GIODO apeluje: nie korzystajcie z danych z wycieku + czy było włamanie?
Sprawa niezachowania zasad bezpieczeństwa przy przetwarzaniu danych ubiegających się o staż w banku PeKao wciąż jest aktualna (por. Jak bank przechowywał dane osób ubiegających się o praktyki i staże). Tym razem Generalny Inspektor Ochrony Danych Osobowych wystosował do internautów apel, by nie rozpowszechniali pobranych danych. Wcześniej rzecznik banku twierdził, że po sprawdzeniu numerów IP internautów, którzy takie dane pobrali, bank będzie kierował sprawy do prokuratury. Moim zdaniem nie ma podstaw do uruchamiania procedury karnej przeciwko osobom, które dane pobrały, ale zgadzam się z GIODO, że należy szanować godność ludzką oraz prawo do prywatności. Oczywiście uważam, że dalsze publikowanie pobranych danych jest działaniem nagannym.
Cóż wiemy? Wiemy, że "wyciekło" około 3 tys dokumentów. Wiemy również, że już po wycieku dane te były dostępne w cache wyszukiwarki Google. Wiemy także, że internauci pobrali te aplikacje na dyski. Ale wiemy również, że zgodnie z art. 3a. ust. 1 pkt. 1) ustawy o ochronie danych osobowych: ustawy nie stosuje się "do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych". Skoro dane były powszechnie dostępne nie można też mówić o przełamaniu zabezpieczeń, a więc nie widzę możliwości zastosowania art. 267 kodeksu karnego - cały czas myślę o "pobieraniu danych" (por. komentarz Autor mógłby: cel osobisty lub domowy). Jeśli jednak ktoś dane udostępni w Sieci - tu będzie już inny stan faktyczny i będzie można mówić o odpowiedzialności takiej osoby (np. na podstawie przepisów o ochronie dóbr osobistych; por. I ACa 564/04 - linki i dobra osobiste; odnośnie propozycji zmian w kodeksie karnym: Pierwszego kwietnia rząd przyjął projekt nowelizacji kodeksu karnego, także w ustawie o ochronie danych osobowych: Prezydencki projekt nowelizacji ochrony danych osobowych).
W każdym razie Generalny Inspektor Ochrony Danych Osobowych wystosował dziś do internautów apel, w którym czytamy:
W związku z upublicznieniem, w sposób naruszający chronione przez Konstytucję RP jak i obowiązujące standardy prawa w zakresie ochrony danych osobowych, dane osób które złożyły do Banku Pekao S.A. dokumenty związane z ubieganiem się o pracę w tym Banku, zwracam się z apelem do wszystkich, którzy weszli w posiadanie danych o respektowanie praw tych osób.
Apeluję o niewykorzystywanie ich danych, o ich nie rozpowszechnianie, a także o ich usuwanie. Generalny Inspektor Ochrony Danych Osobowych podjął czynności prawne w celu zgodnego z prawem przetwarzania danych przez Pekao S.A. ale jednocześnie będąc rzecznikiem obywateli w zakresie ochrony ich danych osobowych zwraca się o poszanowanie godności ludzi jako naczelnej wartości państwa prawa, która jest podstawą ochrony danych osobowych.
Podobno, chociaż nie weryfikowałem tej informacji, paczki z danymi z PeKao wylądowały już w sieci p2p.
Trzeba jeszcze odnotować, że biuro GIODO uruchomiło już kontrolę w banku. Zgodnie z notatką na stronie Generalnego Inspektora: 14 lipca 2008 r. - GIODO rozpoczął kontrolę w Banku Pekao S.A oraz w firmie z którą Bank podpisał umowę na przetwarzanie danych osobowych. Tam m.in.: "Kontrola zostanie przeprowadzona zarówno pod kątem odpowiedniego zabezpieczenia danych osobowych, jak również prawidłowości umowy powierzenia przetwarzania danych".
Na razie niewiele wiadomo w sprawie rzekomego włamania do serwisu przygotowanego przez zewnętrzną w stosunku do banku spółkę. W Sieci dostępne są kolejne screenshoty serwisu, w którym zmodyfikowano jego "stopkę":
Fragment screenshota serwisu "Zainwestuj w przyszłość już dziś!", a tam podpis: "Projekt i kiepskie wykonanie..." - wedle tez, które pojawiają się w dyskusji: ta stopka ma potwierdzać tezę o włamaniu na serwer i modyfikacji zabezpieczeń zgromadzonych tam aplikacji i listów motywacyjnych. Naświetlenie okoliczności takiego "włamania" mogłoby też podpowiedzieć jak oceniać rzetelność spółki przygotowującej serwis dla banku, a także czy doszło do naruszenia zasad przetwarzania danych osobowych. Jeśli było to tylko "zdjęcie zabezpieczenia" i nikt danych nie wgrywał na serwer, to znaczy, że te dane były przetwarzane w publicznej sieci teleinformatycznej, a jeśli tak, to mamy do czynienia z sytuacją, w której "przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną"; To zaś oznacza, że należało zastosować "Poziom wysoki" bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym (zgodnie z rozporządzeniem MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych).
