FAQFAQ  SzukajSzukaj  UżytkownicyUżytkownicy  GrupyGrupy
RejestracjaRejestracja  ZalogujZaloguj

Odpowiedz do tematu
Poprzedni temat :: Następny temat
Zmiana silnika forum - możliwy wyciek danych...
Autor Wiadomość
wred 


Posty: 3609
Wysłany: 2020-12-03, 09:47   

toto napisał/a:
Po zastanowieniu. Moim zdaniem za racjonalne minimum można uznać wysłanie maili do wszystkich zarejestrowanych użytkowników z informacją w stylu:

"Zostaliśmy poinformowani o możliwości wykradzeniu haseł użytkowników z naszej bazy danych. Prosimy o jak najszybszą zmianę hasła. W przypadku używania tego emaila w innych serwisach polecamy również zmianę hasła w tych serwisach."

Oczywiście, można dodać, że fakt, że zaginiona pojawiła się w tym komunikacie, nie oznacza, że hasła wyciekły, ale ze względów bezpieczeństwa i tak należy je zmienić.
Też tak uważam, to da się zrobić.

toto napisał/a:
Jeśli da się wymusić przez silnik forum, żeby przy następnym logowaniu zażądał jednorazowej zmiany hasła, zrobić to, jeśli się da, dodać też krótką informację dlaczego.
Nie da się wymusić, mogę ręcznie zmienić wszystkim hasła w bazie bezpośrednio na coś losowego i będą zmuszeni odzyskać hasła
pytanie - czy to ma sens ? - lepiej żeby pozmieniali hasła na ważniejszych stronach na których używają takiego samego emaila/hasła jak tutaj. Może być sytuacja, że ktoś ma tu starego nieaktualnego emaila, rejestrował się 10 lat temu i jak zmienię mu hasło to już go nie odzyska...

toto napisał/a:
Dodatkowo oddzielny temat z ogłoszeniem, że coś takiego się stało, opisane podjęte kroki itp. Bez dyskusji, tylko informacyjny.
Jak najbardziej

toto napisał/a:
Jeśli silnik forum pozwala, ustawić wymóg zmiany hasła raz w roku
Niestety nie umożliwia.

toto napisał/a:
Jeśli to możliwe, zmiana zapisu hasła na bardziej bezpieczny w bazie danych
W bazie zapisane jest gołe niesolone MD5 hasła... czyli szału nie ma, ale nie jest to goły tekst. Zmieniać tego raczej nie będę...

a co sądzicie o UODO ?
rozmawiałem wczoraj ze znajomym po szkoleniach z GDPR i pokazał mi, że nie muszę tego zgłaszać, bo nie wiadomo czy w ogóle jakieś dane wyciekły (jest tylko linijka opisowa na stronie jednego gościa...) co sądzicie ?
 
 
wred 


Posty: 3609
Wysłany: 2020-12-03, 11:42   

Poszedł spam do wszystkich, ale są setki zwrotek z nieaktywnych emaili... i nie ma chyba PL znaków w tytule - trudno...

dajcie znać czy dotarł.
 
 
dworkin 


Posty: 3985
Wysłany: 2020-12-03, 11:52   

Zawsze wiedzialem, ze to szemrana witryna :D Brak certyfikatu SSL? Dlatego od lat mam tu podrzednego maila i podrzedne haslo. Niech kradno.
 
 
Jachu 
princeps senatus


Posty: 3200
Skąd: Dom-na-Drzewie
Wysłany: 2020-12-03, 11:54   

Dostałem. Zmieniłem :)
_________________
Życie to dziwka, czytasz za mało, a potem umierasz //orc [Stary Ork]

Zaginiona to zamknięte środowisko, coś jak oddział zamknięty krążący wokół Czarnej Dziury Szaleństwa, najlepiej nie zwracać uwagi na sens bo on tu rzadko występuje //utrivv [utrivv]

"Finezja perfidii rozumowania ściga się w nich z cyniczną sofistyką" [prof. Waltoś o działaniach PiS dot. wymiaru sprawiedliwości]
 
 
toto 
Carrot Guerilla


Posty: 8272
Skąd: Magic Kingdom
Wysłany: 2020-12-03, 12:07   

Przyszło, nawet nie trafiło do spamu
_________________
es­te­ta eks­tra­or­dy­na­ryj­ny

To wprawdzie zbyteczne, ale może jednak.

