Vlákno názorů k článku Únik desítek tisíc hesel z Kuma.cz a hlava v písku od Petr - Pan Špaček na svém webu píše toto: "Zvu vás...
-
Tom (neregistrovaný)
když to tak vezmeš, tak vlastně celá aktivita Michala je PR :), webtop100, přednášení na konferencí, publikační činnost, sociální sítě, komunikace s firmami typu kuma.cz. Kurz Bezpečnosti PHP aplikací je spíše pozůstatek z minulosti, který nejspíš ještě drží, nevěřím, že zrovna tohle chce promovat :).
Mimochodem zároveň na svém webu má odkaz na facebook, není náhodou ještě placený americkou společností a není to reklama na ní?
-
Petr (neregistrovaný)
Já prostě nechápu, proč exemplárně trestá jednoho z desetitisíců českých neumětelů.
Městská policie v Praze ještě 2 roky zpátky nepoužívala šifrování, a měnit cedule s dopravním značením je zábava na odpoledne. České nemocnice by proti útoku hackerů obstály nejspíš stejně jako všechny ostatní nemocnice (Londýn) - vůbec nijak.
Zajímalo by mě, kolik asi lidí od policie, armády, hasičů, zdravotnictví, zákonodárství, soudnictví, bank atd. atp. má zavirované počítače.
a tak bych mohl pokračovat.
Přes únik dat Sony, Yahoo, Equifax úniky dat státůA my tady řešíme, že jednomu z desetitisíců českých eshopů unikaj data a oni s tím nejsou schopní nic dělat.... Zvykejte si proboha. Na váš server denně útočí desítky z milionů hacknutých IOT zařízení (síťových disků, webkamer, dětských chůviček, robotických vysavačů s kamerami, garáží,...).
-
Radek (neregistrovaný)
> Zvykejte si proboha.
Zvykl byste si, kdyby provozovatelé autobusů a vlaků taky ignorovali sve povinnosti a vystavovali zákazníky riziku? A co kvalita zboží, třeba potravin, spokojíte se se šunty? Já ne, a proto mi nepřijde správně si hrát v IT na něco jiného. Tudíž zveřejnění problemu chápu jako efektivní prostředek, když provozovatel situaci nenapraví.
-
Petr (neregistrovaný)
Znáš pojem "Bouře ve sklenici vody"? To myslím tím zvykejte si.
Skutečný problémy jsou svým dopadem úplně o řády jinde.A co v těch databázích podle tebe bylo?
Jména. Příjmení. Hesla. Emaily. Adresy. Nákupní lístky.Emaily se běžně na internetu prodávají po megabajtech. Maximálně těm lidem začne chodit trochu víc spamu o počtačovejch hrách. Nákupní lístky asi nic citlivýho neobsahujou. Jména, příjmení, adresy jsou reálně k ničemu. Kdybych chtěl jména, příjmení a adresy tak je vytahám z živnostenského rejstříku.
A hesla?
Řeknu ti drsnou pravdu ze světa hackingu: Všichni mají miliony hesel lidí. Ale k čemu je použít.... -
Filip (neregistrovaný)
Tady nejde o spam, to je to nejmenší. Vám ten problém stále nedochází co?
Pokud máš email a heslo k němu, můžeš se přes email dostat do dalších aplikací, protože většina z nich nemá dvoufázové ověření. Může si vygenerovat nová hesla do těch aplikací. Takže Může to být elektronická peněženka v jiných eshopech (Alza, apod.). Můžeš se uživateli dostat do facebooku a vydávat se za něj. Uživatel může mít citlivé údaje různě po dokumentech v přílohách, atd. Věřte, že pokud někdo se takhle k tomu emailu dostane, tak už bude přesně hledat to co potřebuje a posílat mu spam, bude to poslední co bude dělat. :)
-
Filip (neregistrovaný)
Vy po mě také ne. Jak víte, že ty hesla co byla ukradena nikdo nezneužil ať už k vydírání, nebo cílenému útoku na peníze, nebo prostě jen útočník se může přihlásit do cizího účtu a krást třeba fotky, nebo Ty uživatele prostě trollit? Už Vás vidím, jak by Vám to bylo jedno, kdyby za Vás někdo obtěžoval Vaše přátele na fb, nebo jim posílal otravné emaily, či dokonce se za Vás vydával a požadoval po nich peníze.
