usunięty temat - Afera VeridGate - UWAGA WYCIEK DANYCH!!!

Miejsce gdzie możemy wpływać na kształt i sprawy bieżące forum

Moderatorzy: moderatorzy2014, moderatorzy

Awatar użytkownika
Rurek
Posty: 16419
Rejestracja: środa 10 mar 2010, 15:21
Lokalizacja: AIP ENR 5.5 - AAA 153 :-)

Re: usunięty temat - Afera VeridGate - UWAGA WYCIEK DANYCH!!

Post autor: Rurek »

Lee pisze:No co, moje dane poszły w obieg i nie mogę być zły?
A możesz być zły nikt Ci nie broni. Tak samo jak ja jestem zły że moje dane wyciekły jak i zostały upublicznione prywatne niepubliczne moje rozważania.

Lee pisze:A moderatorzy to mogą przeklinać bez cenzury i jest ok...
A gdzie ja tak przeklinam na forum...poproszę link? No bo chyba nie masz na myśli przeklinania w prywatnej rozmowie między dwiema osobami, co nie? Bo dzisiaj tak rozmawiałem i przeklinałem w wielu miejscach, i co? Skoro przeklinałem w rozmowie z kimś to pewnie czułem się na tyle swobodnie że mogłem sobie na to pozwolić... no chyba że znowu ktoś podsłuchiwał i zaraz gdzieś rozżalony napisze że podsłuchał jak to rurek o nim przeklina?
Widzisz subtelną różnicę już?

Lee pisze:No ale niech ci będzie, co ja taki szaraczek mam do gadania...
To nie chodzi o to czy mi "będzie czy niebędzie" tylko o regulamin forum, netykietę i przyzwoitość... no wieź jeszcze raz przeczytaj swój edit2 i zastanów się czy przystoi kulturalnemu człowiekowi tak się publicznie wypowiadać. To nie ma znaczenia czy szaraczek czy "prezydęt" tak się wypowie. Chamstwo to chamstwo.
sogun pisze:cenzura jest tu zupełnie niepotrzebna kolego Rurek niestety Lee ma racje
Znaczy ma rację w swoim edit2 do którego się odniosłem z odpoczynkiem od forum? Znaczy się uważasz tak jak Lee że "należy się lincz temu sk$%%nowi który spowodował wyciek bazy" ?
No sorry, jestem innego zdania.
infekcja FPV postępuje w zastraszającym tempie...
buras1
Posty: 104
Rejestracja: poniedziałek 14 lip 2014, 21:53
Lokalizacja: Lubliniec

Re: usunięty temat - Afera VeridGate - UWAGA WYCIEK DANYCH!!

Post autor: buras1 »

Ech. Nieźle. Nie wchodziłem jakiś czas na Forum, sprawy zawodowe nie pozwalały, za to e-maila sprawdzam regularnie. Szkoda wielka, że nie poszły na maile forumowiczów informacje o tym klopsie. Nie jestem z tego wydarzenia zadowolony, bo w privach było sporo informacji wykorzystywanej do komunikacji w dziale handlowym. Nie mam pretensji o samą wpadkę, pobranie bazy przez oko i pieron wie kogo jeszcze... zdarza się. Nie pierwszy raz w historii internetu i nie ostatni dzieją się takie rzeczy. Żaden a Adminów, przecież nie zrobił tego specjalnie. Mam nadzieję, że nie będzie już takich wydarzeń, a jeśli nie daj Boże się przytrafi, to liczę na naprawienie błędu nieupublicznienia informacji o zdarzeniu... Bo tylko o to mam pewien żal. Przeciwny jestem publicznemu biczowaniu pobierających, to przecież nic nie wnosi do sprawy. Wniosło by pewnie zgłoszenie właściwym organom, bo to one są władne rozstrzygnąć czy miało miejsce potencjalne wykorzystanie tych danych... Mimo że to działanie po fakcie, mogło by zapobiec rozpowszechnianiu tych danych. Przecież są tam adresy zamieszkania, numery kont bankowych, adresy e-mail... To dane o wysokiej wartości finansowej nie tylko dla przestępców, ale i firm marketingowych...
Dobrym początkiem naprawienia potencjalnych szkód i naprawy nadszarpniętego zaufania, było by sądzę informowanie przez Administrację o poczętych krokach i rozwoju sytuacji.
Nauka w toku...
fcitpp
Posty: 17
Rejestracja: poniedziałek 23 lut 2015, 23:17

Re: usunięty temat - Afera VeridGate - UWAGA WYCIEK DANYCH!!

