Włamanie może zdarzyć się każdemu i wszędzie chociaż wiele rzeczy można było zrobić lepiej i bezpieczniej. Wszyscy już powtarzają też, żeby nie budować prostych haseł i używać przynajmniej kliku tak aby tracąc któreś z nich przynajmniej inne nasze zasoby w internecie były bezpieczne.
Mnie jednak bardziej zastanawia dlaczego Wykop nie poinformował wcześniej użytkowników o włamaniu? W konsekwencji nieświadomi użytkownicy nie zmieniali hasła do wykopu, jeśli mieli takie samo do maila a ktoś je w jakiś sposób odgadł (złamał bo hasła w bazie były szyfrowane) – to mogło to doprowadzić do dramatów. Wszyscy chyba pamiętamy jakie Twitter miał ostatnio problemy przez to, że komuś udało się zdobyć hasło do maila jednego z szefów – po czym zresetował sobie hasła do większości jego serwisów i zdobył firmowe dokumenty.
Sytuacja nie jest wesoła – kilka tygodni to okres wystarczająco długo. aby mogło stać się wszystko. Nie wiem jakie znaczenie dla Policji miało to, że wykop trzymał przed użytkownikami w tajemnicy całą sytuację? Ale nie widzę jakiegoś sensownego powodu, tym bardziej, że zagrożenie iż hasła zostaną złamane nie było aż takie mało prawdopodobne.
Tłumaczenia podanego w oficjalnej informacji nie rozumiem
“Z uwagi na prowadzone dochodzenie, które wykracza poza granice kraju, otrzymaliśmy zakaz publikacji informacji o włamaniu do momentu złapania poszukiwanych osób.”
Włamywacz, policja i właściciel wykopu wiedzieli co się stało – dlaczego więc potencjalne ofiary miały się o tym nie dowiedzieć? Jaki wpływ na tak zwane śledztwo (które pewnie głównie polega na przesyłaniu logów i papierków między wykop<>policja<>policja) – przychodzi wam coś sensownego do głowy?
Szczerze mówiąc jeśli informacja o zakazie jest prawdziwa to jest to jakiś absurd. Ciekawe czy Policja, która zabrania poinformowania o popełnieniu przestępstwa będzie też odpowiedzialna za ewentualne skutki wyczyszczenia na przykład kont paypal? – pytanie retoryczne oczywiście. Zastanawiam się też czy Policja ma prawo wprowadzić tego typu zakaz? Rozumiem, że można nie ujawniać szczegółów. Natomiast okres kilku tygodni trzymania wszystkiego w tajemnicy to paranoja.
Można było poinformować użytkowników mimo zakazu policji? Można było to zrobić wcześniej równolegle z informacją na Policję, można było wymusić zmianę hasła itp. Liczenie na to, że złapie się szybko przestępcę to chyba duża naiwność. Nawet jeśli jest to kompletny amator to przez kilka dni może zrobić z bazą userów wszystko łącznie z upublicznieniem jej.
Ps. Jeszcze na koniec. Szczerze polecam korzystanie z aplikacji do zarządzania hasłami. Dzięki takiemu programowi szybko możemy się dowiedzieć, w którym serwisie używaliśmy jeszcze hasła z np: wykopu i w kilka minut zabezpieczyć się przed skutkami takiego włamania jakie właśnie (czyli kilka tygodni temu) miało miejsce.
Witaj, nazywam się Grzegorz Marczak i jestem autorem tego bloga. Piszę tutaj o serwisach społecznościowych, nowych technologiach i nowych trendach w internecie.
Ktos ma jakas aplikacje do zarzadzania haslami godna zaufania ?:> Martwi ta sprawa z wykopem. Na szczescie zdazylem sobie zmienic kilka hasel profilaktycznie :)
Krótko: cała sytuacja to przerażający poziom lamerstwa, wieloosobowego.
@PiotrB
Z moich obserwacji wynika, że 95% firm: małych, dużych, średnich działa na tym samym poziomie lamerstwa, więc nie jest to aż tak przerażające.
Pech chciał, że trafiło na wykop.pl :)
@Tomek Komercyjny
Wiele prawdy jest w tym, że często się coś takiego zdarza, ale przerażające jest to jak serwisy “nowej fali” kuleją w tym temacie. Ostatnie przykłady twittera (głośno było o 1 przypadku, ale wtop twitter zaliczył więcej), wszechobecne pytania do przypominania haseł (ostatnio potrzebowałem szybko konto w yahoo, trudność (czyt. łatwość) pytań mnie powaliła), błędy popełniane na każdym kroku, zatrudnianie programistów z łapanki (zna phpa, to może robić wykopa), ignorowanie przez administrację informacji od użytkowników (to w zasadzie grzech główny). Można by tak długo wyliczać, ale to raczej nie wiele zmieni. Każdy powinien o te sprawy zadbać w swoim otoczeniu, dzięki tej wtopie wykopu, może paru ludzi wzmocni swoją politykę odnośnie haseł.
Każdy mógł pobrać bazę mysql użytkowników wykop.pl, która znajdowała się na rzekomo testowym serwerze – administracja nie ustawiła żadnego hasła do bazy mysql! Więc skopiowanie takiej bazy było wręcz dziecinnie łatwe…
Co ciekawe wykop testuje nowe rozwiązania na publicznych serwerach (a nie w wewnętrznej sieci) i na dodatek na PRAWDZIWYCH danych swoich użytkowników.
Gdyby taka sytuacja miała miejsce w USA to serwis wykop.pl do końca świata by nie wyszedł z sądu przez pozwy użytkowników. Lub załatwiłby to jeden pozew zbiorowy=bankructwo wykopu.
WYKOP ZAKOPANO!
mnie ciekawi punkt 5 w case study i o jakim portalu nie stosujacym mieszania hasel mowa… ktos wie cos na ten temat?
Vogel: o portalu na a, ;)
Ale to też nie potwierdzone, IMHO to kwestia złego sformułowania maila do userów.
@PiotrB
nie bójmy się nazw :) AOL ?
Allegro.
Niestety jedyne sensownego co mi przychodzi do głowy, że jest to totalna ściema. Internauci powinni zostać powiadomieni natychmiast. Pierdolenie głupot, ze dla dobra śledztwa nie można poinformować użytkowników o włamaniu, to jest totalna BZDURA!
WSTYD, WSTYD I JESZCZE RAZ WSTYD!!!
Tylko czekać aż ktoś (media, blogerzy) zada pytanie do rzecznika policji dlaczego narazili uzytkownikow wykopu na straty i zabronili informowac o wlamaniu. i tylko czekac jak okaze sie ze admini wykopu klamia w zywe oczy, gdy rzecznik odpowie ze zadnego zakazu nie bylo
@Piotr Szymczak
Nie, podobno jest to największy portal aukcyjny w naszym kraju.
@Grafi
Jedno słowo: KeePass.
@Sharpek
Hmm… Jakoś trudno mi w to uwierzyć, ale z drugiej strony nie takie rzeczy już widziałem…
@Grzegorz:
Nie przesadzajmy też z tą łatwością łamania haseł. (O ile tylko użytkownicy mają niezłe hasła – co można w sporym stopniu wymusić formularzem – to wcale nie jest takie łatwe…)
@Krzysztof
Ja tam w to nie wierzę, ale tutaj masz kolejna teorie spiskowa:
http://di.com.pl/news/28001,0,Allegro_kontrowersje_wokol_sposobu_przechowywania_hasel.html
:)
Policja może poprosić poszkodowanego o niepublikowanie informacji by ułatwić im zadanie tzn. by media nie zaczęły się kręcić koło sprawy… Zakazu raczej nie ma, a jeśli jest to mogło to być co najwyżej 48h. Po tym czasie Wykop powinien poinformować userów.
Wow, to dopiero tekst z tzw. “dupy”.
(1) Do momentu złapania? Czyli biorąc pod uwagę najbardziej prawdopodobny rezultat śledztwa – wykop zamilknie na zawsze.
(2) Złapania poszukiwanych osób? Dobrze by było gdyby chociaż były to USTALONE osoby na tym etapie, a co dopiero mówić o poszukiwaniach.
(3) Było przynajmniej dać tekst prawnikowi / PR do redakcji a nie płodzić komunikaty na kolanie na odwal.
Może się nie wyspałem i nie myślę logicznie, ale wydaje mi się, że zmiana haseł do wykopu wcale nie jest najważniejsza. Mam na myśli takie przypadki, że hasło do wykopu jest takie samo jak do innych usług lub serwisów. Przecież mleko się wylało – hasła już wyciekły, więc raczej ważniejsza jest zmiana haseł “gdzie indziej”.
BTW wpadka na wykopie, to dobra okazja do mailingów pod pretekstem prośby o zmianę haseł. :)
@Grafi
Również polecam KeePass Password Safe. Dostępny po polsku. Jest nawet wersja portable.
Tu nie chodzi o lamerstwo. Tu chodzi o to, żeby za nic na świecie nie przyznać się do błędu, bo zaszkodzi to wizerunkowi. Oczywiście później okazuje się, że i tak nie da się tego trzymać w tajemnicy i oficjalne info wychodzi miesiąc po fakcie.
A może to 4chan’owcy w odwecie za drawball? :)
Testowali na prawdziwej bazie? Tak sie przeciez robi… z lenistwa. Portal social-lending, ktory ostatnio dogorywa tez tak dzialal :]
W tej sytuacji wykop JEST W 100% WINNY !!! który z profesjonalnych serwisów testuje nowy system z danymi użytkowników ! Porąbało ich ? Doigrali się swoich pseudo-testów. może przypomnę wykopowi jedną z ważniejszych kwestii:
Serwis dopiero co powstające testuje się na NIEPRAWDZIWYCH danych (może wykop jest leniwy ale wystarczy prosty skrypt który wygeneruje setki sztucznych użytkowników) ! Używanie prawdziwej bazy danych w takich przypadkach to zabawa z ogniem bo nigdy nie wiadomo gdzie będzie dziura i kto się poparzy przez nią.
