[sklep]XTRa BIke i dane klientów

[MarcinGoluch]

Witam!

 

Właśnie w moje ręce wpadło coś takiego http://xtrabike.webd.pl/catalog/admin/backups/

Dane ok 2tyś klientów z pełnym asortymentem sklepu!

 

To jest jawna kpina Zero zabezpieczeń przed przeglądaniem ich danych. Za takie coś GIODO pakuje ostrą karę. Sklep został już powiadomiony jestem tylko ciekawy czy coś z tym zrobią!

 

Pozdrawiam i OSTRZEGAM! ! !

[bikebundy]

Chyba nic nie zrobili, bo nadal można sobie pobrać te dumpy z sql'a :-)

Tak to jest jak admin jest d..a i kopie bazy danych wrzuca do katalogu www nie zapodając choćby najzwyklejszego .htaccess'a ;-)

A cała sytuacja faktycznie nieco skandaliczna, ale dość powszechna w naszych realiach - niestety

 

Bikebundy

[tobo]

popatrzcie na to pozytywnie: przynajmniej wiadomo co maja na stanie w towarze i mozna dokonac zamówienia bez obawy ze dostaniemy odmowę

 

a tak poza tym to faktycznie kiepsko dbaja o swoje informacje.

 

z innej strony: kazdy sklep przy zamowieniu zbiera dane o kliencie, fora zbierają dane o klientach i wiele innych stron - jesli chodzi o ochrone danych osobowych to bzdura. na skrzynkę przychodzi mnostwo roznych smieci, do domu rowniez. niby jak mialbym dojsc skąd ktos ma moje dane...

[ukaniex]

Robiłem już zakupy tam gdyż mają szybkie przesyłki i konkurencyjne ceny. A cóż gdyby ktoś się uparł to i z każdego sklepu mógł "pobrać" dane.

[anulkaa]

Robiłem już zakupy tam gdyż mają szybkie przesyłki i konkurencyjne ceny. A cóż gdyby ktoś się uparł to i z każdego sklepu mógł "pobrać" dane.

 

Wyrażenie klucz GDYBY SIĘ UPARŁ.

OK. Na upartych i zdolnych to i czasami największe zabezpieczenia nie pomogą.

Ale to nie oznacza, aby nie zabezpieczać w ogóle!

 

Przykład: drzwi od mieszkania.

Każde mają zamki. Na upartego i zdolnego nie pomogą, ale przynajmniej obcy ludzie Ci się po mieszkaniu nie szwałędają.

[ukaniex]

Heh. Marcinie może sam starałeś się by odnaleźć tę oto bazę ?

[MarcinGoluch]

A wyobraź sobie, że trafiłem na nią całkiem przypadkiem skierowany przez znajomego.

Ale faktycznie wywiad gospodarczy w ramach dopuszczających go przepisów to całkiem przydatna rzecz.

[rymo]

Marcin wez ukryj tego linka.... bo robisz tylko wieksza "promocje"...naglosnienie incydentu to jedno...a promowanie wraz z linkami to drugie. To tak jakbym odkryl sposob wlamania Ci sie do domu...oglosil to...i zamiast prywatnie z Toba porozmawiac..publicznie opublikowal "krok po kroku" jak Ci sie wbic.

Pozdro

[anulkaa]

Do tej pory nic nie zrobili?

Chcą mieć GIODO na głowie rzeczywiście?

Aż dziw bierze, że jeszcze konkurencja nie zawiadomiła odpowiednie organy.

[Arni_King]

Jeżeli ktoś uważa, że dotarcie do tych plików, to tylko poznanie maila, to...Wyrazy współczucia dla klientów- czyli Was!! Potencjalni złodzieje mają teraz dokładne dane dotyczące Waszych adresów, ale nie tylko. Dzięki tym informacjom wiedzą co kupiliście i za ile. Wiedzą na co Was stać i mogą śmiało przypuszczać, że skoro kogoś stać na hamulec za 800pln, tzn. że stać go na inne fajne rzeczy w jego domu. Złodzieje rowerowi dokładnie mogą poznać na czym jeździcie i ile warte są Wasze rowery. Nie mówię już o korespondencji mailowej. TAK WIĘC JESZCZE RAZ WSPÓŁCZUJĘ I ŻYCZĘ, BY NIKOGO Z WAS NIE DOTKNĘŁO TO, CO WYMIENIŁEM POWYŻEJ, BO WTEDY JUŻ TAK FAJNIE NIE BĘDZIE!

 

PS: Jak widać właściciele mają głęboko gdzieś to, że Wasze dane powędrowały w świat. Oby oszczędzanie na częściach nie skończyło się "dopłacaniem".

[verul]

No i zniknelo. Przynajmniej wiekszosc bo zostal jeszcze plik z 2006 zdaje sie.

[anulkaa]

WOW! Po 12 dniach. Raczyłabym sądzić, że to nie po naszych ponagleniach, a bardziej że admin już nie potrzebuje tych plików.

[Ciastkorz]

Ja też tam kupowałem, MarcinGoluch wysłałeś do właściciela maila? Co odpisał?

[verul]

Zawsze mozna im proces cywilny wytoczyc

[Adamicki]

E, dobra a teraz powiedzcie jak się te pliki sql otwiera? A tak na serio, to nie wiem czy autor tematu dobrze zrobił, że zamieścił te linki, może ktoś zły, niedobry i brzydki na tym skorzystał. Moderacja mogłaby edytować posta.

[MarcinGoluch]

Jak dobrze kojarze do 26maja właściciel miał być na wczasach. Pisałem mu maila i info na gg ale zero odzewu.