Post autor: fcitpp »

Jestem w kropce. Oczywiście szacun dla administracji, że poinformowała o całej sprawie (mam nadzieję że nie dlatego iż temat wypłynął sam).

Podejrzewam, że większość z nas nie ma się czego obawiać. Ale jak sami piszecie, niektórzy mieli na PW dane powszechnie uważane za poufne i świadomość, że ktoś ma teraz do nich dostęp czyni całe zamieszanie mocno niekomfortowym. A dlaczego jestem w kropce? Bo przypominam sobie niedawne i jakże imponujące śledztwo użytkowników tego forum w sprawie pewnego nieuczciwego usera. Nagle okazało się, że niektórzy pozapisywali sobie jego awatar, ktoś tam wytropił go na innym forum, a jeszcze ktoś inny odczytał dane EXIF z publikowanych przez niego zdjęć. Wszystko fajnie, bo działo się w słusznej sprawie. Pytanie jakie zdolności, pomysły i zamiary mają ci, którzy ściągnęli rzeczoną bazę danych? Tłumaczenie, że stało się to przez przypadek do mnie nie trafia. Ale nawet jeśli faktycznie wpisanie w przeglądarkę adresu forum skutkowało niezamierzonym rozpoczęciem pobierania to moją pierwszą reakcją byłoby: "o kurna, jakiś wirus, trojan czy inny shit mi się ściąga! PRZERYWAM!" Tymczasem tutaj mamy do czynienia ze świadomym pobraniem, otwieraniem i przeglądaniem tej bazy. Po co? Raczej nie dla przyjemności lektury. Nie mówiąc o tym, że zapewne trzeba było wiedzieć, jak to odczytać bo plik *.doc to nie był.

Uważam więc, że administracja powinna zgłosić sprawę (chociażby po to żeby zabezpieczyć się przed roszczeniami jakiegoś wrażliwego usera) i zaszachować tych, którzy pobrali bazę np. groźbą ujawnienia ich danych. To tylko moje misianie.
bajer0
Posty: 449
Rejestracja: poniedziałek 04 sty 2016, 20:13
Lokalizacja: Łódź

Re: usunięty temat - Afera VeridGate - UWAGA WYCIEK DANYCH!!

Post autor: bajer0 »

krall pisze:Wróciłem do komputera.
Informacja w nagłówku i PW zgodnie z obietnicą poszła.
Przepraszam, że tak późno.
Czy coś jeszcze możemy zrobić na tą chwilę?
Moim zdaniem na ten moment można temat zamknąć. Dziękuję za poważne podejście do tematu i postąpienie zgodnie z oczekiwaniami użytkowników. Na pewno nie łatwo jest zamieszczać takie informacje, ale to jedyna słuszna możliwość w takiej sytuacji. Zapewne mnie, jak i kilka innych osób interesuje techniczny aspekt przechowywania haseł aczkolwiek wątpię aby ktokolwiek tutaj zdecydował się podać czysto techniczną informację (po co komuś ewentualnie ułatwiać zadanie w przy zabawie z naszymi hasłami).

Jeżeli chodzi o żądnych krwi - nie ma sensu udostępniać publicznie listy osób które pobrały plik ze zrzutem bazy gdyż możecie ich wyłuskać jedynie na podstawie adresu IP (wiadomo jak to wygląda w praktyce).
Druga sprawa to na ile lista adresów "podejrzanych o pobranie bazy" ma się do stanu faktycznego. Padło iż raz została pobrana z adresacji sieci publicznej TVN, kilka postów wyżej pojawił się kolega pewnie pracujący dla TVN, który potwierdza, że z sieci firmowej łączył się w okresie okna serwisowego ze stroną forum, ale bazy nie pobrał. False-positive?
Albo kolega nas oszukuje (w co wątpię, bo i po co ?) albo dane wyciągnięte z logów nie są wiarygodne.

