Po wycieku danych z Wykop.pl Nasza-klasa resetuje hasła użytkownikom

Sytuacja robi się coraz bardziej interesująca. Serwis Nasza-klasa.pl (prowadzony przez spółkę Nasza Klasa Sp. z o.o.) postanowił zmienić (zresetować) niektórym użytkownikom hasło dostępu do swoich usług. Stało się to - jak wynika z maila rozesłanego do tych użytkowników - na podstawie danych udostępnionych Naszej-klasie przez spółkę Wykop sp. z o.o., co zaś nastąpiło w wyniku "porozumienia" między tymi dwoma podmiotami... Rozumiem, że na tak małym rynku wszyscy prowadzący serwisy internetowe znają się i lubią, ale zastanawiam się, jak do tej sytuacji odniesie się Generalny Inspektor Ochrony Danych Osobowych, który został o sprawie poinformowany przez Wykop. Warto dowiedzieć się od strażnika danych osobowych, jak ocenia tego typu praktyki.

Najpierw był wyciek danych (por. Warto mieć różne hasła w różnych serwisach (społecznościowych) czyli wyciek danych z Wykop.pl), które - jak wynikało z udostępnionych materiałów spółki Wykop sp. z o.o. - wykorzystywano na "testowym serwerze", gdzie "przygotowywano nową wersję serwisu" (a więc wbrew polityce prywatności serwisu Wykop.pl, w którym czytamy m.in.: "Nie udostępniamy danych osobom trzecim, nie rozsyłamy treści reklamowych. Adresów używamy tylko i wyłącznie w celu powiadamiania użytkowników o istotnych zmianach w serwisie lub komunikatach technicznych"). Społeczność szybko ustaliła, że dane użytkowników na tym, testowym serwerze, nie były w żaden sposób zabezpieczone (serwer był dostępny z Sieci, zaś baza mySQL nie była zabezpieczona hasłem ("no root password on sql") - tej ostatniej informacji nie chciał komentować zapytany o to przedstawiciel spółki, ale policja ogłosiła, że "przełamano zabezpieczenia" oraz, że "sprawcom grozi do 3 lat pozbawienia wolności", więc teraz trudno powiedzieć, że nie było zabezpieczeń).

Już wówczas było wiadomo, że spółka Wykop sp. z o.o. ściśle współpracuje z serwisem Allegro (właściciel spółki w swoim komunikacie pisał wówczas: "Cała nasza firma, mimo weekendu, jest w tej chwili postawiona w stan najwyższej gotowości. Jesteśmy w ciągłym kontakcie telefonicznym z organami ścigania, oraz z działami bezpieczeństwa m. in. Allegro"). To o tyle istotne, że sprawcy postanowili po odszyfrowaniu części haseł sprawdzić, czy niektórzy z użytkowników serwisu Wykop mają również konto w serwisie aukcyjnym, a po wytypowaniu przynajmniej jednego takiego użytkownika dokonano "w jego imieniu" operacji aukcyjnych.

Kilka dni temu Policja ogłosiła, że "odzyskano wszystkie skradzione kopie bazy danych" (por. Dalszy ciąg wycieku danych z Wykop.pl - Policja ustaliła sprawców...), co internauci komentowali z ironią ("skradziono jedną kopie, odzyskano jedną - wszystko się zgadza"). Teraz zaś serwis Nasza-klasa.pl zmienia niektórym użytkownikom hasła i robi to... na podstawie danych uzyskanych w wyniku porozumienia z Wykopem.

Jak to się odbyło? Spółka Wykop sp. z o.o. udostępniła spółce Nasza Klasa Sp. z o.o. zaszyfrowane adresy mailowe swoich użytkowników. Zaszyfrowane dane porównano, by sprawdzić, które z kont się "pokrywają" (np. zarejestrowano konto z wykorzystaniem takich samych adresów poczty elektronicznej)... Jak wynika z wypowiedzi cytowanych przez serwis Dziennik Internautów w tekście Nasza-klasa zmieniła hasła użytkowników - Wykop "wysłał stosowane zgłoszenie do GIODO o takim działaniu"...