Dziś po 22:30 na antenie TVNCNBS Biznes odbędzie się rozmowa, w której weźmie udział p. Arkadiusz Mierzwa z biura prasowego PeKao SA, p. Jakub Bojanowski z Deloitte, no i zaproszono również mnie...
Na marginesie: o całej sprawie z cv dostępnymi w Sieci poinformował na swoim blogu Glucik, czyli Jakub Nietrzeba, a następnie swoją obserwację wykopał w serwisie Wykop. Potem pojechał sobie gdzieś na weekend i nie wiedział nawet, że taka z tego afera wyniknie. W tym kontekście przychylam się do krytycznego spojrzenia na aktywność mediów, które przedstawił w swoim serwisie Maciek Budzich: Bloger czyli anonimowy internauta. Maciek zauważa:
Dobrze mieć w portfolio swoich serwisów kontakt, alert24 czy inny cynk.onet.pl. Zawsze wtedy można się powołać na „jak donoszą czytelnicy alertu24” – co na pewno jest prawdą, bo zawsze szybko pojawiają się tam sygnały. Nawet Wirtualna Polska wolała powoływać się na cynk.onet.pl niż zalinkować do bloga. 3 minuty przejrzenia sieci pozwalają szybko dotrzeć do źródła.
Dziś mamy na to kolejne potwierdzenie, oto Gazeta.pl pisze w tekście GIODO: macie dane Pekao? Nie upubliczniajcie ich:
O sprawie, jako pierwszy napisał portal Gazeta.pl w sobotę. Kilka tysięcy CV nadesłanych do banku Pekao S.A. można było obejrzeć w internecie. Alert24 o sprawie poinformował jeden z naszych internautów.
Na stronie zainwestujwprzyszlosc.pl, z której można było wysyłać aplikacje, w celu podjęcia pracy w banku, można było przeglądać m.in. adresy internetowe. Strona z aplikacjami po naszej interwencji została zablokowana, mimo to dane nadal były do odnalezienia dzięki wyszukiwarkom internetowym...
A więc to Gazeta Wyborcza odkryła wyciek (por. również o podobnym zamieszaniu w Irlandii: Irlandzki raport na temat ochrony danych dzień wcześniej u blogera)?
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Zainwestuj prawie zniknęło z Google
Warto odnotować również dzisiejszą wypowiedź p. Magdaleny Załubskiej-Król z biura prasowego Pekao S.A., która stwierdziła, że "dane zostały już usunięte i nie są do odnalezienia nawet przez wyszukiwarki". Nie jest to do końca prawda. Pliki są przez wyszukiwarki niedostępne - to prawda. Wyczyszczono również cache Google (pytanie, czy z udziałem Google?). Ale dane częściowo są nadal dostępne, gdyż lista plików jest przechowywana w bazach wyszukiwarki, a niektórzy ludzie wpisywali swoje dane w pola meta, więc np. w tytule strony wynajdowanej przez Google znajdować się może imię, nazwisko, adres i telefon pokrzywdzonego. Piszę o tym dla uściślenia faktów:
--
[VaGla] Vigilant Android Generated for Logical Assassination
A w banku cisza
Bardzo konsekwentna wydaje się za to polityka informacyjna banku.
Pan rzecznik zwala na wszystkich (bo wina jest po stronie internautów, firmy zewnętrznej), a na stronie banku, w zakładce "Biuro prasowe" brak jest jakiejkolwiek informacji o incydencie, ani nawet przeprosin.
Kpina.
To wydarzenie pokazało też silna pozycje blogerów i prasy 2.0, zupełnie niezależnej od zawodowych redaktorów. Gazety zaczynają się chyba bać o swoja pozycje. ;)
A skoro to mój pierwszy komentarz, to gratuluje świetnej strony. ;)
Pozywać bank
Skoro bank jest administratorem informacji i dopuścił do tego, aby dane osób prywatnych zostały upublicznione, a więc nie dochował należytej staranności to powinien za to zapłacić każdemu, kto padł ofiarą jego niedbalstwa. Banki ludziom nie pobłażają, dlaczego pobłażać bankom? Zwłaszcza w tak poważnej sprawie?
Dwa pytania a propos
Zastanawiam sie nad dwiema kwestiami:
1) Bank straszyl osoby pobierajace CV odpowiedzialnoscia karna. Internauci sie slusznie oburzyli. Ale czy rzeczywiscie bank straszyl bezpodstawnie? Od momentu upublicznienia informacji, ze chodzi o dane, ktore _przez pomylke_ wyciekly do sieci i sa chronione, korzystanie z nich (a wiec nie tylko rozpowszechnianie ale i pobieranie i ogladanie) faktycznie wg polskiego prawa autorskiego jest chyba nielegalne.
Nie mozna tu bowiem mowic o "wlasnym uzytku osobistym" (Art 23 Ustawy o Prawie Autorskim) gdyz dotyczy on wylacznie utworow "juz rozpowszechnionych". A Art 6 definiuje: "utworem rozpowszechnionym jest utwór, który ZA ZEZWOLENIEM TWÓRCY został w jakikolwiek sposób udostępniony publicznie". Wytluszczenie moje.