Co do publicznego linczu adminów, uwierzcie mi, że na pewno zapamiętają tę sytuację na długo i pewnie nigdy w życiu nie doprowadzą już do podobnej sytuacji - wiem z doświadczenia jak człowiek reaguje w podobnych sytuacjach. Wszyscy jesteśmy tylko ludźmi.

Pozdrawiam.
Ostatnio zmieniony piątek 11 mar 2016, 22:49 przez bajer0, łącznie zmieniany 1 raz.
Awatar użytkownika
zefir
Posty: 46
Rejestracja: poniedziałek 19 paź 2015, 19:13
Lokalizacja: Poznań

Re: usunięty temat - Afera VeridGate - UWAGA WYCIEK DANYCH!!

Post autor: zefir »

nic nowego się nie pojawi na dziś, zamykamy :)
Nauka In Progress... :)
ZMR 250 - CC3D, EMAX 1806
Turnigy 9XR + FrSky
oko
Posty: 919
Rejestracja: wtorek 22 paź 2013, 10:48
Lokalizacja: Warszawa

Re: usunięty temat - Afera VeridGate - UWAGA WYCIEK DANYCH!!

Post autor: oko »

bajer0 pisze:Albo kolega nas oszukuje
Nie no, skądże! Jest 15 sprawiedliwych (a może nawet i 21) - nikt nie zajrzał! Absolutnie!
fcitpp pisze: Ale nawet jeśli faktycznie wpisanie w przeglądarkę adresu forum skutkowało niezamierzonym rozpoczęciem pobierania to moją pierwszą reakcją byłoby: "o kurna, jakiś wirus, trojan czy inny shit mi się ściąga! PRZERYWAM!"
Jaki znowu wirus? Może zika? Ściągnięcie pliku to jedno a jego wykonanie to drugie. Dbajmy o świadomość techniczną. Ja się nie boję, mogę ściągnąć dowolny plik i go obejrzeć (binarnie bo obrazków niemiłych nie chcę).
Awatar użytkownika
kamilborkowski
Posty: 2183
Rejestracja: niedziela 02 lut 2014, 14:43
Lokalizacja: Opole

Re: usunięty temat - Afera VeridGate - UWAGA WYCIEK DANYCH!!

Post autor: kamilborkowski »

Administracja już wykonała swoje kroki i nareszcie mam pozwolenie na wypowiedzenie się na temat tego co zostało zrobione i co wiemy.
Mamy potwierdzone 16 ściągnięć bazy, z czego 14 to użytkownicy naszego forum - wszyscy zostali zidentyfikowani (co do adresu z sieci TVN - nie, to nie Rurek i nie snujcie domysłów). Zalecałem Krallowi nie publikowanie nicków użytkowników. Z tego co wiem to Krall wyśle do nich osobne wiadomości.
W zrzucie bazy były dane, które macie podane w profilach, posty jawne i niejawne oraz nieusunięte przed zrobieniem zrzutu prywatne wiadomości.
Hasła są szyfrowane MD5 i solone. Generalnie to oznacza że dekodowanie ich na masową skalę jest nieopłacalne dla nikogo. Zawsze jednak zaleca się w takich sytuacjach zmianę hasła przez użytkowników oraz zmianę haseł wszędzie tam gdzie jest używane takie samo. Zaleca się też przelogowanie na wszystkich urządzeniach gdzie jesteśmy lub byliśmy zalogowani do forum.
Co do samego ściągnięcia - nie wszyscy użytkownicy zrobili to świadomie i są w stanie w ogóle odczytać zawartość bazy danych więc nawet jeśli ktoś się tutaj przyznał nie uznawajcie tego za złą wolę - serio.
fcitpp
Posty: 17
Rejestracja: poniedziałek 23 lut 2015, 23:17

Re: usunięty temat - Afera VeridGate - UWAGA WYCIEK DANYCH!!