Jeśli bazy danych użytkowników zaszyfrowano takim samym algorytmem, by można było porównać je w formie zaszyfrowanej, to obie spółki dysponowały również (takim samym) algorytmem pozwalającym na deszyfrację danych. Szyfracja zatem niewiele zmienia, ponieważ - jeśli dobrze rozumiem sytuację - serwis Nasza-klasa w wyniku takiego porównania i tak dowiedział się, którzy z jej użytkowników korzystali z usług spółki Wykop... W wyniku porównania danych otrzymano o użytkownikach nową informację, której ci użytkownicy obu spółkom nie udostępnili z własnej woli...

W efekcie tych operacji internauci otrzymali wczoraj list, który rozpoczynał się od słów:

Z informacji przez nas posiadanych, a udostępnionych nam na podstawie porozumienia przez serwis Wykop.pl wynika, że dane dotyczące korzystania z Pani/Pana konta w portalu mogły wpaść w niepowołane ręce. Choć nie istnieje bezpośrednie zagrożenie utraty dostępu do Pani/Pana konta to w trosce o bezpieczeństwo Pana/Pani danych nasz zespół zmienił hasło dostępu do Pana/Pani profilu w portalu Nasza-klasa.pl.

Piotr Konieczny opublikował w serwisie blip.pl pełną treść listu, który otrzymał z serwisu Nasza-klasa.pl. Opublikował również komentarz w swoim serwisie. Komentarz został dostrzeżony również przez społeczność serwisu Wykopu: Czyżby kolejny fuckup Wykopu? Również inni użytkownicy wyrażają swoje zdziwienie...

Pytanie: czy teraz Allegro zresetuje hasła użytkownikom, a jednocześnie uzyska od Wykopu informacje o tym, którzy użytkownicy Allegro mają też konto w serwisie Wykop.pl? Który serwis będzie kolejny?

Ciekawy jestem stanowiska Generalnego Inspektora Ochrony Danych Osobowych w tej sprawie... Jeśli nie było danych osobowych w przekazywanych innym spółkom bazach, to co na ten temat może powiedzieć Urząd Ochrony Konkurencji i Konsumentów?

Przeczytaj również:

PS

Nie rzucim ziemi skąd nasz root.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Jest i komunikat Wykopu

VaGla's picture

Dziś pojawił się w serwisie Wykop.pl tekst pt. Współpraca Naszej-Klasy i Wykopu, a w nim potwierdzenie dostępnych wcześniej i kilka nowych informacji:

Jak wspominaliśmy w poprzednich postach, zaraz po wycieku danych sprawę przekazaliśmy policjantom z Komendy Wojewódzkiej w Poznaniu oraz nawiązaliśmy współpracę m.in. z Naszą Klasą.

Na podstawie umowy zawartej między NK a Wykopem, o której zgodnie z prawem poinformowaliśmy GIODO, potencjalnie zagrożeni użytkownicy Naszej Klasy, którzy posiadają konto na Wykopie, zostali poproszeni o zmianę hasła.

Nasze działania z NK nad dodatkową ochroną danych zostały podjęte jeszcze zanim sprawcy zostali namierzeni przez Policję, a skradzione kopie bazy danych zabezpieczone.

W celu uniknięcia prób wykorzystania faktu wysyłania informacji do użytkoników NK nie mogliśmy wcześniej o tym poinformować oficjalnie. To standardowa procedura w takich przypadkach.

Zapewne doświadczeni użytkownicy Wykopu dokonali już samodzielnie zmiany haseł w innych serwisach internetowych, ale ostrożności nigdy za wiele. Dotyczy to zwłaszcza nieaktywnych kont.

W sumie - jeśli to "standardowa" procedura, to pewnie gdzieś się można zapoznać z tym, jak ona przebiega?
--
[VaGla] Vigilant Android Generated for Logical Assassination

mogło być tez inaczej

Mogło być przecież tak, ze NK i wykop podpisały porozumienie o przekazaniu danych w okreslonej formie i w jasno zdefiniowanym celu. Forma przekazania mogła polgac na zahashowaniu prze wykop adresów e-mail poprzez SHA1. Celem przekazania danych mogło być wyąłącznie zmniejszenie zagrożenia dla użytkowniów wykop, którzy byli jednocześnie użytkownikami NK. Tak w skrócie mogła wyglądać treść umowy

co mogło dziać się dalej..