Naprawdę, nie należy ufać apostołom prawdy. Naprawdę kłamcę zdradza podkreślanie prawdy, jak tchórza zdradza podkreślanie waleczności. Naprawdę wszelkie podkreślanie jest formą skrywania albo oszustwa. Formą narcyzmu. Formą kiczu.
"Oszust", Javier Cercas
 
 
Stary Ork 
Świnia z klasą


Posty: 10141
Skąd: Sin Tychy
Wysłany: 2020-12-03, 12:18   

dworkin napisał/a:
Zawsze wiedzialem, ze to szemrana witryna :D Brak certyfikatu SSL? Dlatego od lat mam tu podrzednego maila i podrzedne haslo. Niech kradno.


Ja nawet nie wiem czy mój mail jeszcze działa //mysli
_________________
* W celu uzyskania dalszych informacji uprasza się o ponowne przeczytanie tego postu.
 
 
Sabetha 
Baba Jaga


Posty: 4566
Wysłany: 2020-12-03, 12:20   

Maila znalazłam w spamie. Hasło zmieniłam, bo jestem z tych, którzy przywiązują się do adresów i numerów telefonów i używam jednego i drugiego od wieków.
_________________
"Wewnątrz każde­go sta­rego człowieka tkwi młody człowiek i dzi­wi się, co się stało".
T. Pratchett "Ruchome obrazki"
 
 
Elektra 


Posty: 3693
Skąd: z Gdyni
Wysłany: 2020-12-03, 12:42   

Dotarło. Nie do spamu.
_________________
Nie mów kobiecie, że jest piękna. Powiedz jej, że nie ma takiej drugiej jak ona, a otworzą ci się wszystkie drzwi.
Jules Renard
 
 
ManJAk 

Posty: 140
Wysłany: 2020-12-03, 13:19   

utrivv napisał/a:
Dodajmy że ewentualnemu złamaniu uległy prawdopodobnie tylko hasła słabe jak Sabetha123, każdy taki wyciek powinien zwiększać świadomość wprowadzania mocnych haseł

Bo ja wiem, 3-5 lat na łamanie haseł to sporo czasu ;)

//bry

Cześć Wred,
podoba mi się ten temat, zaczęliście od omawiania updatu forum bo może się włamią a skończyło się na włamie :D :mrgreen:



Moje skromne rady:
1. Przydałby się TLS, mogę to zrobić, sam, to samo proponowałem na strefierpg i tam mi nikt nawet nie odpisał :(
2. Podejrzewasz że wyciek nastąpił 3-5 lat temu gdu userów było 1200... to ja bym zmienił hosting skoro nikt Cię nie informował. W ogóle bym obstawił chmurkę GCP czy Azure, może to wiara (pod ręką nie mam statystyk) ale wydaje i się że taki Google czy inny gigant lepiej pilnuje swoich serwerów niż home.pl, ma na to więcej budżetu,
3. Co do UODO/GDPR, prowadzisz forum jako firma? Jak nie to chyba nic, na pewno GDPR dotyczy firm, ogółne zapisy UODO nie wiem czy jedynie firm.
Sam wyciek emaila może łamać te przepisy jak email jest imienny tj. zawiera imię i nazwisko, ogólnie w UODO chyba (dawno temu sprawdzałem) daną osobową jest każda co identyfikuje jednoznacznie osobę, teoretycznie numer telefonu czy email może nią być, ale nie musi (biuro@gmail nic nie mówi, jan.kowalski@gmail to już imię, nazwisko i email który prowadzi do jednego konkretnego jana kowalskiego). Z tego względu w wielu firmach nie ma imienia i nazwiska w emailu, a są np. pierwsze 3 litery imienia i potem 3 nazwiska, właśnie na wypadek wycieku samych adresów by nie było to uznane za wyciek danych osobowych ;)
  
 
 
toto 
Carrot Guerilla


Posty: 8272
Skąd: Magic Kingdom
Wysłany: 2020-12-03, 13:24   

Janów Kowalskich może być setki i jeśli nie jesteś w stanie łatwo powiązać z konkretnym Janem Kowalskim, to już nie będzie dana osobowa. To jest trochę bardziej skomplikowane. Jakie to szczęście, że nie muszę się zajmować rodo u siebie w pracy.

Jeśli wyciek z adresem firmowym to już dużo łatwiejsza identyfikacja, bo jednak Janów Kowalskich w firmie Grażynex sp. z o. o. rzadko kiedy jest więcej niż 1.
_________________
es­te­ta eks­tra­or­dy­na­ryj­ny

To wprawdzie zbyteczne, ale może jednak.

