Drogi użytkowniku! Wykryłem, że korzystasz z AdBlocka. Nie zamierzam Cię blokować, gdyż jest to nie równa walka, zatem proszę Cię. Proszę Cię o to byś wyłączył AdBlocka w mojej domenie.
Wykop… Portal wszystkim znany, z ostatniej wpadki wyciekowej. Portal znany wśród znających temat jako ten, który nie potrafi zabezpieczyć danych. Portal, który zapomniał co to hasło roota w MySQL. Portal który niewie, że testowych serwerów nie wpina się do publicznego dostępu z zewnątrz. Mógłbym tak wymieniać dalej ale nie to jest ważne. Ważne jest to, że Wykop to portal który popełnił kolejną wpadkę, niczego się nie nauczył na poprzedniej – wymienił się z naszą-klasą informacjami, przez co złamał swoją własną politykę prywatności.
Wykop niczego się nie nauczył…
Jak widać Wykop niczego się nie nauczył po swojej ostatniej wpadce. Kompletnie niczego. Pomijając to, czym była poprzednia wpadka, że użytkowników nie poinformowali itd. Nie to jest elementem tego artykułu. Elementem jest dziwna akcja – wymiana z Naszą-Klasą e-mailami (jak się później okazało ich hashami). Dlaczego dziwna? Ponieważ jak twierdzi KWP (lub KGP, nie pamiętam) – “hakerzy” którzy “obeszli zabezpieczenia” zostali zatrzymani, i “wszystkie kopie bazy danych zostały zabezpieczone”.
Oczywiście słowa w cudzysłowie to te z którymi się nie zgadzam. Hakerzy z nich żadni, każdy może spróbować się połączyć, zabezpieczeń których nie ma nie da się obejść, a pewności, że baza nie została gdzieś skopiowana nie ma. Ehh, znowu zszedłem z tematu…
Wykop współpracuje z NK
Dla mojego dobra! Oto mail jaki otrzymałem od Naszej-Klasy.
Szanowny Użytkowniku,
Z informacji przez nas posiadanych, a udostepionych nam na podstawie
porozumienia przez serwis Wykop.pl wynika, że dane dotyczące korzystania z
Pani/Pana konta w portalu mogły wpaść w niepowołane ręce. Choć nie istnieje
bezpośrednie zagrożenie utraty dostępu do Pani/Pana konta to w trosce o
bezpieczeństwo Pana/Pani danych nasz zespół zmienił hasło dostępu do
Pana/Pani profilu w portalu Nasza-klasa.pl.W celu odzyskania hasła proszę wejść na stronę główną serwisu
Nasza-klasa.pl i skorzystać z opcji “Nie pamiętasz hasła?”.
Następnie prosimy postępować zgodnie z instrukcjami dotyczącymi
odzyskania hasła.Sugerujemy, aby Pani/Pana nowe hasło było inne niż dotychczasowe, co wpłynie
na zwiększenie bezpieczeństwa Pani/Pana konta.W przypadku wystąpienia jakichkolwiek trudności prosimy kontaktować się z
Działem Obsługi Użytkownika wyłącznie za pomocą formularza kontaktowego
dostępnego na stronie: http://nasza-klasa.pl/support.Dziękujemy
Zespół Portalu Nasza-klasa.pl
Z tego miejsca pragnę pogratulować naszej-klasie tego maila – gratuluję, że nie umieściliście tam linka do formularza o którym mowa – mielibyśmy falę ataków phishingowych. Ten mail zachęcił mnie do poszperania w tej sprawie i z oficjalnego bloga Wykopu dowiedziałem się, że (fragment):
Na podstawie umowy zawartej między NK a Wykopem, o której zgodnie z prawem poinformowaliśmy GIODO, potencjalnie zagrożeni użytkownicy Naszej Klasy, którzy posiadają konto na Wykopie, zostali poproszeni o zmianę hasła.
Nasze działania z NK nad dodatkową ochroną danych zostały podjęte jeszcze zanim sprawcy zostali namierzeni przez Policję, a skradzione kopie bazy danych zabezpieczone.
W celu uniknięcia prób wykorzystania faktu wysyłania informacji do użytkoników NK nie mogliśmy wcześniej o tym poinformować oficjalnie. To standardowa procedura w takich przypadkach.
To miło, że poinformowali GIODO. Ale nikt mnie nie pytał o pozwolenie na udostępnienie mojego adresu e-mail (wiem, że udostępnili tylko jego hash, w tym przypadku miło byłoby chociaż poinformować przed faktem). Ja wiem, że to dla mojego dobra. Ale potrafię samodzielnie zmienić hasło w zagrożonych serwisach gdy dowiedziałem się o wycieku. Nie muszą dbać o to za mnie. Mogliby raczej napisać skrypt do auto-zmiany ;) To niezbyt fajnie, ze podjęli działania przed namierzeniem przez policję skoro o wszystkim dowiadujemy się jak zwykle po fakcie (dobrze, że nie pół roku). Kopie bazy danych zabezpieczone? Ale nie można mieć pewności, że wszystkie. Niech nie kpią sobie. Co do ostatniego, rozumiem, że nie mogli poinformować o tym, że maile zostaną wysłane, bo spowodowało by to falę ataków phishingowych. Ale poinformować o współpracy mogli.
Cała akcja jest niezgodna z ich polityką prywatności, nawet jeśli wystąpiła wymiana samych hashy, gdyż polityka ta stanowi, że:
Podczas rejestracji w serwisie wymagamy podania adresu email. Nie udostępniamy danych osobom trzecim, nie rozsyłamy treści reklamowych.
Podsumowując
Uważam, że Wykop niczego się na tym nie nauczył. Kolejny raz jakaś bezsensowna akcja siejąca zamęt, niedoinformowanie i tłumaczenie się po fakcie. Do tego dochodzi złamanie ich własnej polityki prywatności co już ogólnie jest strzałem w kolano po ostatnim failu jaki popełnili. NK też nie ma lekko bo po wpadce ze Śledzikiem raczej nie zadziała to na ich plus. Osobiście gdyby nie to, ze Wykop dosyć lubię, dowiaduje się tam ciekawych rzeczy, lubię wykopywać ciekawe linki, czasem skomentować skasował bym tam sobie konto. Bo tego już za wiele. A i jeszcze jedno – osobiście nie toleruję komentarzy typu “zdarza się każdemu”, “rozumiemy Was”, “nic się nie stało” – one stanowią tylko przyzwolenie na takie akcje. A Wykop powinien się choć trochę nauczyć.
A co wy o tym sądzicie? Napiszcie swój komentarz :)
Liczba odsłon: 26 843
Subskrybuj RSS