2) Druga watpliwosc dotyczy samej technologii Google pokazywania dokumentow DOC i PDF w "wersji HTML". Rzecz w tym, ze wg prawa autorskiego ochronie podlega nie tylko tresc ale rowniez forma dziela, prawda? Czyli przykladowo: nie dosc ze pomylkowo udostepniono czyjes CV, to jeszcze dzieki Google internauci mogli je przez kilka dni obejrzec wylacznie w kalekiej formie htmla (z kompletnie zniszczona skladnia)! Przeciez jednym z powodow uzywania formatu PDF jest zapewnienie niezmienionej formy prezentacji dokumentu.
Wezmy analogiczny ale hipotetyczny przyklad: piosenkarz udostepnia na swojej stronie, w formie promocji piosenke w postaci pliku dzwiekowego wysokiej jakosci. A Google nastepnego dnia moze sobie wprowadzic obok linku usluge "posluchaj jako mp3" i pokierowac internaute do swojego cache do zaszumionej, znieksztalconej wersji utworu? I to wszystko pod pretekstem linkowania i cachowania. Bo przeciez tworca nie zezwolil na rozpowszechnianie piosenki poza swoja strona, a Google oficjalnie nie rozpowszechania dokumentow tylko je "cache'uje".
Jak pisalem - to przyklad dzis hipotetyczny ale analogiczny do przerabiania PDF na HTML.
Czy ktos z wiedza prawnicza z zakresu prawa autorskiego moglby pomoc mi w wyjasnieniu tych dwoch watpliwosci? Dziekuje.
nie całkiem tak z tym cache'owaniem
Nie jestem prawnikiem jakby co :) ale porównanie 'wersji html' dokumentu pdf do zaszumionego mp3 jest chybione.
Informacja jest dostępna w internecie - każdy może wejść i zobaczyć. Google robi za "dobrego kumpla", który mówi ci o jakimś adresie. Jeśli brnąć w analogię z muzyką, to kumpel ten zamiast odegrać wraz z orkiestrą zanuci ci kawałek - przypominam DOSTĘPNY dla wszystkich - to naruszy ustawę o prawie autorskim?
Takie nadinterpretacje wszystkiego przez prawników są szkodliwe. Dla wszystkich.
UJ też upublicznia dane studentów
Nie tylko z PeKaO dane wyciekają, a tylko w tym przypadku zrobiła się afera...
Proszę wpisać w googla frazę nazwisko PESEL site:edu.pl filetype:xls - ręce opadają... Między innymi widzimy, jak bardzo obowiązującym prawem przejmuje się Wydział Prawa i Administracji UJ...
masakra
przyznam, że to co napisałeś/łaś jest niesamowite.
Widzę, że GIODO będzie miał co robić.
przykłady można mnożyć w
przykłady można mnożyć w nieskończoność:
PESEL site:umk.pl filetype:xls jak myślicie, Ci z 2 linka zapłacą wyższe składki za ubezpieczenie?
czas płynie a nic się nie
czas płynie a nic się nie zmienia
PESEL site:gov.pl filetype:xls
no i doszło nowe :D
PESEL site:gov.pl filetype:xlsx
jest parę kwiatuszków jak np lista rzeczoznawców z ministerstwa transportu
CV już opublikowano na trackerze, a kto rejestrował domenę?
Niestety, ktoś jednak postanowił opublikować zbiór aplikacji w popularnym trackerze torrentowym. I nawet jeśli są zabezpieczone hasłem, to hasło nie trudno zdobyć. Szkoda, że jednak zdecydowaliście się to wrzucić do sieci...
Jeśli było włamanie, to pytanie na jakim serwerze stał serwis dostępny pod adresem zainwestujwprzyszlosc.pl.
Whois mówi nam dziś:
A więc wiemy, że domena była zarejestrowana na osobę fizyczną (dlatego jej dane nie są ujawnione w rejestrze, to jest osoba, która występowała podczas rejestracji nawet nie jako osoba prowadząca działalność gospodarczą). DNSy wskazują na home.pl...
--
[VaGla] Vigilant Android Generated for Logical Assassination
I jeszcze...
Panie P., proszę się chwilę zastanowić nad tym, co Pan robi. Czy naprawdę uważa Pan, że to takie fajne, by podawać ludziom linki do tego torrenta? Przecież przed chwilą pochwalił się Pan, że zebrał pliki z serwera, teraz linkuje Pan do torrenta. Krzywdzi Pan ludzi.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Krzywdze ludzi...
O dostepnosci linku, jak mozna przeczytac u mnie na blogu, powiadomoilem wczesniej wszystkie najwazniejsze media elektroniczne w Polsce jak i rowniez sam bank. Przez 3 dni nie bylo zadnej reakcji od kazdej ze stron. Dla mediow temat moze i sie wyczerpal, rozumiem ale taka instytucja jak bank powinna juz, pierwszego dnia, spakowac 3-4 prawnikow i wyslac ich w try miga samolotem do Szwecji. Nie zrobili tego - czyt. jest im to nie na reke aby dalej sprawe roztrzasac. Te dane tam sa i sa znane. Kazdy kto chce bez trudu je znajdzie nawet i bez mojego posta, na ktorym to jest podany link.