NK otrzymałą zahashowane maile wykopu, następnie zahashowała wszystkie maile swoich uzytkowników i zestawiła ze sobą te dane. W ten sposób zostali zidentyfikowani użytkownicy NK, którzy posiadali ten sam e-mail na wykopie. Dokonano zmiany haseł i wysłano maile informacyjne.

W moim odczuciu nie ma tu działań niezgodnych z prawem. NK nie dostała żadnych maili. To, co udało sie porównać, to maile, które NK i taka posiadała, a pozostałe dane były w postaci "nieczytelnej".

Co na to GIODO, no cóż zapewne ma dylemat :) ale chyba działania podjete przez NK i wykop są jak najbardziej usprawiedliwione w kontekście potencjalnego i bardzo realnego zagrożenia, polegajacego na możliwości przejęcia kontroli nad znaczną ilością kont NK(profili z danymi osobowymi, zdjeciami, prywatną korespondencją).

Pytanie jest takie: jaka

Pytanie jest takie: jaka jest różnica Czy hasło było zahaszowane czy tez nie? Skoro adres i tak musiał się pojawić w postaci jawnej by NK maila mogła wysłać. Wystarczy jedna linijka SQL by pokazać że Jan Kowalski z Koziej Wólki, głowa rodziny 4 osobowej, mający wśród znajomych m. in. Jana Nowaka daje na wykop.pl wszelkie linki niepoprawnie politycznie itd itp

Jest duża róźnica ...

..., bo trzeba było mieć ten adres wcześniej, nie da się go odtworzyć z tego co dał Wykop.
Myślę, że dobrze zrobili udostępniając zahaszowane adresy email kont, które wyciekły. Podejrzewam, że taki zakryty zbiór dostały je wszystkie większe portale, które w ten sposób mogły sprawdzić, którzy z ich użytkowników są zagrożeni. Całkiem rozsądne byłoby nawet zupełnie otwarte opublikowanie takiej listy. Każdy mógłby sobie sprawdzić, czy jego email został narażony. A jednocześnie jednokierunkowa funkcja haszująca gwarantuje, że nikt nie odtworzy adresu nie znając go wcześniej.

Korzystanie z kryptografii nie jest wcale takie proste. Niby możliwości potężne, ale jeden mały błędzik i wszystko się rozsypuje. Przypomnijmy tylko, że wykop stosował funkcje jednokierunkową do ochrony haseł swoich użytkowników. Problem był tylko taki, że w przypadku krótkich tekstów (takich jak proste hasło), odwrócenie nie jest wcale trudne. Przed metodą systematycznego przeszukiwania (brute-force) łatwo nie obronimy, ale przed bazami gotowych haseł (rainbow tables) już można dodając do naszego hasła losowy, jawny modyfikator (salt).

Jeśli prawdą jest to, że

Jeśli prawdą jest to, że NK dostała tylko e-maile to i tak nie wpływa to w żaden negatywny sposób na prywatność użytkowników wykopu (poza tym, że NK wie, że dany użytkownik posiada jakieś konto na wykop.pl). Domyślnie adresy e-mail na wykop.pl są ukryte więc nie ma możliwości powiązać tych kont. Jeśli ktoś świadomie upublicznił swój adres (który jest taki sam jak na koncie NK) to sam ponosi za to odpowiedzialność. Nie można oczywiście zapominać o bazie, która wyciekła, ale gdyby ktoś z osób mających dostęp do bazy NK chciał zaszkodzić użytkownikowi wykopu wcale nie musiał czekać na współpracę z wykop.pl

Hash

Jeśli bazy danych użytkowników zaszyfrowano takim samym algorytmem, by można było porównać je w formie zaszyfrowanej, to obie spółki dysponowały również (takim samym) algorytmem pozwalającym na deszyfrację danych.

