Údajný bezpečnostní expert Michal Špaček ani neumí napsat odpovídající hlášení o zjištěném problému. Už jen úvod onoho hlášení je plný zavádějícího balastu, počínaje tím o security.txt - který dosud ani není standardizován a pokračuje nějakým self-promo - a teprve pak jde k jádru věci, tedy k vlastnímu problému. To klidně mohl někdo přečíst ty první věty a vyhodnotit jako další z mnoha spamů někoho, kdo chce vnutit své služby.
Zarážející je též neschopnost správně kontaktovat a případně eskalovat. Napsat ISP, kde jsou stránky hostované nedokázal, najít si email podle jména v doméně také ne - zato však zcela nesmyslně píše na vládní CERT - do jehož kompetencí to nespadá. A ještě se tou svou blbostí pochlubí.
Je zřejmé, že panu Špačkovi jde hlavně o jeho osobní PíáR, podstata problému je podružná věc. Jeho strefování se do faktu, že hlášení je opsané odjinud je trapárna. I ten článek zde vykazuje známky umělého natahování - viditelně se honorář odvíjí od každého napsaného písmenka.
Kuma možná nemá kompetence na vlastní vývoj eshopu. Provozování je odlišná věc. Ale to pan Špaček také nerozlišuje - i když sám rád slovíčkaří. A jednoznačně není kompetentním bezpečnostním technikem - pár naučených frází z něj experta ještě nedělá. A navíc jej diskvalifikuje jeho asociálnost.
Pan Špaček se zcela vhodně uvedl - příjemce alespoň ví, že mu nepíše nějaký anonym, ale uznávaná osobnost v oblasti bezpečnosti, navíc zdarma. Správně by to mělo motivovat provozovatele k tomu, aby dal věci co nejdříve do pořádku. Pohotová reakce a dobrá komunikace je pak klíčová - když už udělali chybu, mohou tím alespoň omezit počet zákazníků, kteří u nich znovu/nikdy nenakoupí.
Není úkolem pana Špačka hledat kontakt na provozovatele/ISP/držitele domény, udělal pouze vše pro to, aby koncoví uživatelé nebyli vystavováni dalšímu riziku. To, že provozovatel != vývojář e-shopu je zcela fuk, protože pro zákazníka v tom není rozdíl.
doložená komunikace kuma.cz je dost povrchní a spíše žádné, sice nemusí být znalosti a povědí, to se bere, ale z jejich reakcí to nevypadá, že by je to nějak trápilo a snažili se. Věřím, že by jim s tím Michal pomohl, kdyby si řekli.
Michal Špaček se věnuje téhle problematice dlouhodobě, to umíš zjistit určitě sám a stejně se snažíš jeho odbornost dehonestovat.
Hej vážně. V české republice je 36000 eshopů*, z toho 1000-1500 větších*. Můžeš si tipnout, kolik těch eshopů by dopadlo stejně jako tenhle. Já bych řekl, že většina**. Možná to značí, že je místo na trhu pro firmu "děláme eshopy levně a pořádně s.r.o", ale fakt mi nepřijde fér vybrat si jednoho z celé té obrovské plejády neumětelů a exemplárně ho vystavit na Lupě.
* http://www.radio.cz/en/section/marketplace/thirty-six-thousand-e-shops-a-little-or-a-lot
** stačí si vygooglit pár příkladů:
Remote code execution v eshop pluginu pro WordPress. Zranitelných je přes 10000 webů.
http://www.itsecurityguru.org/2015/05/07/eshop-plugin-vulnerability-leaves-10000-wordpress-websites-at-risk/
Opencart: Remote code execution
https://www.exploitalert.com/search-results.html?search=OpenCart
Nějaký Cart Engine nabízí DB backup komukoliv:
https://www.exploitalert.com/view-details.html?id=28806
......
v uveřejněné databázi na twitteru objevil 80k údajů z kuma.cz a tak jim dal vědět, ignorovali ho, lhali o vyřešení a tak z toho vznikl tenhle článek, píše to v úvodu, proto si je "vybral" :). Tady nejde o to, ž by si na ně zasedl, ukradl jim údaje a pak je trolil.
Řikáš "většina" a přitom odkazuješ 3 roky starou zranitelnost. Wordpress na tom není tak špatně, v dnešní době už i hostingy dělají testy svých klientů a pomáhají jim s tím, vlastní řešení jsou na tom hůře.
Ano, těch úniků bude spousta. Tak přestaňte remcat a začněte projíždět dostupné seznamy uniklých hesel. Čím více lidí se na to vrhne, tím dříve budeme vědět, které z nich jsou zabezpečené a které naopak mají všechno veřejné. A doporučuji udělat to, co autor článku - nejprve na to upozornit provozovatele a dát jim pár týdnů čas s tím něco udělat (pokud tedy budou chtít).
Nejsou.
- GDPR a související pokuty.
- Know-how (dodavatelé a smlouvy) - cenný pro konkurenci
- Komplet adresář zákazníků - zase cenný pro konkurenci (když napíšou mail, že konkurenci utekly hesla, dají tam login a heslo jako že si nevymýšlí a jako náhodou zmíní svou firmu...)
- Hraje se o důvěru zákazníků. E-shop se stejným zbožím a cenou se dá najít vždycky, takže často rozhoduje pověst a důvěra. O obojí únikem přijdou.
Jestli tohle neovlivní hospodářský výsledek firmy směrem dolů, tak jsem čínský bůh srandy.
Ze zákona dopovídá za osobní údaje jejich zpracovatel a to je provozovatel e-shopu. To je ten rozdíl. Vývojář webu je v klidu, pokud nemá ve smlouvě příslušný sankce a povinnosti, na základě kterých by to mohl provozovatel eskalovat. A to, že jeho kontakty vytáhne konkurence, jeho kšeftu taky nepomůže. Takže správný adresát je provozovatel e-shopu.
Navíc dodavel e-shopu nemusí (resp. nesmí, pokud nemá ošetřen přístup k datům) mít přístup k hostingu. I kdyby to opravil, nemůže nic měnit bez vědomí provozovatele - riziko výpadku atd.
A hosting není ISP. ISP je ten, kdo se "stará o dráty", hosting je ten, kdo "má u sebe mašinu, na které běží web".
A tobě jde o to problém bagateliovat.
ČLÁNKY DO MAILU