Czy ja, w takim razie krzywdze ludzi podajac noz na tacy? Kady moze teraz pobrac archiwum ale i kazdy moze zglosic ten link do banku - i na tym mi wlasnie zalezy. Zeby niedopuscic aby ta sprawa ucichla a link zostal na tbp, dostepny dla wszystkich. Tak by sie pewnie skonczylo gdyby nie moj post... i byc moze tak sie skonczy.
Wiarygodność WHOIS
Byś może źle odczytałem informację ale wydaje mi się, że wnioskujesz hostowanie serwisu w home.pl po fakcie utrzymywania domeny na serwerach DNS tej firmy.
WHOIS podaje tylko dane dotyczące serwera na którym utrzymywana jest domena nie faktyczny serwis za nią ukryty. Można utrzymywać domenę na serwerach DNS home.pl i jednocześnie hostować serwis u innego dostawcy usług hostingowych, bądź na własnym serwerze. Bardziej wiarygodne jest śledzenie trasy pakietów dla zapytania odnoszącego się do konkretnej domeny. Program traceroute pokazuje jednak, że pakiety skierowane do zainwestujwprzyszlosc.pl lądują faktycznie w home.pl:
10 gate1.home.net.pl (217.153.234.2) 5.409 ms 5.864 ms 5.880 ms
11 v052591.home.net.pl (79.96.7.13) 5.905 ms 5.883 ms 5.887 ms
to też, ale ciekawe jest kto zarejestrował domenę
Wydaje się, żę hostowane jest na home.pl, ale mnie bardziej zainteresowało, że dla całej akcji marketingowej dla szanowanego banku domenę dla tego banku na zlecenie agencji zarejestrowała osoba fizyczna (ani bank, ani ta agencja).
A jeśli było rzeczywiście włamanie, to znaczy, że home.pl mogłoby się wypowiedzieć w tej sprawie.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Tak, to jest home.pl:
Tak, to jest home.pl:
incognitus@sim:~$ ping zainwestujwprzyszlosc.pl
PING zainwestujwprzyszlosc.pl (79.96.7.13) 56(84) bytes of data.
64 bytes from v052591.home.net.pl (79.96.7.13): icmp_seq=1 ttl=57 time=5.08 ms
64 bytes from v052591.home.net.pl (79.96.7.13): icmp_seq=2 ttl=57 time=5.05 ms
Za to polskiemu whois bym nie ufał, to może być po prostu błąd.
Sprawdzałem w whois.sc
O domenę "zainwestujwprzyszlosc.pl" odpytałem whois.sc, a przy okazji: wychodzi na to, że domena zarejestrowana jest w NetArt...
REGISTRAR: NetArt
Zabawa 118
32-020 Wieliczka
Polska/Poland
Czyli na razie wygląda to tak:
Osoba fizyczna o nieustalonej tożsamości zarejestrowała (na siebie) w NetArt domenę, która hostowana jest w home.pl, a pod domeną postawiono serwis dla agencji Possum Communication, która robiła akcję promocyjną dla banku PeKao... Źle zabezpieczone dane (które pewnie wcale nie powinny być gromadzone na serwerze www - tu lansowana jest teza o hakerze, który po włamaniu usnął .htaccess z katalogu, jeśli tam ten .htaccess był, potem wpisał w blogu akcji promocyjnej link do danych i przy okazji zmienił stopkę serwisu promocyjnego, by było widać włamanie; alternatywna wersja: włamania nie było, a ślady zostały później sfabrykowane, by ratować dobre imię banku) zostały zindeksowane przez Google, wykopane przez Wykop, a teraz trafiły do P2P i promowane są przez serwis torrent-trackerski. Plik archiwum (7z), na który wskazuje torrent, jest zabezpieczony hasłem, ale w Sieci (m.in. w blogach), ujawniane jest hasło pozwalające na odpakowanie tego archiwum.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Teraz?
Łatwo sprawdzić, że archiwum z CV leży na wspominanym wcześniej trackerze już od 3 dni. Tak więc stwierdzenie, że "teraz trafiły do P2P" jest lekko nieprecyzyjne :P
Stanowisko home.pl w sprawie hostingu dla CV
Pan Marcin Walkowiak, Administrator Bezpieczeństwa Informacji home.pl, odpowiedział na moją prośbę o komentarz w sprawie hostingu zasobów dostępnych jeszcze niedawno pod domeną zainwestujwprzyszlosc.pl:
Moim zdaniem ani bank, ani agencja interaktywna, nie są dysponentem zasobów, które pozwalają na analizę odpowiadającą na pytanie: czy było włamanie, czy nie. Uważam, że takim dysponentem jest jedynie home.pl.
Pytanie kolejne, które się nasuwa, czy agencja interaktywna, (lub bank), powierzyła home.pl przetwarzanie danych osobowych wraz ze skorzystaniem z usługi hostingu?
--
[VaGla] Vigilant Android Generated for Logical Assassination
Aż dziwi mnie, że jeszcze
Aż dziwi mnie, że jeszcze nikt nie zainteresował się fragmentem tekstu z tego screena (JPG)
"lamy se zostafily hasioro do ftp na serwie"
Czyżby faktycznie ktoś znalazł hasło do ftp na serwerze ze stroną? (i skąd się tam wzięło? przypadek? nieostrożność?)
Mając hasło nie trzeba było się nigdzie włamywać, tylko korzystać z otwartych drzwi i kasować/modyfikować co się da.