Post autor: fcitpp »

oko pisze:Jaki znowu wirus? Może zika? Ściągnięcie pliku to jedno a jego wykonanie to drugie. Dbajmy o świadomość techniczną. Ja się nie boję, mogę ściągnąć dowolny plik i go obejrzeć (binarnie bo obrazków niemiłych nie chcę).
Dbajmy o wzajemne zrozumienie. Chodziło mi o to, że każdy zwykły użytkownik widząc, iż próba wejścia na stronę forum kończy się czymś tak niecodziennym, jak rozpoczęcie pobierania nieznanego pliku, zareagowałby zdziwieniem i próbą odzyskania kontroli nad tym co robi przeglądarka. Tymczasem niektórzy ze spokojem pobrali i zajrzeli do środka.

Koniec off topa z mojej strony.
Awatar użytkownika
pawelsky
Posty: 9749
Rejestracja: środa 19 mar 2014, 02:03
Lokalizacja: Polska
Kontakt:

Re: usunięty temat - Afera VeridGate - UWAGA WYCIEK DANYCH!!

Post autor: pawelsky »

krall pisze:
Marciniasty pisze:Potwierdzam do mnie też doszła odpowiedź od Keri .
Kurcze, coś namieszałem z ta wysyłką :evil:
Tak to jest jak się działa pod presją
Tak na przyszlosc - tego typu masowy mailing robi sie uzywajac BCC wtedy nie bedzie problemu z odpowiedziami do wszystkich jak ta od Keri.
Kosmodron
Posty: 49
Rejestracja: sobota 02 maja 2015, 14:25

Re: usunięty temat - Afera VeridGate - UWAGA WYCIEK DANYCH!!

Post autor: Kosmodron »

nie wiem czy to ważne ale dostałem korespondencję na PW która nie była kierowana do mnie
Awatar użytkownika
zefir
Posty: 46
Rejestracja: poniedziałek 19 paź 2015, 19:13
Lokalizacja: Poznań

Re: usunięty temat - Afera VeridGate - UWAGA WYCIEK DANYCH!!

Post autor: zefir »

Kosmodron pisze:nie wiem czy to ważne ale dostałem korespondencję na PW która nie była kierowana do mnie
Takie wiadomości dawaj do moderatorów albo adminów na PW.
Już nie ma co karmić sytuacji :)
Nauka In Progress... :)
ZMR 250 - CC3D, EMAX 1806
Turnigy 9XR + FrSky
Awatar użytkownika
haczy
Posty: 101
Rejestracja: niedziela 31 sty 2016, 10:27
Lokalizacja: Warszawa

Re: usunięty temat - Afera VeridGate - UWAGA WYCIEK DANYCH!!

Post autor: haczy »

