Názory k článku
Hostingu Czechia od firmy ZONER unikly přihlašovací údaje zákazníků [AKTUALIZOVÁNO]

Dá se to někde stáhnout? :)

Na koho ta hostingova firma podala trestni oznameni? Sama na sebe protoze ma ve vlastni vnitrni infrastrukture urcene pro zakaznicke servery bordel a mizerne zabezpecene sve vlastni backendove servery obsahujici citliva data, cimz nejsou radne chranena data zakazniku? Co je tohle za zvracenou moralku? Prvni kdo by mel byt trestan je samotna hostingova firma. Takovy utok se nema co povest a je jedno od koho prijde zdali zevnitr, ci zvenci. Navrhuji hromadnou zalobu zakazniku na danou firmu a nikoliv na toho kdo dokazal, ze firma ma v siti bordel a nebezpecno. Firma by to nikdy nepriznala.

V době úniku byly systémy - považované za bezpečné - napadnutelné chybou heartbleed. Jinými slovy, bezpečnost je relativní a případná chyba nijak neomlouvá útočníka.

Neomlouva to ale ani poskytovatele. Pokud je sluzba viditelna ze zakaznickych serveru uvnitr serverovny a tudiz je zneuzitelny aktualni bug dane doby ktery jinak bez sitove dostupnosti sluzby neni mozny, tak je to v zakladu spatne, pokud byl utok veden v ramci serverovny.

Pokud je znám konkrétní zákazník (jeho zaměstnanec) a data nezcizil nějaký unknown z Číny, tak proč ne něj trestní oznámení nepodat? Pokud to převedete do běžného života, tak říkáte, zloděj není zloděj, jelikož jste u domu neměli dostatečně vysoký plot a na oknech vám chyběli mříže.

Nikoliv, ale pokud dokonale nezabezpecite dum, pojistovna se na vas vykasle. Kuprikladu je proti smluvnim podminkam v bance, kdyz zakaznik neochrani citlive udaje, napriklad pin ke karte atd.

A taky:

https://archiv.ihned.cz/c1-65592950-povinne-zabezpeceni-dat-bude-stat-podniky-stovky-milionu

"České firmy i státní úřady čeká už za několik měsíců povinnost lépe chránit osobní data, jež spravují.
Podle evropského nařízení na ochranu osobních dat musí všechny organizace všechny úniky takových informací hlásit, a pokud data dostatečně nezabezpečí, hrozí jim pokuta až ve výši 540 milionů korun.
Většina firem o nové povinnosti zatím neví. Odborníci přitom radí začít s přípravami už nyní."

http://www.pravoit.cz/novinka/odpovednost-za-ztratu-dat-poskytovatele-hostingu-ci-cloudu

"Odpovědnost poskytovatele
Odpovědnost za škodu může vzniknout v důsledku ztráty dat způsobené jak úmyslně (zaměstnance poskytovatele), tak nedbalostně (krádež dat v důsledku nedostatečného zabezpečení serveru proti krádeži či hackingu) či v důsledku objektivních skutečností (nebezpečí živelné události)."

Takze tady asi pozor ohledne te zodpovednosti. Podat trestni oznameni na zlodeje je vec podruzna. Predevsim ma poskytovatel urcite povinnosti tak aby k tomu zlodeji prakticky nemohlo dojit a nemel sanci. Pokud ma sanci, pak je to spatne. Jako by vam firma namontovala bezpecnostni zamek ktery otevrete kancelazskou sponkou. Tak tady asi taky ne ..

Pokud něco ukradnete, tak jste zloděj a mohou vás zažalovat. Pokud najdou důkazy, tak i odsoudit. A fakt, že jste na ukradení té věci nemusel vynaložit žádné zvláštní úsilí, na tom nic nezmění. Moc dobře jste věděl že to není vaše.

Ve vašem příměru - pojišťovna se na vás sice vykašle, ale pokud najdete toho, kdo to udělal, tak to vysoudíte na něm. Zákony opravdu nejsou napsány stylem "klidně si vemte všechno, co není přišroubováno". Soud nebude řešit, zda to jen tak leželo na stole nebo to bylo v trezoru - ten bude řešit jen to, zda jste věděl, že to není vaše.

Jako idealni pripad pekne popsano. Horsi je, ze v realnem svete na nem nemusite vysoudit nic. Soud s nemajetnymi je krasna lekce o zbytecnosti. Nic nedostanete, za to jeste budete chodit po uradech.

Pojistovna aspon neco vrati, kdyz to mate adekvatne zabezpeceno.

Umite doufam cist, ze ano...

Odpovednost za skody: ...... tak nedbalostně (krádež dat v důsledku nedostatečného zabezpečení serveru proti krádeži či hackingu)....

Mimochodem "Moc dobře jste věděl že to není vaše." Zajednak delate jak kdybych to ukradl ja, zadruhe jako zakaznik, ktery s tim nema nic spolecneho a zjistil, ze firma ktere jsem platil, nedokazala radne chranit me osobni udaje nebo nejaka soukroma data, tak to je uplne jiny pohled nez ktery vidite v odsouzeni zlodeje. Tenhle level tu neresim. Resim tu firmu zoner, ktera zakaznikum za jejich penize rika ze jejich data jsou v bezpeci. A nejsou. To jako zakaznik chapu jako trestuhodny podvod. To muze delat hosting bez zodpovednosti pak kde kdo a kdyz se stane problem zodpovednost predunout na zlodeje a rikat "Ja nic, to ti zli zlodeji". Jejich povinnost ale je chranit osobni udaje a zakaznicka data. To proste neokecate ani jak chcete. Je to predevsim pruser dane hostingove firmy, podruznym problemem je chovani zlodeje, ktery data zneuzil. Ostatne zneuzil je vubec nejak?