Tego dotyczyło moje pytanie
Tego właśnie dotyczyło moje pytanie skierowane do home.pl; ostrożnie uważam, że tylko home.pl jest wstanie dokonać analizy sytuacji od strony infrastruktury hostującej. Bank i agencja (a ściślej chyba jedynie agencja, jeśli to agencja jest dysponenetem konta w home.pl) nie mają dostępu do logów, do których dostęp ma home.pl.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Home.pl może dokonać analizy
Dostawca hostingu istotnie ma dostęp do większej ilości informacji dotyczących danego konta i ewentualnego włamania, ale zgadzam się iż home.pl nie jest tutaj stroną.
Dostawca hostingu nie jest zobowiązany o zadbanie o bezpieczeństwo rozwiązań stosowanych przez klienta, jego haseł itp.
Jeżeli nie nastąpiło przełamanie zabezpieczeń samej platformy hostingowej (co w tym przypadku rzecz jasna nie występuje) to kwestia określenia źródła włamania, zakresu zniszczeń czy autora leży po stronie dysponenta konta(czy też biegłego albo wynajętej prze dysponenta firmy). Jasne że home.pl czy inny hostingodawca pomaga bardzo często w znalezieniu problemu i jego rozwiązaniu, ale nie jest to de facto jego zadanie.
Podobnie wygląda sprawa z przetwarzaniem danych osobowych - nie wydaje mi się aby dostawca hostingu był podmiotem przetwarzającym dane, on udostępnia technologię.
Na takiej samej zasadzie jak właściciel magazynu nie jest podmiotem przetwarzającym dane trzymane w magazynie jest podmiot wynajmujący.
hasioro do ftp na serwie
Bardzo często ludzie przez nieostrożność zostawiają hasła do FTP albo do SQL w plikach widocznych "z Internetu". Takie hasła praktycznie zawsze się podaje przy konfiguracji gotowych pakietów CMS czy innych programów typu Wordpress, Joomla itp. Te programy zapisują je w jakimś pliku typu config.inc.php - wystarczy niestarannie skonfigurowany serwer lub inne przeoczenie, żeby taki plik znalazł się np. w katalogu niezabezpieczonym .htaccess (albo po prostu .htaccess nie zadziała przy danej konfiguracji serwera), albo jeszcze z innego powodu serwer nie sparsuje pliku PHP (np. jak będzie się nazywał config.inc, to wyjdzie na ekran jako tekstowy).
Jeszcze gorzej, jak się robi wszystko samemu "z palca", wtedy tym bardziej można wszystkie hasła umieścić w jakimś /config/hasla.inc, i zapomnieć zabezpieczyć ten katalog. Na przykład przy wrzucaniu zawartości FTPem, program nie przerzuci pliku .htaccess z powodu nazwy.
Oczywiście za takie błędy się potem płaci.
Usupełnienie stanowiska home.pl
Jeszcze, tytułem uzupełnienia stanowiska home.pl, otrzymałem komentarz z tej spółki, a który dotyczy mojego stwierdzenie, że ani bank, ani agencja interaktywna, nie są dysponentem zasobów, które pozwalają analizę powłamaniową, a jest takim dysponentem jedynie Home.pl:
--
[VaGla] Vigilant Android Generated for Logical Assassination
za łatwo...
Ten screenshot jest taki troszkę za dużo mówiący. Zajęło mi 5 minut ustalenie jak się nazywa ten plik mimo, że nie miałem wcześniej żadnej informacji. Przy okazji, w komentarzach jest też podane hasło w base64...
Proponuję zamazać: nazwę usera, datę, rozmiar i kategorię, bo po każdej z tych rzeczy z osobna da się namierzyć torrenta zbyt szybko.
Plama :/
a może nie było włamania?
Bo cała ta sprawa zaczyna śmierdzieć. Nikt nie chwali się włamaniem, dziwne, nie? Screenshot z włamu jest jedynym dowodem na włam, ale czy wiemy, skąd wziął się ten screenshot?
A może nie było żadnego włamu, zaś screenshot jest inicjatywą banku? Mam nadzieję, że to tylko moje chore dywagacje, bo jeśli byłaby to prawda, to ja uciekam :-))))
Teorie spiskowe ;)
Ciekawe, ale też w pewnym momencie odniosłem podobne wrażenie. Zupełnie jakby całe "włamanie" miało na celu przeniesienie odpowiedzialności za stan faktyczny z administrujących na wirtualnego hakera co pozwoliłoby na pokazanie banku w lepszym świetle. Brutalny atak super speca zawsze lepiej wygląda w nagłówkach prasowych niż zwykłe niedbalstwo i nieróbstwo ponadto tak pokazana historia sprawia, że łatwiej jest nam wybaczyć odpowiedzialnym za bezpieczeństwo banku, w brutalny sposób nie dewastuje się wiarygodności instytucji.