Niezupełnie. Dane nie było zaszyfrowane, były zhashowane - czyli przetworzone algorytmem, który nie pozwala przywrócić ich do pierwotnej formy (odszyfrować), w każdym razie nie bez specjalnym środków. Porównane zostały adresy w formie zhashowanej, bo wynik działania algorytmu dla danego maila daje ten sam hash. Niemniej, konkluzja jest słuszna - NK uzyskała informację, którzy jej użytkownicy korzystają z Wykopu.

Hashowanie jest bardzo przydatne przy danych osobowych

System komputerowy przetwarzający dane osobowe musi posiadać funkcjonalność pozwalającą w razie żądania zaprzestania przetwarzania danych osobowych:
a) usunięcie danych osobowych
b) zapewnienie, że nie zostaną ponownie wprowadzone

I tutaj mamy sprzeczność - nie możemy mieć danych, a jednocześnie musimy w razie próby ich przetwarzania móc stwierdzić, że tych nie możemy przetwarzać.

I z pomocą przychodzą funkcje hashujące: przed usunięciem danych wyliczamy ich hash i zapisujemy go w bazie. Hash nie jest danymi (wolę nie wnikać jak to się ma do zakazywania torrentów ;> ) więc możemy go w bazie zatrzymać. I teraz przy przy wpisywaniu jakichś danych można sprawdzić, czy ich hash nie istnieje w bazie jako niechciany.

Mała poprawka

"Jeśli bazy danych użytkowników zaszyfrowano takim samym algorytmem, by można było porównać je w formie zaszyfrowanej, to obie spółki dysponowały również (takim samym) algorytmem pozwalającym na deszyfrację danych."

Wniosek nieuprawniony bo hasła nie były zaszyfrowane (co implikowałoby możliwość ich deszyfracji) tylko "schaszowane". Można je porównać, nie można ustalić przez "deszyfrację" (w rozumieniu pewności wyniku deszyfracji bez względu na charakter danych) jakie dane zostały "schaszowane". Algorytmy owego "haszowania" są znane i stosowane niejako w formie standardu.

Odgórna zmiana hasła

Jedna uwaga:

w trosce o bezpieczeństwo Pana/Pani danych nasz zespół zmienił hasło dostępu do Pana/Pani profilu w portalu Nasza-klasa.pl

Nie poprosił o dokonanie zmiany tylko zmienił sam.

Czyli przykładowo teraz jakiś bank, u którego taki użytkownik wykop.pl ma konto, zmienia mu zdalnie pin do karty klienta?? W tym kierunku to zmierza?

bank, gdy wie o fraudzie

bank, gdy wie o fraudzie kartowym (np. karta została skopiwana), to w trosce o swoje i Twoje pieniadze zablokuje całą kartę i wyda nową. Oczywiście zrobi to zdalnie i dopiero po dokonaniu zmiany prześle do klienta informację.

Pamiętajcie o jednym - dane (nikt nie powiedział że były to dane osobowe - przekazano hashe adresów e-mail) zostały przekazane w określonym celu. Nalezy zbadać, czy NK wykorzystała otrzymane informacje w określonym celu i tyle.

hashe

Hash czy goly e-mail - nie ma znaczenia. Przeciez na potrzeby mailingu wszyscy userzy musieli zostac zidentyfikowani. Wyslali maila na adres e-mail a nie na hash.

Nie trzeba było

Nie trzeba było identyfikować wszystkich - wystarczyło tylko tych, którzy mieli email w obu serwisach.

Jeśli porównano dwie bazy z hashami A (wykopu) i B (NK), to w efekcie otrzymano zestawienie zahashowanych adresów e-mail osób, które znajdują sie zarówno w wykopie jak też w NK. Mailing został wysłany wyłącznie do tych zidentyfikowanych osób. Czyli na adresy e-mail, które NK posiadała.

i o których nie wiedziała

VaGla's picture

...i o których wcześniej nie wiedziała, że korzystający z nich użytkownicy mają również konto w innym serwisie, a po takim porównaniu zyskała nową wiedzę o użytkownikach. Bez ich woli.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Czy posolone adresy?

