego położenie!

  30. Tak samo bezpiecznie przechowywane są hasła w bankach gdzie podczas logowania podaje się tylko wybrane znaki hasła, bo jak niby sprawdzić poszczególne litery hasła mając tylko jego hash?

    • Ustawić kilka możliwych masek hasła (czyli to co user ma wpisać) i każdą osobno zahaszować. Np masz hasło abcde123 z maską ZXZXXZZX gdzie Z to litera “wyszarzona” a XXXX to to co user ma wpisać. Haszujesz XXXX i inne różne maski tego hasła z innymi wybranymi literami (np. maskę ZZZZXXXX) i porównujesz hasz tego co user wpisał z haszem maski “wylosowanej” dla usera.

    • user “SuperTux” dobrze podpowiada…
      ogólnie w bazie jest zapisanych tyle hash-y ile masek czyli najczęściej ok 8-10 hash-y dla 1 usera i są tworzone i zapisywane w czesie tworzenia/zmianie haseł.
      czyli inaczej np. dla hasła abcde123 zamiast zapisać w bazie jeden hash bez masek to zapisuje się byle hash ile jest masek

  31. Znajomy robi w dziale IT UPC i hasła do poczty przechowuje się zaszyfrowane symetrycznie. Także jest “bezpiecznie”, ale nie “najbezpieczniej”. Dobrze że ja tego g. nie używam, głównie z tego powodu że przy zmianie dostawcy internetu bym musiał też adres e-mail zmieniać wszędzie a to nie jest miłe.

    • ROT13 czy Base64? Niekoniecznie to musi być “bezpieczniej”.

  32. Klient zmienił swoje hasło do poczty, a tu okazuje się, że monter, podwykonawca z zewnętrznej firmy, bo nie jest nawet bezpośrednim pracownikiem UPC – ma je wydrukowane na zleceniu! Na tej poczcie mogą być przecież dane osobowe, informacje o usługach, płatnościach i wiele innych ciekawych rzeczy. Taka poczta nadaje się tylko do tego, żeby jej nie używać w ogóle po czym UPC zablokuje ją z powodu nieaktywności (zapis w regulaminie). Tyle jest warta usługa, o której bezpieczeństwo nie zadbali.

  33. Do update z 5.02: nie ma jak odpowiedź niedorzecznika, w dodatku na temat…

    • Obowiązkiem każdego “rzecznika” w podobnych sytuacjach jest zaklinanie rzeczywistości i zdawkowe stwierdzanie że “wszystko jest w porządku”, w przeciwnym razie straci robotę. Innym przykładem są powtarzane przez pracowników banków niczym katarynki stwierdzenia że “transakcje zbliżeniowe są całkowicie bezpieczne” pomimo uprzedniego wielokrotnego przedstawiania dowodów że nie są.

  34. OOPS. Powinni sobie tą szyszeczkę w d*pę wsadzić.Tego jest warta ta firma UPC. Dziwne, że internet w play można mieć bez podawania danych osobowych, bez przymusowych maili itp. rzeczy.

  35. A to nie tam jako glowny spec od bezp. pracuje autor Z3S?

    • A myślisz, że skąd się tu wzięła ta wrzutka? Przeca podział “Niebezpiecznik” vs “Z3S” to taka święta wojna Januszy bezpieczeństwa…

    • Myślałem że w 3S, ale to najwyraźniej jedynie przypadkowa zbieżność lub błąd systemu.

  36. UPC zeszło na dziady, ja sam nie używam tego konta od początku czyli chyba z 12 lat, wówczas to zmieniłem hasło na swoje i konto e-mail działa bo dzisiaj gdy przeczytałem o tym problemie to w te pędy się zalogowałem żeby zobaczyć czy nie ma tam jakiegoś kuku. Nie było więc chyba pracownicy znający moje hasło są uczciwi :)
    Zmieniłem ponownie hasło osobiście ale by to uczynić należy logować się do konta www a nie e-mail. To dwie usługi z tym samym hasłem.

    • Nie jestem taki przekonany.
      W mieszkaniu jakie wynajmowałem, nikt oprócz właściciela i upc nie mógł powiązać mojego numeru telefonu z tym miejscem. I co, po jakimś czasie zadzwonił Pan z konkurencji, chciał się upewnić że rozmawia z właściwą osobą pod właściwym adresem oferując usługę. Na pytanie skąd ma moje dane ściemniał, że musiałem się z nimi kontaktować, albo dziadkowie (oboje rip) podali. Żal.pl

  37. Ja miałem lepsza sytuacje ostatnio – dzwonie na info linie w sprawie nie działającej usługi Horizon GO – od konsultanta usłyszałem ze powinienem podac mu moje hasło bo inaczej nie beda w stanie sprawdzic czy udalo im sie naprawic czy nie – a jesli go nie moge podac to prosi o zmiane na jakies tymczasowe i podanie jego ;-)

  38. “Korzystam ze skrzynki od UPC — co robić, jak żyć?”

    Zmienić sobie operatora, najlepiej z ofertą na kartę.
    Nauczcie się ludzie, od abonamentów się tym z zarządów takich firm w głowach przewraca, bo mają was uwiązanych na kilka lat umową.
    A na kartę łatwiej odejść, to i oni się bardziej starają.
    No i nie podajecie swoich danych osobowych.

    • Gdzie dostanę internet po światle na kartę?

  39. Założe się, że polska NSA chętnie gromadzi hasła w swojej bazie.

  40. A ja twierdze ze jawne haslo do poczty to maly pikus w porownaniu do produktu ktory zakupil czytelnik (Horizon)…

  41. technik orange przyzal mi sie ze z jego pracodawca jest to samo. BOK na pewno ma dostep do hasel, nie wiem jak z technikami

Odpowiadasz na komentarz X

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: