34

Dlaczego Wykop czekał z informajcą o włamaniu?

Włamanie może zdarzyć się każdemu i wszędzie chociaż wiele rzeczy można było zrobić lepiej i bezpieczniej. Wszyscy już powtarzają też, żeby nie budować prostych haseł i używać przynajmniej kliku tak aby tracąc któreś z nich przynajmniej inne nasze zasoby w internecie były bezpieczne. Mnie jednak bardziej zastanawia dlaczego Wykop nie poinformował wcześniej użytkowników o włamaniu? […]

Włamanie może zdarzyć się każdemu i wszędzie chociaż wiele rzeczy można było zrobić lepiej i bezpieczniej. Wszyscy już powtarzają też, żeby nie budować prostych haseł i używać przynajmniej kliku tak aby tracąc któreś z nich przynajmniej inne nasze zasoby w internecie były bezpieczne.

Mnie jednak bardziej zastanawia dlaczego Wykop nie poinformował wcześniej użytkowników o włamaniu? W konsekwencji nieświadomi użytkownicy nie zmieniali hasła do wykopu, jeśli mieli takie samo do maila a ktoś je w jakiś sposób odgadł (złamał bo hasła w bazie były szyfrowane) – to mogło to doprowadzić do dramatów. Wszyscy chyba pamiętamy jakie Twitter miał ostatnio problemy przez to, że komuś udało się zdobyć hasło do maila jednego z szefów – po czym zresetował sobie hasła do większości jego serwisów i zdobył firmowe dokumenty.

Sytuacja nie jest wesoła – kilka tygodni to okres wystarczająco długo. aby mogło stać się wszystko. Nie wiem jakie znaczenie dla Policji miało to, że wykop trzymał przed użytkownikami w tajemnicy całą sytuację? Ale nie widzę jakiegoś sensownego powodu, tym bardziej, że zagrożenie iż hasła zostaną złamane nie było aż takie mało prawdopodobne.

Tłumaczenia podanego w oficjalnej informacji nie rozumiem

“Z uwagi na prowadzone dochodzenie, które wykracza poza granice kraju, otrzymaliśmy zakaz publikacji informacji o włamaniu do momentu złapania poszukiwanych osób.”

Włamywacz, policja i właściciel wykopu wiedzieli co się stało – dlaczego więc potencjalne ofiary miały się o tym nie dowiedzieć? Jaki wpływ na tak zwane śledztwo (które pewnie głównie polega na przesyłaniu logów i papierków między wykop<>policja<>policja) – przychodzi wam coś sensownego do głowy?

Szczerze mówiąc jeśli informacja o zakazie jest prawdziwa to jest to jakiś absurd. Ciekawe czy Policja, która zabrania poinformowania o popełnieniu przestępstwa będzie też odpowiedzialna za ewentualne skutki wyczyszczenia na przykład kont paypal? – pytanie retoryczne oczywiście. Zastanawiam się też czy Policja ma prawo wprowadzić tego typu zakaz? Rozumiem, że można nie ujawniać szczegółów. Natomiast okres kilku tygodni trzymania wszystkiego w tajemnicy to paranoja.

Można było poinformować użytkowników mimo zakazu policji? Można było to zrobić wcześniej równolegle z informacją na Policję, można było wymusić zmianę hasła itp. Liczenie na to, że złapie się szybko przestępcę to chyba duża naiwność. Nawet jeśli jest to kompletny amator to przez kilka dni może zrobić z bazą userów wszystko łącznie z upublicznieniem jej.

Ps. Jeszcze na koniec. Szczerze polecam korzystanie z aplikacji do zarządzania hasłami. Dzięki takiemu programowi szybko możemy się dowiedzieć, w którym serwisie używaliśmy jeszcze hasła z np: wykopu i w kilka minut zabezpieczyć się przed skutkami takiego włamania jakie właśnie (czyli kilka tygodni temu) miało miejsce.