Dokładnie.
Jestem też ciekaw czy posolono adresy przed utworzeniem skrótów.
Jeśli nie to równie dobrze mogli je przesłać w formie jawnej.

To tylko przypuszczenie.

To tylko przypuszczenie. Jeśli celem przekazania danych (z ustawy - celowosć i adekwatonosć przetwarzania danych osobowych) było wyłacznie wykonanie takiej operacji, jaką wykonała NK (zabezpiecznie posiadanych danych poprzez zmianę haseł), to zapisanie w zbiorze danych użytkowników NK informacji o tym, ze są oni użytkownikami wykopu byłoby bezprawne.

Czy dysponujesz dowodami na takie działanie, czy tylko z góry zakładasz bezprawnosć działań NK i jej złą wolę? Dotychczas nigdzie nie pojawiła się informacja o tym, że NK wprowadziła do swpojego zbioru danych nowy rekord, przypisując nową informację do poszczególnych użytkowników.
Odnoszę wrażenie, że wszyscy na około doszukują się teorii spiskowych.

Powyższe powinno zostać zweryfikowane przez GIODO. Innymi słowy GIODO powinno zweryfikować, czy NK wykorzystała pozsyskaną informację zgodnie z celem.

Generalnie zalecam więcej dystansu i zdrowego rozsądku. Pomyślcie czym NK ryzykowałaby dla uzyskania takiej niwiele wartej informacji. Co mogłoby zyskać NK, dowiadując się (bezprawnie), że 10.000 jej użytkowników spośród kilkunastu milionów korzysta z serwisu wykop. Tu nawet nie moze być mozwy o jakiejś spersonalizowanej reklamie, bo target jest za słaby, a przede wszystkim za mała jest grupa docelowa.

"zweryfikowane przez GIODO"

VaGla's picture

Powyższe powinno zostać zweryfikowane przez GIODO

Na razie, w oficjalnym stanowisku Wykop.pl (cytowanym powyżej), znajduje się jedynie informacja: "poinformowaliśmy GIODO". Poinformowaliśmy. Pytanie o tryb, pytanie, czy po poinformowaniu GIODO również wykazało jakąś reakcję, jeśli tak, to w jakim trybie i jaka to była reakcja? Na razie nie widzę informacji na temat "zweryfikowania" czegokolwiek przez GIODO.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Przypuszczenie, czy nie

To czy NK wykorzysta te dane w innym celu, czy nie to zupełnie nieistotna kwestia (równie dobrze mogliby ściągnąć wykopową bazę z któregoś mirrora). Chodzi o to, że wykop.pl oficjalnie udostępnił NK dane, użytkownicy nie zostali o tym nawet poinformowani, a polityka prywatności wykop.pl explicite mówiła o nieprzekazywaniu danych osobom trzecim.

Wnioski są następujące:

  • wykop.pl nie stosuje się do własnych regulaminów i polityk, czyli jest niewiarygodny jeżeli chodzi o tego typu zapewnienia
  • wykop nie był przygotowany na tego typu sytuację i robi "coś", żeby nie zarzucić im bezczynności
  • portale w Polsce czują się bezkarne jeżeli chodzi o zarządzanie danymi osobowymi (uogólnienie na podstawie wcześniejszego zachowania administracji NK, weryfikacji wieku w Allegro i obecnego zachowania administracji Wykop.pl)
  • niektórym użytkownikom pasuje brak ochrony ich danych osobowych lub po prostu przyzwyczaili się do braku kompetencji

Faktycznie, zle

Faktycznie, zle sformulowalem zdanie odnośnie tego że wszyscy użytkownicy musieli zostać zidentyfikowani. W domyśle chodziło mi o wszystkich użytkowników którzy posiadają konta na obu serwisach i zarejestrowali je na te same adresy e-mail. A po porównaniu hash'y i tak trzeba było zestawić to z adresem e-mail co w przypadku n-k sprowadza sie do tego ze np. Pan Kowalski, urodzony 28-04-1973 r., uczeszczajacy do takich i takich szkół, wygladajacy jak na zdjeciach, posiadajacy takich i takich znajomych, posiada rowniez konto na wykop.pl. I mimo ze zostaly porownane hashe, podejrzewam ze w bazie byly tez loginy z wykop.pl. Wiec możemy sprawdzić jakie dodatkowo Pan Kowalski ma zainteresowania. A ten Pan wg. regulaminu na wykop.pl miał prawo przypuszczać że pozostanie anonimowy na tym serwisie o ile nie popełni przestępstwa i nie zostanie zidentyfikowany przez uprawnione organy.