Už jsem Vám níže popsal, jak to chodí a dobrý útočník si dá velký pozor, aby se na něj jen tak nepřišlo a cestu jak okrádat uživatele si vždycky najde.
A další věc, přes email se dají ukrást účty do jiných aplikací, kde můžou mít uživatelé uloženou platbu přes kreditní kartu (Steam, PSPlus, atd.). A opět nejde o Vás, ale běžné uživatele, než zase napíšete něco ve smyslu, že vy nic takového nemáte a Vám se to nemůže přece stát.
-
Filip (neregistrovaný)
Proč bychom si na to měli zvykat?
Vypadá to, že máte z pana Špačka nějaké komplexy. Nebo co by podle Vás bylo správné?
Nechat eshop žít, ikdyž je tam bezpečnostní díra?
Ale co kdyby jste tam měl účet? A co kdyby jste to heslo měl totožné i u Vaší emailové adresy?
Co kdyby se Vám někdo cizí přihlásil do Vašeho bankovního účtu, elektronické peněženky? Bylo by to taky v pohodě?
Je to trochu o způsobu myšlení, buď se spokojíme s tím, jak to je a ono to tady bude pořád několik let nahovno dokud se nestane nějaký větší průser, který třeba ovlivní a nasere i Vás.
Za mě více takových lidí jako je pan Špaček a je mi jedno jestli si dělá promo, alespoň se konečně něco s tou tristní bezpečností začne dělat.
-
Pan Lorenc (neregistrovaný)
Co to tady melete? Snad každej normální člověk si dá pro eshop jiné heslo než do internetového bankovnictví, google účtu nebo emailu. Nebo snad věříte, že všechny ostatní shopy a různá diskuzní fóra jsou na 100% zabezpečené tak, že tam žádné riziko není? To asi ne.
V eshopu si chci něco koupit protože je to výhodnější nebo pohodlnější a až mi ta věc dojde tak ať si s tou adresou dělají co chtějí. Žádný čísla karet nikam nezadávám a jestli znají můj mobil nebo adresu je mi u pr**le, stejně mně každej den pořád někdo volá a otravuje a to číslo mají určitě z jiných zdrojů než z nějakého eshopu. A jestli to někomu vadí tak odstřihne kabel od netu a nakupovat chodí jen do krámku na náměstí... (a vyhýbá se kamerám na rozích)
-
Filip (neregistrovaný)
Vy možná ano, většina, tedy běžný uživatel to neřeší, nebo to ani neví, že by měl. Většina uživatelů má jeden email na kterém mají všechno, od hesla na facebook, až třeba po internetové bankovnictví.
Zkusím Vám popsat běžného uživatele.
V praxi to vypadá tak, že běžný uživatel se rozhodne na eshopu XY koupit hru svému synkovi k Vánocům u jednoho eshopu, kde je cena nejlevnější. Zaregistruje se, udělá objednávku a protože IT není zase tak políbená, použije stejné heslo jako ke svému emailu, aby se mu to v budoucnu lépe pamatovalo, když by zase kupoval hru pro svého syna . Za několik měsíců, ale z nejmenovaného obchodu uteče databáze s emailovou adresou a heslem. A protože běžný uživatel má jeden email, kde má vše od smluv, co například někdy posílal, až po různé faktury, různé přihlašovací údaje, atd. Útočníkovi pak stačí být trpělivý a věř, že dokáže i z blbého emailu a hesla vymáčknout maximum.
Je běžný uživatel idi*t, že je nepolíben IT a bezpečností v IT? NE! Doktor Vás taky nemá za idi*ta, že neumíte udělat diagnózu.