"Koncem roku 2013 jsme zjistili " ...

Priprava na GDPR. O nic jineho nejde. Boji se toho, ze kdyby se to provalilo az po 5. pristiho roku, uz by to bylo prave podle tohoto => potencilene pomerne palciva pokuta. Nyni budou nejmene pristich 10let o vsem tvrdit, ze to neni z nejakeho aktualniho uniku, ale z toho stareho.

Jinak bych vskutku chtel byt jejich zakaznik, byt informovan po 5 letech ze jiz 5 let vedi za data unikla (nebo mohla uniknout), okamzite rusim smlouvy a podavam zaloby - prave pro to neinformovani.

Apropos, pomerne by mne zajimalo, koho chteji za co stihat, pokud se totiz skutek udal pred 5 lety, a oni sami priznavaji, ze o tom vedeli, tak at uz se stalo cokoli, velice pravdepodobne to bude davno promlceno.

§ 34 Promlčecí doba
(1) Trestní odpovědnost za trestný čin zaniká uplynutím promlčecí doby, jež činí
a) dvacet let, jde-li o trestný čin, za který trestní zákon dovoluje uložení výjimečného trestu, a trestný čin spáchaný při vypracování nebo při schvalování privatizačního projektu podle jiného právního předpisu,
b) patnáct let, činí-li horní hranice trestní sazby odnětí svobody nejméně deset let,
c) deset let, činí-li horní hranice trestní sazby odnětí svobody nejméně pět let,
d) pět let, činí-li horní hranice trestní sazby odnětí svobody nejméně tři léta,
e) tři léta u ostatních trestných činů.

> Jinak bych vskutku chtel byt jejich zakaznik, byt informovan po 5 letech ze jiz 5 let vedi za data unikla (nebo mohla uniknout), okamzite rusim smlouvy a podavam zaloby - prave pro to neinformovani.

Pokud mám věřit rozhovoru, tak věděli, že byl pokus o útok, ale nevěděli, že byl úspěšný. Kdyby vás měli informovat o každém neúspěšném útoku, tak byste je sám brzy zažaloval za spamování :D

Vazeny, svepravny dodavatel cehokoli v IT ma pro zakazniky dostupny log bezpecnostnich incidentu, kde si muzete pocist, jake typy naruseni bezpecnosti byly zaznamenany, a podle toho potazmo prijmout nejaka opatreni.

Predpokladam ze vy kdyz narazite na vylomene dvere, tak to neresite, protoze nevite, jestli vam skutecne nekdo neco ukrad. Policii budete volat za 5 let, az na to prijdete.

Špatné přirovnání. Vylomené dveře jsou úspěšný útok. Vy voláte policii pokaždé, když najdete nový škrábanec kolem zámku?

On volá policii kdykoliv na ulici poblíž baráku potká člověka, kterého nezná.

Jasná přípravka na GDPR. Jen nechápu, proč musí GDPR řešit např. školky.

zajímavé, ví, že 7 % uniklých hesel se stále používá, ale již přešli na bcrypt před delší dobou, buď kecají nebo tou delší dobou myslí dobu bezprostředně poté co se před pár měsíci dozvěděli o úniku. Rok 2017 a hostingová společnost stále hesla v sha-1? To je také alarmující.

Tvrzení, že nezaznamenali zneužití je hodně zavádějící, je otázka jak by takové zneužití mohli zaznamenat pokud nebylo masivní, ale chápu, ře to v tiskovce napsat pro laiky museli.

Z rozhovoru vyplývá, že únik je z roku 2013 a že tedy v roce 2013 používali SHA-1, což tehdy nebylo nic neobvyklého. Ale máte pravdu, jak došli k těm 7 % – možná si ale ukládají datum poslední změny hesla, podle toho by to šlo poznat. Horší varianta by byla, že by hesla stále ukládali v SHA-1 a jen v případě změny jej převedly do bcryptu.

datum poslední změny hesla může být opravdu vodítko, ale ukládat si datum poslední změny hesla a mít heslo v sha-1 mi dohromady nesedí, ale možné to je.

Možný je pak ještě scénář, že zmigrovali na bcrypt hashe v sha-1, poté si pořád mohou z původních hashů ověřit, že heslo je shodné. Nebo zmigrovali hesla až při prvním přihlášení a tohle je počet těch, které se ještě nezmigrovali.

Možností je asi hodně, každopádně mě to číslo narazilo, v těhle systémech se patnáct let pohybuji a vím jak to běžně funguje, tyhle čísla nebývá jednoduché přesně zjistit, zejména, když systém nedělají zkušení architekti a metadata se neukládají.

Přesto, že tvrdí, že se nejednalo o únik osobních údajů, tak bych s tím tvrzením polemizoval. Osobní údaje mohou být přímé nebo nepřímé, ale vždy se jedná o soubor informací, které mohou vést k identifikaci fyzické osoby. Divil bych se, kdyby databáze uživatelů a hesel neobsahovala kromě jména také např. telefonní číslo jako kontakt. V případě úniku dat by proto měl následovat také krok směrem k oznámení úniku Úřadu pro ochranu osobních údajů. Klidně doplněný o podniknutá nápravná opatření. Nebude za to hrozit sankce, jako v případě nepravdivého tvrzení, že údajně osobní data nebyla ohrožena nebo odcizena.