żeby to ustalić
Żeby to ustalić należy mieć informacje kiedy Google zindeksowało stronę, na której są "ślady" włamania (czyli że ta odezwa "|4m3r57w0 - 6r337zz" na blogu oraz podmiana w stopce). Pojawił się głosy, co starałem się odnotować w pierwszym komentarzu, poddające w wątpliwość fakt zaistnienia włamania. Jeśli tak, to: ktoś musiał te ślady włamania spreparować. Mogło to zrobić kilka podmiotów. Jak napisałem kilka postów wyżej: domena zainwestujwprzyszlosc.pl jest zarejestrowana na prywatną osobę (której danych nie znamy) i hostowana jest - jak wskazują na to "badania" na serwerze home.pl (por. stanowisko home.pl w innej sprawie: Dyskusje: Odpowiedzialność firmy hostingowej za przechowywanie danych o bezprawnym charakterze). Oznacza to, że samo home.pl miało możliwość modyfikacji plików. Miał taką możliwość dysponent konta w home.pl (być może to ktoś z agencji Possum Communication. Nie wiemy tego, ale dysponent konta miał również taką możliwość. Jeśli (podkreślam: jeśli) doszło do mistyfikacji, by ukryć istotnie fakt, że cv nie były zabezpieczone w żaden sposób, to następne pytania muszą brzmieć: czy bank wiedział o takiej mistyfikacji czy też ktoś zrobił to z własnej inicjatywy (podkreślam: jeśli rozważać czysto hipotetycznie, że włamania nie było). Dla odpowiedzialności z art. 50 i następnych ustawy o ochronie danych osobowych, przy założeniu, że doszło do powierzenia przetwarzania danych i tak nie ma znaczenia, bo i tak bank ponosi odpowiedzialność wraz z podmiotem, któremu dane powierzono do przetwarzania. Oczywiście tu jest następne pytanie: czy doszło do powierzenia przetwarzania danych, czy nie. GIODO będzie badało dokumenty i stan faktyczny, ale jeśli podkreślam: jeśli) nie było włamania, to też nie widzę żadnych okoliczności, które przeszkodziłyby komuś sfabrykowanie kwitów na powierzenie (forma pisemna) i innych jeszcze śladów mylących tropy.
Podoba mi się jedna z "teorii spiskowych", która tłumaczy jak mogło dojść do tego, że akcja marketingowa była robiona poza bankiem. Nie pamiętam gdzie to widziałem (nie jest to mój wkład intelektualny) i zacytuje teorie z pamięci (mam wrażenie, że to mogło pojawić się na którejś dyskusji w serwisie Wykop):
--
[VaGla] Vigilant Android Generated for Logical Assassination
Przy założeniu, że podany
Przy założeniu, że podany przez Ciebie scenariusz miał faktycznie miejsce trzeba by zacząć poważnie się zastanawiać w jakich warunkach przyszło nam żyć. Cóż to bowiem za instytucja zaufania publicznego, jaką jest bank, jeżeli dla własnego wygodnictwa i oszczędność zleca takie zadania podmiotom niezależnym bez wcześniejszego oparcia takiej współpracy również o audyty i procedury. Przecież taka współpraca powinna być ściśle regulowana przez, przynajmniej, wytyczne dotyczące bezpieczeństwa i poufności danych. To raz.
Dwa, to sprawa wiarygodności włamania. Jeżeli faktycznie home.pl hostowało serwis to może się pochwalić pełnym zbiorem logów potwierdzających bądź całkowicie odrzucających teorię mówiącą o wcześniejszej ingerencji hakera. Przy czym nie wydaje mi się by samo home.pl maczało palce w fałszerstwie, zbyt wiele mieliby w tym momencie do stracenia, zważywszy na fakt, że dane te na pewno zostaną włączone jako materiał dowodowy, a biegły o wystarczającym zasobie wiedzy jest wstanie tak ordynarną ingerencję wykryć.
Biegły?
Biegły nic by nie wykrył, logi to tylko pliki na dysku, można z nimi zrobić wszystko.
Owszem logi można sobie
Owszem logi można sobie dowolnie edytować ale w tym wypadku musielibyśmy mieć do czynienia z masową edycją logów w kilku/kilkunastu serwerach, a poza tym jakieś IP hakera trzeba podać w tych logach by uwiarygodnić atak, a to też da się zweryfikować bo podanie byle numerków tak "z czapy" nic nie da.
Można podać ip którejś z
Można podać ip którejś z bram tora na świat.
Weryfikacja włamania
Dostawca hostingu może nie tylko pochwalić się logami ftp i http ale również kopiami plików z ostatnich dni. W większości firm są to backupy narastające i przez określony okres czasu zapisywana jest każda wersja pliku. A w logach http można nawet sprawdzić kiedy po raz pierwszy nastąpiło wejście do katalogu /files/0 i czy zrobił to robot googla (niestety googlebot nie podaje referera), czy też może pierwszy był hacker, który np. usunął .htaccess przez ftp i udostępnił pliki.
A hacker śladów włamania nie usunie bo a) musiałby przełamać zabezpieczenia serwisu www, b) musiałby przełamać zabezpieczenia infrastruktury home.pl w celu usunięcia backupów i logów. A w to baaaardzo trudno jest mi uwierzyć.
Tak więc jestem przekonany że sprawa się wyjaśni.
A swoją drogą to błąd miał charakter zasadniczy - CV nie powinny znaleźć się na maszynie obsługującej serwer www firmy.