[thomash]

W bazie danych są tez hasła użytkowników i administracji sklepu, co prawda zaszyfrowane, ale jeżeli jest to jakiś standardowy algorytm to mogliby mieć spore problemy. Ciekawe są też ceny hurtowe części

[J0seph]

wiekszość plików zniknęła.

[MarcinKowalczyk]

Jeszcze 1 pik jest. Jak widać zbytnio im na tym nie zależy...

[wawek]

O ile rzeczywiście brak zabezpieczenia dostępu do tych plików jest niedopuszczalnym błędem admina tamtej strony za co powinien normalnie wylecieć, to dużo poważniejsze konsekwencje niesie ze sobą postępowanie forumowicza MarcinGoluch.

 

Wśród uczciwych ludzi zajmujących się zabezpieczeniami oprogramowania jedynym dopuszczalnym zachowaniem w takiej sytuacji po odkryciu "luki" jest powiadomienie właściciela i ewentualnie odpowiednich organów: GIODO, bez upubliczniania informacji o błędzie do czasu jego usunięcia, a nie podać na wielkim forum bezpośredni link do plików, a dokładny sposób dostępu opisuje się dopiero PO załataniu konkretnej "dziury". Nic dziwnego że adminowi wcale się nie śpieszy z usunięciem tych plików, teraz kiedy wszyscy zainteresowani już je mają i pewnie są one w wielu miejscach w necie to musztarda po obiedzie.

 

Nie sądzę żebyś był "dzieckiem neostrady" i nie miał pojęcia o takich rzeczach więc nie wiem czy nie wiedziałeś o tym jak należało postąpić, czy nie zdawałeś sobie sprawy z konsekwencji wstawienia tych linków czy na rękę było Tobie upublicznienie tych plików pod przykrywką dzielnego rycerza dbającego o bezpieczeństwo nas wszystkich. Dla naszego bezpieczeństwa nie należało wstawiać tych linków. A za ewentualne wykorzystanie tych danych przez "złych" ludzi jednakową odpowiedzialność ponosi admin który nie zabezpieczył plików i osoba która publicznie podała sposób dostępu do nich.

[INsejn]

A za ewentualne wykorzystanie tych danych przez "złych" ludzi jednakową odpowiedzialność ponosi admin który nie zabezpieczył plików i osoba która publicznie podała sposób dostępu do nich.

 

Osoby, które miałyby wykorzystać te dane na pewno już o wiele wcześniej o tym wiedziały(odpowiednie programy do skanowania) zanim pojawił się ten temat. A według prawa odpowiedzialność ponosi jedynie admin, który doprowadził do wypłynięcia danych osobowych. Marcin działał w dobrym celu i nic mu nie można zarzucić. Przynajmniej teraz osoby, które robiły zakupy w tym sklepie powinny uważać na oszustów. A tak gdyby nie ten temat to nawet by o tym nie wiedziały.

[Arni_King]

Wawek zgadzam się z Tobą odnośnie wagi tych plików, ale za to skoro marcingoluch powiadomił sklep, a oni mieli to głęboko w poważaniu, to według mnie jest jasny dowód tego, jakie jest podejście właściciela do tematu "klientów". Oni nic nie stracą na tym, że te dane wypłynęły, ale za to klienci mogą się realnie obawiać, bo rzeczywiście jest czego. Być może teraz "źli ludzie" nie będą musieli czekać na "ofiarę" w Lasku Kabackim, na Plantach czy gdzie tam jeszcze kradną rowery. Teraz wystarczy podjechać pod przykładowy adres i poczekać, aż właściciel sam podjedzie na swoim sprzęcie, który z "chęcią odda" w ręce miłych-łysoli. Głupota ludzka nie zna granic, ale zaniedbania są jeszcze gorsze. Według mnie winę za całość ponosi przede wszystkim admin i właściciel- marcin nie ponosi żadnej odpowiedzialności. Pozdrowerek ALL

[MarcinGoluch]

Zanim post pojawil się na forum poszła seria maili odemnie i kilku innych osób. Problem w tym, że stało się to prawdopodobnie w pierwszym dniu urlopu o którym pisał właściciel na stronie.

 

Odpowiadam Wawkowi:

- nie jestem dzieckiem neo

- zdaje sobie sprawe z konsekwencji ponieważ pracowałem w firmie któa była centrum zapasowym np dla firmy NextiraOne(Zbrojne ramie Motorolli, zbroją też m.in. centrale Alcatel-Lucent), kilku banków i operatorów telekomunikacyjnych - miliony danych osób prywatnych, firm i instytucji. Wierz mi przejście przez GIODO to droga przez koszmar. Kto nie miał do czynienia bezpośrednio z Panami w czarnych uniformach to nie ma pojęcia w czym rzecz.

 

Czy czuje się winny zajścia. Hmmm może w malutkim ułamku. Z drugiej strony dostało mi się po głowie za to że

"chciałem coś posprzątać a nie zjadłem śmieci".

 

Człowiek który prowadzi sklep ma ładną witrynę ale syf na sklepie. Wychodzi na to że nie ma totalnego pojęcia o zabezpieczeniach. Nie mówie tu o jakiś wymyślnych szyfrach tylko podstawowym zabezpieczniu danych swoich klientów.

 

Równie dobrze mógłby te listy wystawić na sprzedaż na allegro. Pewnie kilka firm handlujacych danymi by sie znalazło.

 

Pozdrawiam!

Marcin

[Paviarotti]

A to ja mam takie laikowe pytanie - czy sprawa tyczy się też danych użytkowników, którzy kupili od nich coś z allegro?

Bo jakby nie patrzył to identycznie robi się wtedy u nich zakupy tyle, że przez allegro.

[rymo]

Sprawdzalem, nie Osobiscie kupilem od nich poprzez allegro..nie przez sklep. Nie widnieje w bazie..wiec luz