Chodzi o to że baza z wykop.pl została przekazana osobie trzeciej. W sumie zastanawiam sie jaka jest roznica pomiedzy wyciagnieciem niezabezpiezonej bazy danych z niezabezpieczonego serwera a przekazanie jej dobrowolnie przez wykop.pl innemu serwisowi. Obie kopie bazy były, podejrzewam, w takiej samej postaci tylko sposob ich "przekazania" sie różni.

A po porównaniu hash'y i

A po porównaniu hash'y i tak trzeba było zestawić to z adresem e-mail co w przypadku n-k sprowadza sie do tego ze np. Pan Kowalski, urodzony 28-04-1973 r., uczeszczajacy do takich i takich szkół, wygladajacy jak na zdjeciach, posiadajacy takich i takich znajomych, posiada rowniez konto na wykop.pl.

Znów, założenie z góry, że NK zrobiła coś wiecej niż wykonanie przedmiotu umowy. Skąd wiadomo, że NK wprowadziła nowe rekordy w zbiorze danych w postaci tabeli kto jest użytkownikiem wykopu, a koto nie. Nigdzie nie ma o tym informacji, a NK wypowiedziała się jasno - wykonano wyłącznie operację zmiany haseł i wysłaniu mailingu do zainteresowanych. Nigdzie nie podano, że utworzono nowy wpis w bazie danych osobowych.

I mimo ze zostaly porownane hashe, podejrzewam ze w bazie byly tez loginy z wykop.pl. Wiec możemy sprawdzić jakie dodatkowo Pan Kowalski ma zainteresowania

Podejrzewasz, bo snujesz spiskowe teorie. Równie dobrze mozesz podejrzewać, że przekazano także hasła, a NK zwróciła sie do MSWiA o zgodę na prównanie swojej bazy danych z bazą KSiP.

Nie rozumiem ,dlaczego ta dyskusja, zamiast toczyć sie merytorycznie na weryfikowalnych faktach, toczy sie na wyobrażeniach, opartych o szukanie spisków i dziłań bezprawnych tam, gdzie nic na to nie wskazuje.

Widzę, że orientuje się Pan w "przedmiocie umowy"

VaGla's picture

Znów, założenie z góry, że NK zrobiła coś wiecej niż wykonanie przedmiotu umowy. Skąd wiadomo, że NK wprowadziła nowe rekordy w zbiorze danych w postaci tabeli kto jest użytkownikiem wykopu, a koto nie.

Skoro umowa dotyczyła przekazania danych o użytkownikach, to pewnie użytkownicy powinni mieć wgląd w treść umowy, która ich dotyczy?

Aby uzyskać informacje nie trzeba "wprowadzać" nowych rekordów. Wystarczy wynik odpowiedniego porównania tabel wysłać do innej bazy (w szczególności pliku tekstowego, z rekordami oddzielonymi np. średnikiem). Dane takie uzyskano, skoro do wybranych osób wysłano maile z informacją o zresetowaniu haseł, same hasła tym osobom zresetowano (a więc wiadomo, kiedy był masowy reset haseł, co wskazuje też - w już istniejących bazach - na to, że chodzi o takie, a nie inne osoby). I tak dalej. Nawet jeśli informacja przechowywana jest nie "wprost", a "pośrednio", to i tak oznacza, że administrator NK ją ma, a wcześniej nie miał.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Skoro umowa dotyczyła

Skoro umowa dotyczyła przekazania danych o użytkownikach, to pewnie użytkownicy powinni mieć wgląd w treść umowy, która ich dotyczy?