tigga: apropos dochodzenia, to jak orzekł PL sad “Nie można przełamać czegoś, co nie istnieje” – http://prawo.vagla.pl/node/8154
Tutaj chyba “podwójnie” żadne zabezpieczenia nie istniały ;-)
Kwestią bezsporną jest to, że – mówiąc wprost – wykop dał dupą z tą bazą! Jednakże dziwi mnie trochę tak wielkie larum jakie zostało podniesione w sieci przez wykopowiczów i nie tylko przez nich. Wykop jest TYLKO serwisem społecznościowym i oczywistym wydaje się być fakt, iż wszelkie informacje umieszczane w profilu użytkownika są dostępne dla innych (poza hasłem rzecz jasna). Wiele wykopowych profili zawiera informacje o miejscu zamieszkania, nazwisku, numerze gg, adresie e-mail… nierzadko też ten sam nick/login jest wykorzystywany w wielu innych portalach, a nawet mailu, koncie allegro czy bankowym! Przykład wycieku danych z wykopu dobitnie pokazał, że ludzie nie strzegą własnej prywatności, a co za tym idzie – narażają się na potencjalne niebezpieczeństwa. Na końcu najłatwiej jest zwalić winę na wykop.
[rozsądny] użytkownik wykop.pl ;)
skandal. tłumaczenie dziecinne
Panie Grzegorzu, przydałoby się raz lub dwa przeczytać posta przed opublikowaniem go. Snipet artykułu i od razu dwa babole ;-) Chociaż widzę, że post opublikowany późno w sobotę wieczorem, więc może to jest jakieś wytłumaczenie…
Wracając jednak do tematu to zastanawiam się jak można być tak lekkomyślnym, aby przeprowadzać testy na publicznych serwerach i to w dodatku na pełnej bazie danych. Ciekaw jestem jak ta cala sprawa się zakończy.
Może ktoś się orientuje, jak to jest z prawnego punktu widzenia – czy nie powinniśmy zgłosić w prokuraturze podejrzenia o popełnieniu przestępstwa przez ekipę wykop.pl?
Zasadniczo każdy przechowujący dane osobowe ma obowiązek stosować szereg zabezpieczeń – tutaj ich nie było (w świetle wpisu na blogu P. Koniecznego).
Ktoś się orientuje w tej tematyce?
informajcą :)
W przypadku tak wielu błędów bezpieczeństwa, o jakich czytam w komentarzach, być może jest sens utajnienia wiadomości o wycieku bazy haseł do czasu poprawienia bezpieczeństwa. Ale na tak długo…?
Oficjalne wyjaśnienie jest wysoce nieprawdopodobne.
Jako komentarz zamieszczę opis jak zachowali się redaktorzy SmashingMagazine w sytuacji podobnego ataku:
“As soon as we discovered what happened, we took our WordPress-powered server offline to make sure that no harm would be done to our website’s visitors. As far as we know, no machine of any of our readers has been compromised. Our readers’ data is of the highest priority to us, and we didn’t want to take any risks.”
To dobitnie pokazuje, gdzie jest Polska i jej standardy obsługi klienta !!( bo jesteśmy klientami tych serwisów) – a gdzie US i zachodnia część Europy.
url:
http://www.smashingmagazine.com/2009/09/04/smashing-goes-down-on-september-2nd-what-happened/
moze przez te 3 tygodnie sprawdzali jak ustawic haslo w mysqlu? i w koncu sie udalo.
@Łukasz – problemem nie jest nieautoryzowany dostęp do konta na Wykopie, w końcu to nie bank, jedyne ryzyko, to dodanie komentarza, lub oddanie głosu na link. Nie są to aż tak poważne problemy. Problem, to wykorzystanie tego samego hasła w innych serwisach, np. Allegro.
Tutaj mój komentarz i odpowiedź na pytanie zadane w tytule:
http://www.wykop.pl/link/232937/wyciek-bazy-danych-dlaczego-zwlekalismy-z-informacja-o-wlamaniu
Wyjasnienie jest proste i wynika z metod jakimi posluguje sie policja do lapania przestepcow ;) Prawdopodobnie chodzilo o to, zeby zlokalizowac osoby, ktore dokonaly wlamania i nastepnie zrobic u nich rewizje. Gdyby informacja o wlamaniu wyplynela, osoby te po prostu pozbylyby sie niewygodnych danych, poukrywaly nosniki, itp.
Logi nie stanowia wystarczajaco mocnego dowodu, mozna je latwo sfabrykowac lub bronic sie tym, ze IP, z ktorego dokonano wlamania byl wspoldzielony miedzy roznych uzytkownikow, itp. Znalezienie wyniesionych baz na kontach/dyskach podejrzanych jest bardzo mocnym dowodem czy Wam sie to podoba czy nie. IMHO ekipa wykopu postapila slusznie, z pkt widzenia wymierzania sprawiedliwosci, natomiast zle z pkt. widzenia szarego uzytkownika. Nie oceniajcie sprawy zbyt plytko, byc moze podejrzane osoby byly zamieszane w duzo powazniejsze przestepstwa niz szerzej nieznany polski serwis internetowy.