Początkowo postanowiłem nie wypowiadać się w tym temacie, jednak wpienia mnie wyładowywanie agresji na koledze oko i przytaczanie kretyńskich argumentów, że to niekoleżeńskie, nieetyczne etc.
Na początek powiem Wam kim jestem i czym się zajmuję. Jestem z wykształcenia informatykiem, specjalistą od sieci komputerowych i serwerów. I to nie mam dyplomu szkoły gotowania na gazie, tylko papiery warte coś więcej. Pracuję w dużej korporacji jako główny administrator oraz specjalista od bezpieczeństwa informacji. Pełnię też funkcję administratora bezpieczeństwa informacji i jestem imiennie zgłoszony do GIODO. Na co dzień zajmuję się tematyką taką, jak opisana tutaj.
W punktach chyba będzie mi najłatwiej, więc do rzeczy:
1. Kolega oko nie zrobił nic złego. Pobrał publicznie dostępny plik. Publicznie dostępny, więc nie przełamał żadnych zabezpieczeń. Jak najbardziej wolno mu było ten plik pobrać, tak jak wolno pobierać z netu multimedia, nawet te objęte prawami autorskimi, jeśli ktoś je upublicznił.
2. Winę za upublicznienie danych ponosi ich administrator i tylko on.
3. Gdybym odświeżył stronę w odpowiednim momencie i zobaczył ten plik, sam bym go pobrał.
4. Notatnik jest takim samym narzędziem jak palec czy, nomen omen, oko. Nie jest wyspecjalizowanym narzędziem dostępnym dla nielicznych po zapłaceniu pierdyliarda dolców i nie wymaga jakiejkolwiek wiedzy by z niego skorzystać.
5. Kolega oko wykonał kawał dobrej roboty analizując co wyciekło i informując o tym zainteresowane osoby, czyli nas. Gdyby miał nieczyste intencje, z pewnością nie poinformował by o tym na forum, tylko obrobił dane, w jakich posiadanie wszedł, i sprzedał na darknecie. Pomyślcie dobrze, czy macie pewność, że gdyby nie on, administracja w ogóle by nas poinformowała?
6. Administracja działała za wolno. Należało poinformować nas niezwłocznie, nawet nie mając pełnych informacji na temat skali wycieku. "Przepraszamy, zmieńcie hasła, co się stało wyjaśnimy na dniach i damy znać". Usuwanie tematu oka i tłumaczenie, że chcieli poinformować inaczej jest śmieszne, a co gorsza również niebezpieczne.
7. Osoby guzik wiedzące o tematyce bezpieczeństwa proszę o rozpoczynanie swoich postów od słów "Nie znam się ale się wypowiem". Łatwiej będzie odsiać bzdety od wypowiedzi coś wnoszących.
8. Na Miłość Boską, przestańcie bawić się w sądy i prawników i przytaczać paragrafy, których nawet nie rozumiecie. Od ścigania są organy ścigania. Macie podejrzenie popełnienia przestępstwa? Nie piszcie bzdur tylko lećcie na psy zgłosić zawiadomienie i dajcie pracować służbom. Jeśli znajdą winnych, to ich ukarzą.
9. To samo tyczy się sprawy z kolegą Zientkowskim. Darujcie sobie ten lincz. To sprawa między rastem a Zientkowskim. Mają coś do siebie, to niech zgłoszą gdzie trzeba. Forum nie jest od sondowania wyroków, obrażania, oskarżania i wynajdywania swoich zdjęć i adresów w necie. Zastanowiliście się przez chwilę do czego możecie doprowadzić? Jeśli ktoś podekscytowany wątkiem na forum pojedzie gdzie trzeba, spuści łomot jednemu czy drugiemu to co wtedy będzie? Zdaje się że współwinni podżegania, nie? Gimbaza wrzeszcząca na podwórku, tyle Wam powiem. Wstyd, że zielone nicki angażują się w takie sprawy, od Was spodziewałbym się tonowania emocji, a nie ich nakręcania.
10. Generalnie to fajne forum, wiele się z niego nauczyłem i w wielu kwestiach wiedza tu zawarta mi pomogła. Fajnie, gdyby pozostało fachowym portalem, wolnym od internetowego hejtu. Adminom życzę jak najlepiej, zalecam korzystanie z fachowej pomocy i zaufanych firm, nie krzaków i kolegów z podwórka.
11. Wpadka zdarzyć się może każdemu. Sam nie raz popełniłem w pracy błąd, który kosztował utratę jakiś danych. Każdy, podkreślam to, KAŻDY informatyk popełnia błędy. Bo nie ma ludzi nieomylnych, w żadnych branżach. Grunt, to z pokorą się przyznać i jak najszybciej naprawić.

Amen. Dla mnie temat do zamknięcia ze względu na wywoływanie złych emocji i wypisywanie przez niektórych takich bzdur, że aż wstyd. Chyba już wszystko zostało powiedziane.
DronNOOB

Re: usunięty temat - Afera VeridGate - UWAGA WYCIEK DANYCH!!

Post autor: DronNOOB »

Sprawdziłem folder "pobrane" i nie ma bazy na szczęście :D, na wszelki wypadek posuwałem wszystkie pliki pobrane w tym okresie.
W tej sytuacji najdziwniejsze jest to, że sami zachęcaliście w dziale "witam" pisać "prawdziwe" informację a bazę wystawiacie do pobrania dla wszystkich. Pomijam fakt, ze baza nie jest zgłoszona do GiDo.
Mi jest obojętnienie czy osoba z która dyskutuje o bateriach Li-Po nazywa się Krzysiek, Wojtek czy Mr.Bin. Do poprawnego funkcjonowania forum te informację ni do czego nie są potrzebne. Fajne forum, ogrom wiedzy na tematy związane z RC, sporo ciekawych ludzi znających się na rzeczy. Ale przyłóżcie się trocha. Kupcie licencje IPB migracja jest prosta, certyfikat https. Nie ma kasy - zróbcie zrzutkę. I pilnujecie tego to nie jest zabawa w samolociki to są wrażliwe dane osobowe.

p.s też mam w PW wiadomości nie kierowane do mnie z 11.03. 2016
Awatar użytkownika
krall
Posty: 3151
Rejestracja: poniedziałek 01 lut 2010, 10:00
Lokalizacja: Kartuzy
Kontakt:

Re: usunięty temat - Afera VeridGate - UWAGA WYCIEK DANYCH!!