Wyspy informatyczne w Banku
Nalezy jeszcze pamiętać o jednej rzeczy, dane osobowe kandydatów nie stanowią tajemnicy bankowej, a więc wszystkie kwestie związane z outsourcingiem w Banku nie wchodzą w grę. A skoro nie jest to taki "typowy" bankowy outsourcing, to nie ma audytow, badania, etc. Co więcej - ponieważ zbiorów danych osobowych pracownikow nie rejestruje się w GIODO, to niektórzy nie zwracają uwagi na zawieranie umów powierzenia przetwarzania danych osobowych. Oczywiście kandydaci to pracy, to nie są dane pracownikow, należy zarejestrować osobny zbiór danych osobowych (co też PEKAO S.A. zrobić - zbiór nazywa się Nowe Kadry).
Często bywa też, że takie sprawy w ogóle nie dotykają informatyki, np. dział Kadr sam sobie zamawia usługę, a firma która to oferuje, "sprawia wrażenie" profesjonalnej. Być może tak było właśnie w tym feralnym przypadku?
Żeby to ustalić należy
Żeby to ustalić należy mieć informacje kiedy Google zindeksowało stronę, na której są "ślady" włamania (czyli że ta odezwa "|4m3r57w0 - 6r337zz" na blogu oraz podmiana w stopce).
przy pierwszym linku jest data z 12 lipca:
http://img337.imageshack.us/img337/1517/pkoep9.png
zeby konkretnie wiedziec kiedy pierwszy raz skanowalo to trzebaby zapytac googla.
Jako byly pracownik...
... firmy produkującej oprogramowanie bankowe, ten scenariusz mnie dziwi. Przechodziliśmy jakieś dziwaczne procedury, walczyliśmy z adminami, bo bez tony papierów nie udawało się nawet prostego selecta zrobić w bazie bankowej. Setki umów o poufność, aneksów, negocjacji, przepustki, listy nazwisk, peseli, numery dowodów, etc. A tu tak myk myk i system dla banku niby powstaje? Oj, mocno śmierdzi...
Mnie się taki scenariusz wydaje całkiem możliwy.
Vagla bardzo ładnie i skrótowo to pokazał - dwie jednostki banku o sprzecznych interesach: marketing i technika. Pierwsi potrzebują maksymalnej elastyczności, otwartości, drudzy przeciwnie - sztywnych procedur, które ich ochronią w razie przełamania zabezpieczeń.
Zatem marketing, za własne środki, zleca wykonanie serwisu na zewnątrz. Znajomemu kierownika projektu, żeby zostało w rodzinie. Ale nie ma na pokładzie nikogo, kto zdolny by był ocenić jakość pracy wykonawcy, bo taki ktoś pracuje w technice, a cały projekt robiony jest za plecami techników. Zauważcie, że mowa o dużej firmie, gdzie lewica nie wie, co czyni prawica.
Do realizacji tego projektu marketing nie potrzebował uruchamiać procedur bezpieczeństwa, bo nie zamierzał pozyskiwać informacji z serwerów banku, tylko gromadzić własne.
Tu od razu wyłazi dygresja: czy zarejestrowano odpowiedni zbiór danych osobowych w GIODO?
--
Flamenco108
Rejestracja niepotrzebna
A ja sobie siedzę cicho i nie komentuję, jako osoba bezpośrednio zaangażowana w sprawę, ale tu się pokuszę :)
Zbiór kandydatów "do pracy", zgodnie z interpretacjami GIODO (nie będę się spierał, czy słusznymi) nie podlega rejestracji.
Hmm, ta "teoria spiskowa"
Hmm, ta "teoria spiskowa" wcale nie jest głupia, bo jakąś tam nitkę powiązań między pracownikami banku a agencją reklamową można znaleźć w serwisie ... nasza-klasa.pl :)
Polecam przyjrzeć się:
agencja
bank
Ten drugi dokument niestety już w formacie html z google, bo ze strony agencji reklamowej w formacie pdf już zniknął :)
rewelacja
Rewelacja :) na goldenline są połączenia... Praca inspektora śledczego w dzisiejszych czasach musi być pasjonująca, przeczytałbym o tym książkę, a może sam taką napiszę :)
Pliki na rapidShare
W ten sam dzien plik spakowany bez zadnego hasla byl dostepny na RapidShare. Linka nie bede podawal z wiadomych przyczyn.
Pzdr
Torrent zniknął
Torrent zawierający (ponoć) te CV zniknął z TPB. Sam miałem pisać dzisiaj do brokepa o jego usunięcie, widać jednak ktoś mnie ubiegł (i dobrze).
Hasło do niego dało się odgadnąć w 10 sekund, a po zamieszczonym tutaj screenie dotarłem do samego torrent'a.
Nawet gdybyś napisał do
Nawet gdybyś napisał do brokepa czy kogokolwiek z thepiratebay.org to daję 100$ że by tego i tak nie usunęli. Pewnie sam autor usunął tego torrenta.
Być może gdyby ładnie
Być może gdyby ładnie poprosił... TBP ma alergiczną reakcję na żądania z pogróżkami, ale to niekoniecznie znaczy, że uprzejmej prośbie na 100% odmówią.
Wpis na TPB został już usunięty
Ten wpis w TPB, który wskazywał na torrent do archiwum aplikacji i listów motywacyjnych, został już usunięty, co odnotowałem w kolejnym tekście Dyskusji ciąg dalszy: promocja zasobów i stanowisko Wykop.pl
--
[VaGla] Vigilant Android Generated for Logical Assassination
No wpis może i zniknął z
No wpis może i zniknął z zatoki, ale torrencik dalej jest rozpowszechniany i jak go się odpali to ssie pełną przepustowością łącza.
DHT
Niestety ze względu na to, że tracker dopuszcza takie torrenty, a także niektóre klienty nie potrzebują trackera do rozprowadzania torrent'a, przerwać się tego nie da.
Kiedy dodano komentarz?
W sąsiednim tekście, tj. Jak bank przechowywał dane osób ubiegających się o praktyki i staże, pokazałem kilka screenshotów, które zaraz po nagłośnieniu sprawy braku kontroli nad aplikacjami osób ubiegających się o staż w banku "krążyły po sieci". Okazuje się, że niektóre screenshoty niosą w sobie nieco inne dane:
--
[VaGla] Vigilant Android Generated for Logical Assassination
Antydatowanie
Jestem zwolennikiem teorii antydatowania. Wygląda mi to na próbę uwiarygodnienia teorii "naprawiliśmy to w minuty". Zrzut ekranu, którego używa Piotr, pochodzi z mojego serwisu został on wgrany na mój serwer o 12:34.
-rw-rw-rw- 1 www-data www-data 101000 2008-07-12 12:34 obrazek-2.png
http://bronikowski.com/wp-content/uploads/2008/07/obrazek-2.png
Zrzutu dokonałem zanim zacząłem pisać notkę o wycieku informacji, więc spokojnie możemy odjąć godzinę. Wpis widziałem też rano, kiedy pojawiły się pierwsze informacje na Blipie.
Do momentu usunięcia wpisu z bloga i ostatecznego usunięcia serwisu data 12/07 nie pojawiła się. Inaczej -- jeżeli pojawiła się, to ja jej nie widziałem, a przyglądałem się bardzo uważnie.
Pytania praktyczne
Piszą tutaj prawdziwi specjaliści, mam więc nadzieję, że ktoś pokusi się o interpretację dla nie-prawnika tego co robić, aby postępować zgodnie z prawem.
Załóżmy, że jestem twórcą systemu informatycznego dla firm, służącego do przechowywania bazy kontaktów biznesowych.
W bazie takiej znajdują się dane:
a) firm
b) pracowników firm
Zakres danych o ludziach porównywalny z tym, co znajduje się na wizytówkach. Można przyjąć, że po prostu zamiast trzymać zbiór danych w postaci wizytówek (oczywiście w ładnym segregatorze, podzielone na firmy), dane z nich są wpisane do systemu komputerowego.
I teraz, czy taki zbiór danych powinien być zgłaszany do GIODO?
Na:
http://prawo.ngo.pl/strona/10263.html
Znalazłem:
Czy to znaczy, że takiego zbioru nie trzeba rejestrować? Czy trzeba rejestrować zbiór wizytówek? Czy te same dane trzymane w komputerze trzeba zarejestrować, podczas gdy trzymane na papierze nie?
Jeśli stworzę na własnym serwerze bazy danych dla różnych firm (każda firma oddzielnie), to kto jest wtedy "administratorem danych".
- ja (administruję oprogramowaniem, ale ani trochę nie wnikam w konkretną zawartość bazy danych)
- kupująca ode mnie usługę firma (oni tak naprawdę zarządzają danymi, chociaż nie mogą zmieniać samego oprogramowania)
Dalej - jeśli ja jestem "administratorem", i muszę rejestrować takie zbiory to:
- mogę rejestrować jako jeden zbiór danych wszystkie bazy różnych firm
- powinienem rejestrować każdą firmę oddzielnie
Bardzo proszę o jakąś prostą interpretację w takich wypadkach. Wiem, że mógłbym poszukać prawnika i uzyskać opinię... ale prawda jest taka, że z dzisiejszą techniką tworzyć takie zbiory danych może każdy obeznany trochę z programowaniem. Czy choćby stawianiem gotowych open-sourcowych aplikacji na byle hostingu. Więc przydałaby się też darmowa opinia, bo na płatną nie każdego stać...
Teraz BZ WBK
Jak donosi portal gazeta.pl za "Rzeczpospolitą":
Podobno po wylogowaniu wystarczy wcisnąć przycisk "wstecz", żeby wrócić na stronę banku zawierającą takie dane jak nazwisko, saldo, numer konta.
Dalszy ciąg sprawy Pekao S.A.
GIODO poinformował dzisiaj o zakończeniu kontroli w Banku Pekao S.A. i współpracujących instytucjach. Efektem kontroli jest zawiadomienie organów ścigania i (równolegle?) wniosek o wszczęcie postępowania dyscyplinarnego.
na razie server GIODO leży
Jak tylko wstanie server GIODO (aktualnie widać komunikat błędu: "Fatal error: Call to undefined function mysql_connect() in M:\htdocs\www.giodo.gov.pl\admin\globalne\funkcje_ogolne.php on line 19" - wywaliła im się baza danych), to napiszę na ten temat notatkę.
--
[VaGla] Vigilant Android Generated for Logical Assassination