1.8 гигабајти лични податоци!
Буквално треба само да впишете име во Google и ќе добиете пристап до 8.000 документи со купишта доверливи податоци за корисниците: телефонски броеви, адреси, датуми на раѓање…
Токму поради лесниот пристап до стигнување на овие податоци нема да објавиме која компанија стои зад овој пропуст бидејќи со тоа ќе се отвори и можност да се наштети на корисниците.
Ја контактиравме компанијата, ни кажаа дека е грешка во некоја надоградба на сајтот, и за еден ден ја закрпија грешката. Но, Google веќе ги има искеширано страните, односно тие се достапни се додека пребарувачот не ги отстрани.
Факт е дека секоја компанија која се бави со лични податоци на корисници кои се закачуваат на Веб, мора да направи тестирање и проверка на потенцијални грешки при секое надградување и поправање на сајтот пред воопшто да ја стартува надградбата во живо, односно онлајн.
Што ќе се случеше ако не ја исконтактиравме компанијата и да и посочиме на грешката која се поправи само со -Indexes (грешката е што беше овозможено Directory Listing)? Податоците ќе стоеја на отворено за секој да има пристап до нив? Компанијата дури моравме да ја исконтактираме директно, преку лични мејлови на вработени кои ги познаваме, бидејќи не одговорија на првичната порака испратена преку контакт формата која им е поставена на нивниот сајт.
Дополнително, .мк сајтот нема Полиса за приватност. Полисата е задолжителна за секоја сериозна компанија која се бави со кориснички податоци и која ги складира истите на Веб. Полиса за приватност е потребна да им гарантира на корисниците дека нивните податоци ќе бидат зачувани, односно дека компанијата презема одговорност за корисничките податоци.
Застрашувачки е што само 49 од над 14.000 .мк сајтови имаат Полиса за приватност, како што покажа истражувањето на Метаморфозис фондацијата.
Време е .мк и .gov.mk сајтовите да ја сфатат сериозно безбедноста
Сакам да бидам како LulzSec!
Исто, само пред неколу дена, black-hat хакерот Neo Sec објави податоци кои ги украл од сајт на друга македонска компанија. Тој ги објави податоците на Веб за потоа да ги тргне, но веруваме дека многу луѓе имаа пристап до тие податоци бидејќи беа објавени во PasteBin, сервис каде е потребно само да се copy-paste документ и да се соберат сите информации.
Листата содржеше скоро над 1.000 кориснички податоци кои вклучуваа имејл, md5 hash-ирана лозинка и телефонски број. Сигурни сме дека лозинките и имејловите не се совпаѓаат, се чини фали корисничкото име, но сепак, заедно со телефонскиот број, откриваат многу за корисникот.
Тоа што е интересно во случајот е што хакерот е мотивиран од LulzSec и го прави ова „за забава“.
„I translate this and i will say: Why LulzSec hack sony?…. BTW i hack ** for fun! but i will not publish anymore!!! NEVER, but write a text in it.com.mk … I hack ** with SQL Injection! Greetz”, вели Neo Sec, кој потврди дека е од Kosova Hackers Group.
кој се сомневаме дека е од Македонија и покрај што ни одговари на англиски.
Пробивање во сајт со намера да откриеш лични податоци е криминално дело, кражба.
Но, исто така, .мк компаниите мора сериозно да си ја сфатат работата и да си ја превземат одговорноста. Како што се повеќе го користат „облакот“, односно Вебот при работа и при складирање и споделување кориснички информации, така се повеќе ќе треба да превземат одговорност и грижа за корисничките податоци со кои располагаат.
(тестот е напишан во соработка со Zero Science Lab)
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
А бе да се во прашање броеви од кредитни картички, или некои лозинки од тешко достапни места на пример па да разберам да се дига галама, ама не разбирам што се палите ако некој украл од некој сајт лични податоци или цело CV ! Па има еден куп начини со мала скрипта да собереш од нет илјадници лични податоци за 5 мин., од јавно објавени податоци, а да не зборам од социјалните мрежи и други мрежи. Со една скрипта и на http://imenik.telekom.mk ќе соберете стотици илјади лични податоци ! А ако ти требаат сите CV-a од vrabotuvanje.com.mk можеш кога сакаш да се претставиш како работодавач за некоја работа и да ги добиеш сите CV-a.
Значи, ако веќе пишувате дека некој неможе да ви ги заштити податоците, пишувајте за телеком !!! Таму мора да плаќаш за да не ти ги објават личните податоци !!!
Објавување на лични податоци во телефонски именици од страна на телекомуникациски операторИ во МК е стриктно по твоја согласност, согласно закон,… погледни во договорот и ќе видиш дека си се сложил за таа објава.
Решение е да си поднесеш барање за необјавување на лични податоци веднаш по потпишувањето на договорот, право кое ти е гарантирано со закон! А за плаќање, некаде од јануари 2011, со закон е забрането да се наплаќа за не објавување на лични податоци.
Не постојат такви компании доколку не се објават нивните имиња. Се тоа е маркетиншки трик на It.com.mk.. Катастрофа
Сеуште стои фајлот на pastebin(или копија).
Фала на информацијата.
А другата компанија која е? Две се вели во текстот.
Е тоа не знам.. но ако дознам ќе бидите информирани.. :D
"Буквално треба само да впишете име во Google и ќе добиете пристап до 8.000 документи со купишта доверливи податоци за корисниците: телефонски броеви, адреси, датуми на раѓање…"
Ova e how to ? :D
od bezbednost na internet, do strucnosta na mediumi, do strucnjaci za bezbednot se e to BORANIJA! Odgovornosta treba da ja prevzeme kompanijata od koja protekle podatocite i istata da si bara odgovornost od "strucnite" kompanii koi gi implementirale resenijata, bidejki tuka kvalitetnite rabotat za 10e/sat max, a enterprise kompaniiete gi dupnavme od ranenje so nasi pari. HAVAI madammmmmmmmmmmm
Патем, се додека не се објави името на компанијата со факти, текстов е само уште една добра читуља и маркетинг оглас.
Пазете ги податоците.
Океј.
Чекај, сериозни сте????
Нема да ја објавите компанијата бидејќи може да се наштети на корисниците?
Вие ПОМАГАТЕ да се наштети на корисниците на таа компанија штом не им кажувате дека нивните податоци се лесно достапни на интернет.
Бог да чува и да брани, што луѓе ќе бевме. Секаде во светот се прави обратно.
„Секаде во светот се прави обратно.“ Точно, но имаме причина зошто донесовме таква одлука. Секаде во светот компанијата објавува блог пост со објаснување за што се случило, со предупредување на пропустот . Види Sony, DropBox, Gawker Media… Но не пред да се тргнат тие податоци и не пред да се обезбеди дека корисниците не се заштитени. Одговорноста лежи кај компаниите пред се.
Не можам да објавам кој е бидејќи треба ти само да отидеш на Google и си завршил работа. Во другиот случај се работи за хакер, пола сајтови во Македонија ќе попуштат ако некој ги пробие, и сега тоа значи дека треба да ги именувам сите кои се со пропусти. Има .gov.mk сајтови кои имаат пропусти. Зарем треба да им кажеме ете ти сајт оди среди го укради што сакаш?
Македонските компании и .gov.mk сајтови се доволно несигурни да заштитат податоци, за разлика од западните сајтови кои барем се грижат за безбедноста, па нивно криење колку и да е зло е можеби и решение! Насловот кажува доволно. Aко ги идентификуваме ќе значи дека некој ќе може да ги украде податоците пак и пак и пак …
Виктор (системот за коментирање зеза за да се логирам со FB/Twitter)