Post autor: krall »

Ze swojej strony napiszę, że wnioski zostały wyciągnięte i taka sytuacja już więcej się nie powtórzy.
Jak trochę ochłoniemy to wybierzemy odpowiedni hosting, osobę(y) odpowiedzialną na przeniesienie i prawdopodobnie żeby mieć z głowy to co nieuniknione: nowy, mam nadzieję ostateczny, silnik.
O działaniach będziemy Was na bieżąco informować.

W tym wątku chyba zostało już wszystko powiedziane. Dziś wieczorem go zamknę.

Przy okazji dziękuję wszystkim za wyrozumiałość, rady i propozycję pomocy.
Część osób z listy pobrań bazy do których posłałem PW - odpisała i zapewniła o usunięciu pliku bazy.
pozdrawiam
Krzysztof
http://www.fly.kartuzy.com.pl
Awatar użytkownika
DzikuVx
Posty: 322
Rejestracja: niedziela 26 kwie 2015, 21:38
Lokalizacja: Szczecin / Berlin

Re: usunięty temat - Afera VeridGate - UWAGA WYCIEK DANYCH!!

Post autor: DzikuVx »

Miałem nic nie pisać, ale jakoś po lekturze tego tematu i super mądrych wypowiedziać w stylu "nie znam się, to się wypowiem", postanowiłem napisać jednak w temacie parę słów, bo takiego steku bzdur jak tutaj dawno nie czytałem.

1 - W okolicach 12 w poniedziałek wchodzę sobie forum, a tam forum brak, jest tylko plik w wszystko mówiącej nazwię db_cośtamcośtam.zip
2 - Jako osoba od dobrych 16 lat w IT i w pewnym momencie zajmująca się bezpieczeństwem już widzę, że jest wyciek danych. Nie z powodu włamania, ale po prostu, osoba odpowiedzialna za przenoszenie forum na nową maszynę dała ciała i udostępniła cały zrzut bazy.
3 - ocena szkód, czyli pobieram plik, rozpakowuję i sprawdzam co tam jest. A nóż widelec jakieś bzdury. Niestety nie, cały zrzut bazy danych. Tyle dobrego, że hasła zahashowane. Lepsze MD5 niż nic, dobrze, że mam unikalne hasła, więc nic mi to nie zrobi
4 - szukam w WHOIS właściciela domeny, piszę maila z informacją o sytuacji
5 - powiadamiam znajomych którzy mogą mieć kontakt telefoniczny do adminów. Dwóch z nich ma numer telefonu, dzwonią
6 - właściciel domeny 7 minut po moim mailu odpowiada, że już się tym zajmuje
7 - plik usuwam, idę sobie na lunch

I jak teraz czytam co to mądre posty w stylu "na policję tych co pobrali" to tylko pukam się w głowę tak się zastanawiam, czy następnym razem w ogóle warto i czy nie byłoby lepiej udać, że nic się nie stało. Bo znów ktoś kogoś będzie próbował linczować w imię głupoty

I jeszcze jedna sprawa: dla tych, co mówią, że dobrze, że admini poinformowali. Ja niestety nie popieram tego optymizmu i podziwu. Incydent miał miejsce w poniedziałek, w piątek wieczorem zostały wysłane wiadomości. 5 dni po wystąpieniu incydentu. Gdyby tam były jakieś prawdziwie poufne dane, przez 5 dni moglibyście nie mieć nic na kontach bankowych. O takich rzeczach informuje się NATYCHMIAST. Nie 5 dni później.

Więc jeszcze raz do wszystkich "ekspertów" prawa i bezpieczeństwa IT: nie znasz się? Siedź cicho, bo narażasz się na ośmieszenie
Zablokowany