Naprawdę, nie należy ufać apostołom prawdy. Naprawdę kłamcę zdradza podkreślanie prawdy, jak tchórza zdradza podkreślanie waleczności. Naprawdę wszelkie podkreślanie jest formą skrywania albo oszustwa. Formą narcyzmu. Formą kiczu.
"Oszust", Javier Cercas
 
 
KS 
KS


Posty: 2534
Wysłany: 2020-12-03, 13:25   

Co kryje się za eufemizmem "możliwy wyciek danych"? Mój puchatkowy rozumek wyobraża sobie, że dane nie woda, same nie wyciekają. Czy chodzi o to, że ktoś nieuprawniony miał do nich dostęp i je skopiował (albo mógł skopiować), czy też to standardowa procedura na tak zwany wszelki wypadek?
_________________
Kiedy jesteś martwy, nie wiesz, że jesteś martwy. Cały ból odczuwają inni.
To samo dzieje się, kiedy jesteś głupi.
(Lemmy)
 
 
ManJAk 

Posty: 140
Wysłany: 2020-12-03, 13:31   

KS napisał/a:
Co kryje się za eufemizmem "możliwy wyciek danych"? Mój puchatkowy rozumek wyobraża sobie, że dane nie woda, same nie wyciekają. Czy chodzi o to, że ktoś nieuprawniony miał do nich dostęp i je skopiował (albo mógł skopiować), czy też to standardowa procedura na tak zwany wszelki wypadek?


Adres strony pojawił się w spisie wykradzionych baz,
czy nastąpił wyciek danych, np. ktoś złamał hasło i dostał się do phpmyadmin i stamtąd nielegalnie pobrał bazę, czy też pracownik hostingodawcy dorabia na lewo handlując bazami klienta swojego pracodawcy, to bez znaczenia.
By dowiedzieć się co wyciekło należałoby znaleźć ten dump bazy i go obejrzeć.
Ale można założyć że skoro forum jest na liście to jednak wyciek nastąpił, czyli potencjalnie emaile i zahashowane hasła do nich (oby saltowane i nie do odczytania przez crackera) są znane szerzej niż byśmy chcieli.

toto napisał/a:
Janów Kowalskich może być setki i jeśli nie jesteś w stanie łatwo powiązać z konkretnym Janem Kowalskim, to już nie będzie dana osobowa.

Nie jestem prawnikiem, ale jak wyciekły dane z ZUS bo pracownik nie ukrył adresatów to niebezpiecznik pytał prawnika i podobno każdy adres imienny narusza jakieś punkty prawne. Janów Kowlaskich może być wielu, ale email jan.kowalski@gmail.com ma dokładnie tylko jeden jan.
 
 
wred 


Posty: 3609
Wysłany: 2020-12-03, 13:49   

Hej ManJak :)

Nie mam pojęcia kiedy i czy faktycznie wyciek nastąpił. Ani którędy. Forum jakie jest każdy widzi,
skrypt sprzed 10 lat, php5, kto wie czy nie ma jakiś podatności...

Nie wiem czy 3-5 lat nie mamy statystyk kiedy było 1200 userów, bo może to dump bazy a może podsłuchane logowania userów, a może logowania botów ? cholera wie.

Był okres najazdu masowego botów i ich rejestracji, może to co jest w tej bazie to po prostu taka lista :P

Dobrać się do takiego zrzutu to bym wiedział co i jak a tak to co ...



Tak czy siak coś z tym fantem musimy zrobić, forum nie jest na firmę, nie przynosi dochodów,
jedyne dane osobowe jakie posiada do email (jest kilka imiennych), ostatnie IP, i to co kto tam powypisywał o sobie np miasto itp...
  
 
 
toto 
Carrot Guerilla


Posty: 8272
Skąd: Magic Kingdom
Wysłany: 2020-12-03, 13:50   

Nie będę się kłócił, bo też nie jestem prawnikiem. Ale jan.kowalski@gmail.com nie jesteś w stanie od razu połączyć z Janem Kowalskim z Koziej Wólki.
w danych z ZUSu mogły być nie tylko maile, ale na przykład też pesele, adresy, nipy czy inne identyfikatory pomagające jednoznacznie zidentyfikować daną osobę. Nie mam teraz czasu czytać dokładnego opisu.
_________________
es­te­ta eks­tra­or­dy­na­ryj­ny

To wprawdzie zbyteczne, ale może jednak.

