fdv napisał/a: |
Tapatalk |
Fidel-F2 napisał/a: |
a jak się włamią to co ukradną? |
Cytat: |
Dzień dobry,
uprzejmie informuję, że otrzymujemy zgłoszenia odnośnie Państwa strony internetowej. Poniżej przekazujemy treść zgłoszenia: Szanowni Państwo, Jesteśmy zespołem reagowania na incydenty naruszenia bezpieczeństwa informatycznego CERT Polska. Zespołowi CERT Polska zostały powierzone obowiązki CSIRT NASK wynikające z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560). Niniejszą wiadomość kierujemy na adres zapisany w bazie WHOIS jako kontaktowy dla sieci wymienionej poniżej. Wiadomość ta przeznaczona jest dla osoby odpowiedzialnej za bezpieczeństwo informatyczne. Jeśli nie są Państwo odpowiednimi adresatami prosimy o poinformowanie nas o tym oraz przekazanie niniejszej wiadomości do odpowiednich osób. Prosimy o przekazanie wiadomości do właściciela strony Zaginiona-Biblioteka.pl[212.85.127.52]. Będziemy wdzięczni za poinformowanie nas, że wiadomość została przekazana. Niniejsze powiadomienie zostało wysłane do Państwa ze względu na umieszczenie adresu Państwa serwisu Zaginiona-Biblioteka.pl na stronie Cit0day, która sprzedawała dostęp do loginów i haseł (bądź ich skrótów) użytkowników serwisów, których bazy dane zostały wykradzione. Szczegółowy opis znajdą Państwo pod adresem https://www.troyhunt.com/...ch-collection/. Adres Państwa strony znajduje się w spisie wykradzionych baz, który można znaleźć pod poniższymi adresami: https://gist.githubusercontent.com/troyhunt/0282a5bad48bd6698672735519ca883a/raw/4d5da27b768a1a00b04f02ad37d663da10b59ffb/Cit0day%2520%255B_special_for_xss.is%255D.txt https://gist.githubusercontent.com/troyhunt/54d421427ae0c32cadc7e18aac28b539/raw/4a12218baf062730eedbbeb8c21b5ef97b5ab86c/Cit0day%2520Prem%2520%255B_special_for_xss.is%255D.txt Wyciek bazy mógł nastąpić w przeciągu kilku ostatnich lat. Jeżeli nie podejmowali Państwo działań związanych z analizą tego incydentu, radzimy podjąć wszelkie działania, do których mogą być Państwo zobligowani przez obowiązujące prawo, w szczególności takich jak podjęcie zgłoszenia do UODO, a także poinformowanie państwa użytkowników lub klientów, których dane mogły znaleźć się w posiadaniu przestępców o fakcie wycieku z zaleceniem zmiany hasła używanego w Państwa serwisie w innych serwisach. Zalecamy również zresetowanie haseł poszkodowanych użytkowników i o ile to możliwe, wprowadzenie logowania z użyciem podwójnego składnika uwierzytelniania. Będziemy wdzięczni za przekazanie informacji o podjętych przez Państwa działaniach w celu rozwiązania problemu. Z poważaniem CERT Polska www.cert.pl |
toto napisał/a: |
Po zastanowieniu. Moim zdaniem za racjonalne minimum można uznać wysłanie maili do wszystkich zarejestrowanych użytkowników z informacją w stylu:
"Zostaliśmy poinformowani o możliwości wykradzeniu haseł użytkowników z naszej bazy danych. Prosimy o jak najszybszą zmianę hasła. W przypadku używania tego emaila w innych serwisach polecamy również zmianę hasła w tych serwisach." Oczywiście, można dodać, że fakt, że zaginiona pojawiła się w tym komunikacie, nie oznacza, że hasła wyciekły, ale ze względów bezpieczeństwa i tak należy je zmienić. |
toto napisał/a: |
Jeśli da się wymusić przez silnik forum, żeby przy następnym logowaniu zażądał jednorazowej zmiany hasła, zrobić to, jeśli się da, dodać też krótką informację dlaczego.
|
toto napisał/a: |
Dodatkowo oddzielny temat z ogłoszeniem, że coś takiego się stało, opisane podjęte kroki itp. Bez dyskusji, tylko informacyjny.
|
toto napisał/a: |
Jeśli silnik forum pozwala, ustawić wymóg zmiany hasła raz w roku |
toto napisał/a: |
Jeśli to możliwe, zmiana zapisu hasła na bardziej bezpieczny w bazie danych |
dworkin napisał/a: |
Zawsze wiedzialem, ze to szemrana witryna :D Brak certyfikatu SSL? Dlatego od lat mam tu podrzednego maila i podrzedne haslo. Niech kradno. |
utrivv napisał/a: |
Dodajmy że ewentualnemu złamaniu uległy prawdopodobnie tylko hasła słabe jak Sabetha123, każdy taki wyciek powinien zwiększać świadomość wprowadzania mocnych haseł
|
KS napisał/a: |
Co kryje się za eufemizmem "możliwy wyciek danych"? Mój puchatkowy rozumek wyobraża sobie, że dane nie woda, same nie wyciekają. Czy chodzi o to, że ktoś nieuprawniony miał do nich dostęp i je skopiował (albo mógł skopiować), czy też to standardowa procedura na tak zwany wszelki wypadek? |
toto napisał/a: |
Janów Kowalskich może być setki i jeśli nie jesteś w stanie łatwo powiązać z konkretnym Janem Kowalskim, to już nie będzie dana osobowa. |
toto napisał/a: |
Nie będę się kłócił, bo też nie jestem prawnikiem. Ale jan.kowalski@gmail.com nie jesteś w stanie od razu połączyć z Janem Kowalskim z Koziej Wólki.
|
goldsun napisał/a: |
- imienny adres email
oraz - IP z którego się logujesz to już podpada pod dane osobowe. Jeśli do tego dochodzi jeszcze miasto, to nawet bardzo. |
Cytat: |
dla użyszkodnikow skok technologiczny. |