Ale pokud podnikám, měl bych se o bezpečnost svých uživatelů starat, stejně tak jako to dělá doktor, který se stará o svoje pacienty. -
Co je u pr**le vam, nemusi byt prece v tomtez miste nekomu druhemu.
Chyby se deji, nasledky se obcas nedaji uplne zahladit, ale vinik ma vzdy moznost ridit zpusob jak se k veci postavi. Tady se to proste "nepovedlo" a tak se to aspon muze stat poucenim pro dalsi podobne firmy, ktere sbiraji data a neumi se k nim patricne chovat.
-
Petr (neregistrovaný)
Nechat ten eshop žít.
Dneska je internet plnej hesel milionů uživatelů. Pravděpodobně bych byl schopen operativně znepříjemnit život nějakému člověku v Británii tím, že se mu přihlásím na facebook a začnu někoho urážet, a tím, že mu změním všude hesla (včetně primárního emailu). Důvod proč tohle nikdo nedělá je, že se z toho nedají vyrazit peníze.
"Za mě více takových lidí jako je pan Špaček a je mi jedno jestli si dělá promo, alespoň se konečně něco s tou tristní bezpečností začne dělat." JJ. Lidi se budou starat o svoje eshopy. Ale nemocnice budou stále vůči útokům zranitelný.
Jestli chce mít dopad, tak ať nainstaluje RAT na flashku a pohodí to v pár nemocnicích.Mimochodem, v bance mám dvoufaktorovou autentizaci.
-
Petr M (neregistrovaný)
Nemuseli, stačí podstrčit vhodnou aplikaci.
Nebo si prostě zálohovat mobil do čmoudu a mít přihlašovací údaje k čmoudu v mailu společně s číslem účtu na výplatnici a heslem do bankovnictví stejným, jako k tomu mailu...
Popřípadě si v mailu najít heslo pro "nouzový přihlášení" do banky pro případ ztráty mobilu a prostě ho použít jménem uživatele.
Nebo pár dalších cestiček, ono i šifrování GSM je prolomeno, "routovací" protokol na GSM je nabořený a SMS se dají s trochou snahy přesměrovat...
Nehledě na to, že vyžvaněním hesla se z 2FA stane 1FA. Kdo by to takhle dobrovolně degradoval? Kdyby bylo 3FA ještě s otiskem prstů navíc, tah si naskenuješ palec a dáš ho dobrovolně na xichtknížku, aby si někdo mohl udělat jeho kopii, protože jednorázový číslo v SMSce stačí?
-
Karel (neregistrovaný)
"Já prostě nechápu, proč exemplárně trestá jednoho z desetitisíců českých neumětelů."
Vy nechápete věc, kterou on nedělá. Nikoho netrestá. Zveřejňuje. Trestat můžou leda úřady a zákazníci.
Nedělá to jen jednomu, ale všem, o kterých to zjistil. Není to první případ. A do exemplární roviny se to dostalo jen proto, že tenhle neumětel místo aby napsal "a do prčic, díky za info", tak prostě nedělal nic. Což je díky G DPR (to je nová věc) problém na druhou.
-
na jednu stranu tvrdíš, že únik hesel a účtů není problém, že všude na internetu se válí přihlašovací údaje a na druhou stranu zveřejnění informací o úniku považuješ za poškození dobrého jména. Jak se dá poškodit dobré jméno zveřejněním něčeho co není problém?
Tvojí logikou by nemohl nikdo upozornit na jakékoliv pochybení, protože by to bylo vždy "poškození dobrého jména", argumentuješ jak politik, který se také hájí "mediální kampaní". Přitom u obojího příčinou není zveřejnění, ale něco co mu předcházelo.
-
Karel (neregistrovaný)
Jako sorry, ale to je argument na úrovni "já nemůžu za to, že jsem ho přejel, protože když jsem viděl, že na té silnici je, tak jsem raději zavřel oči".
Firma si dobré jméno poškodila sama. To je ten trest udělený zákazníky. Měla týdny na to, aby se tomu vyhla. Jenže zavřela oči a jela dál.
ČLÁNKY DO MAILU