Naprawdę, nie należy ufać apostołom prawdy. Naprawdę kłamcę zdradza podkreślanie prawdy, jak tchórza zdradza podkreślanie waleczności. Naprawdę wszelkie podkreślanie jest formą skrywania albo oszustwa. Formą narcyzmu. Formą kiczu.
"Oszust", Javier Cercas
 
 
wred 


Posty: 3609
Wysłany: 2020-12-03, 13:56   

No to zdecydowanie nie ten kaliber, tym niemniej pytanie czy to zgłaszać do UODO czy gdzie to trzeba zgłaszać... ?

tylko na podstawie istniejącej linijki z adresem strony w pliku umieszczonym w necie...
 
 
KS 
KS


Posty: 2534
Wysłany: 2020-12-03, 13:57   

toto napisał/a:
Nie będę się kłócił, bo też nie jestem prawnikiem. Ale jan.kowalski@gmail.com nie jesteś w stanie od razu połączyć z Janem Kowalskim z Koziej Wólki.

Je..ł pies, gdzie Kowalski mieszka, interesuje mnie, czy mając adres mailowy i hasło ktoś może włamać się do komputera Kowalskiego?
_________________
Kiedy jesteś martwy, nie wiesz, że jesteś martwy. Cały ból odczuwają inni.
To samo dzieje się, kiedy jesteś głupi.
(Lemmy)
 
 
wred 


Posty: 3609
Wysłany: 2020-12-03, 14:02   

Wprost włamać się do kompa raczej nie, ale lepiej pozmieniać hasła na stronach gdzie taki email jest używany, szczególnie niektórzy używają takiego samego hasła do samego emaila :P - i wszędzie gdzie się da - a to już problematyczne
 
 
wred 


Posty: 3609
Wysłany: 2020-12-03, 14:15   

W ogóle używanie takiego samego hasła wszędzie gdzie się da to ZDECYDOWANIE ZŁY POMYSŁ.
 
 
KS 
KS


Posty: 2534
Wysłany: 2020-12-03, 14:30   

Masz rację, ale spróbuj zapamiętać różne hasła do kilkudziesięciu portali zakupowych. Naturalnie do konta w banku mam inne :)
_________________
Kiedy jesteś martwy, nie wiesz, że jesteś martwy. Cały ból odczuwają inni.
To samo dzieje się, kiedy jesteś głupi.
(Lemmy)
 
 
goldsun 
Szeregowy


Posty: 1626
Skąd: Bytom
Wysłany: 2020-12-03, 15:06   

Zwrócę uwagę, że jeśli w danych było:
- imienny adres email
oraz
- IP z którego się logujesz
to już podpada pod dane osobowe.
Jeśli do tego dochodzi jeszcze miasto, to nawet bardzo.

Nie miałem nigdy okazji, ale może trza po prostu tego UODO zapytać, co w takim przypadku?
Jak było jeszcze GIODO, to z ludźmi stamtąd dało się normalnie rozmawiać.


A do KS.
Ten IP na liście to akurat bardzo źle, bo jeśli łączysz się z domu, to może to być adres twojego routera.
Jeśli nieopatrznie ktoś do swojego routera używa tego samego hasła co wszędzie indziej ... no to już można dużo. Wymagałoby to pewnie grzebania i sprawdzania każdego ip, ale od czego skrypty i kombinowanie ...
_________________
Załączam różne wyrazy i pozdrawiam
Goldsun

Per ASperger ad astra
 
 
KS 
KS


Posty: 2534
Wysłany: 2020-12-03, 15:14   

nie wiem jak u mnie z IP, czy w t-mobile mam stały czy zmienny?
w poprzednim miejscu zamieszkania miałem internet od dostawcy kablówki i wtedy na 100% miałem zmienne IP za każdym logowaniem.
_________________
Kiedy jesteś martwy, nie wiesz, że jesteś martwy. Cały ból odczuwają inni.
To samo dzieje się, kiedy jesteś głupi.
(Lemmy)
 
 
Asuryan 
Król Bogów

Posty: 3386
Skąd: Łódź
Wysłany: 2020-12-03, 15:31   

Serio zmiana hasła, kiedy nie pamiętam jakiego tutaj użyłem, bo wchodzę na forum przez autologowanie ze swojego kompa? Oczywiście na każde forum mam inne hasło, ale nie zaprzątam sobie nimi głowy, polegając na funkcji "zapamiętaj mnie". Zresztą nie tylko ja.
_________________
"Sometimes known as the Phoenix King, Asuryan was the king and the most powerful deity of the pantheon of Eldar gods. He was believed to be the psychic might of the whole universe."
 
 
toto 
Carrot Guerilla


Posty: 8272
Skąd: Magic Kingdom
Wysłany: 2020-12-03, 17:29   

Jak masz zapamiętane w przeglądarce, to możesz je sobie sprawdzić. W ostateczności "Zapomniałem hasła" podczas logowania i przyjdzie instrukcja w mailu. Na 99% w mailu przyjdzie link, jak w niego wejdziesz, to wystarczy, że podasz nowe hasło (2 razy) i zaktualizujesz w przeglądarce.
_________________
es­te­ta eks­tra­or­dy­na­ryj­ny

To wprawdzie zbyteczne, ale może jednak.

Naprawdę, nie należy ufać apostołom prawdy. Naprawdę kłamcę zdradza podkreślanie prawdy, jak tchórza zdradza podkreślanie waleczności. Naprawdę wszelkie podkreślanie jest formą skrywania albo oszustwa. Formą narcyzmu. Formą kiczu.
"Oszust", Javier Cercas
 
 
Jachu 
princeps senatus


Posty: 3200
Skąd: Dom-na-Drzewie
Wysłany: 2020-12-03, 18:02   

Przez tę akcję z hasłami nagle dużo osób się logowalo na forum. Tylko kurde nie przekłada się to na ilość postów :>
_________________
Życie to dziwka, czytasz za mało, a potem umierasz //orc [Stary Ork]

Zaginiona to zamknięte środowisko, coś jak oddział zamknięty krążący wokół Czarnej Dziury Szaleństwa, najlepiej nie zwracać uwagi na sens bo on tu rzadko występuje //utrivv [utrivv]

"Finezja perfidii rozumowania ściga się w nich z cyniczną sofistyką" [prof. Waltoś o działaniach PiS dot. wymiaru sprawiedliwości]
 
 
wred 


Posty: 3609
Wysłany: 2020-12-03, 21:53   

goldsun napisał/a:
- imienny adres email
oraz
- IP z którego się logujesz
to już podpada pod dane osobowe.
Jeśli do tego dochodzi jeszcze miasto, to nawet bardzo.
takie dane są w bazie danych, IP ostatniego logowania, miasto można zobaczyć normalnie,
adresy email typu imię i nazwisko są, niewiele ich ale są.
 
 
Trojan 


Posty: 11270
Skąd: Wroclaw
Wysłany: 2020-12-04, 13:58   

to ja poproszę o zmianę maila rejestrowego - na prv wysłać dane ?
 
 
wred 


Posty: 3609
Wysłany: 2020-12-04, 14:41   

No jasne. PM.
 
 
wred 


Posty: 3609
Wysłany: 2020-12-05, 17:55   

Napisałem wczoraj do CSIRT NASK i do home.pl z wyjaśnieniami opisem działań itd...
brak odpowiedzi...

dzisiaj napisałem do UODO to samo...
zobaczymy...
 
 
wred 


Posty: 3609
Wysłany: 2020-12-05, 20:57   

Tak teraz monitoruje emaile, zwrotki itd, i jest masa zwrotek ze względu na obserwowane tematy, a NIEAKTUALNE EMAILE !!

W związku z tym wywalam wszystkie obserwowane tematy, proszę poobserwować sobie ponownie,

Z ROZWAGĄ ! (bez sensu jest obserwować kilkaset tematów, jak co niektórzy...)
I PROSZĘ SPRAWDZIĆ EMAILE, jak ktoś ma w profilu stary email, prosze o PW celem aktualizacji.
 
 
Romulus 
Imperator
Żniwiarz Smutku


Posty: 23109
Wysłany: 2020-12-06, 17:03   

Dostałem. Jutro zmienię hasło. :)
_________________
There must be some way out of here, said the joker to the thief,
There's too much confusion, I can't get no relief.
 
 
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Fahrenheit 451


Powered by phpBB modified by Przemo © 2003 phpBB Group

Nasze bannery

Współpracujemy:
[ Wydawnictwo MAG | Katedra | Geniusze fantastyki | Nagroda im. Żuławskiego ]

Zaprzyjaźnione strony:
[ Fahrenheit451 | FantastaPL | Neil Gaiman blog | Ogień i Lód | Qfant ]

Strona wygenerowana w 0,14 sekundy. Zapytań do SQL: 14