Znów zakładasz cos z góry, a mianowicie, że zostały przekazane dane o użytkownikach. Jeśli tak, to jakie dano o użytkownikach zostały przekazane? Co o użytkownikach mówi informacja o treści "6a645004f620c691731b5a292c25d37f? ?

Nawet jeśli informacja przechowywana jest nie "wprost", a "pośrednio", to i tak oznacza, że administrator NK ją ma, a wcześniej nie miał.

I znów wszystko zależy od tego co zrobił administrator, jakie informacje zarchiwizował. Równie dobrze mogła być stworzona tmczasowa tabela do wykonania określonej operacji, po czym została ona usunieta. Jednak na potrzeby bicia piany wygodniej węszyć podstępne działania dwóch spółek :)

Przy okazji warto zastanowić sie nad inną, zupełnie nie poruszaną sprawą. Skoro przy zatrzymaniu sprawców zabezpieczono "wszystkie kopie" skradzinej bazy, to powstaje pytanie ile osób ma będzie mieć w przyszłości do niej dostęp?
- policjanci biorący udział w czynnosciach (kilkadziesiat osób)
- pracownicy prokuratury i sądu
- biegli pwooływani do badań zabezpieczonych dysków i innych pamieci

Wykop poepłnił błąd i to nie podlega dyskusji. Nie rozumiem jednak dlaczego robić nagonkę na ten serwis za to, że chce minimalizować skutki swojej nieodpowiedzialnosci? Może zamiast bić pianę o sposób naprawy błędó, moze warto zastanowić się nad tym co zrobić, jeśli podobne sytuacje bedą miały miejsce w przyszłości? Wedle mojej wiedzy nie ma aktualnie przpisów, które pozwalałyby np GIODO zadbać o bezpieczenstwao danych w innych serwisach. Dlaczego GIODO, które z założenia ma być straznikiem naszych danych osobowych nie ma narzędzi, które pozwalałyby mu na podejmowanie szybkich działań i decyzji w takich sytuacjach. GIODO nie ma np. instrumentu, które pozwoliłyby mu aby nakazł jednemu podmiotowi określone działania na rzecz zapewnienia bezpieczeństwa danych przetwarzanych przez inny podmiot.

Nagonka

VaGla's picture

Nie rozumiem jednak dlaczego robić nagonkę na ten serwis...

Proszę sprawdzić inne teksty w tym serwisie. Jestem przekonany, że nie znajdzie Pan tu (intencjonalnej) nagonki na jakikolwiek serwis lub spółkę (chociaż czasem przestrzegam przed jakimiś tezami głoszonymi przez różne osoby, wyjaśniając jednak dlaczego to robię). Tematyka poruszana w tym serwisie dotyczy "prawnych aspektów społeczeństwa informacyjnego". Prowadzona tu jest dyskusja na temat przepisów i praktyki ich stosowania. Nikt tu raczej nikogo nie piętnuje (może czasem jakiś wyjątek się pojawi, ale nie jest to zasadą). Jeśli ta sytuacja jest rozwałkowywana, to dlatego, że prawo w działaniu najlepiej oceniać na konkretnych przykładach. A takich przykładów dostarcza nam nieocenione życie, w szczególności w takich sytuacjach, gdy jedna spółka przekaże pewne dane drugiej, gdy dane wcześniej - jak się wydaje - nie były zabezpieczone, chociaż Policja twierdzi, że przełamano zabezpieczenia. Jeśli teraz wszystko jest w porządku, to po rozwałkowaniu tego tematu, kiedyś, w przyszłości, jakiś czytelnik, który będzie zastanawiał się, czy może innemu podmiotowi przekazać zahashowane maile użytkowników prowadzonego przez siebie serwisu znajdzie tu (być może) odpowiedź. Znajdzie ją w postaci bardziej przydatnej (minimalizującej niepewność prawa), gdy wypowie się w takiej sprawie GIODO lub UOKiK. Ot, co.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Z informacji na blogu

Z informacji na blogu Olgierda wynika, ze NK wyslalo e-maile nawet do osob, ktore nigdy na NK konta nie mialy (ale mialy na wykopie) - jak to mozliwe?
http://olgierd.bblog.pl/wpis,kolejny;wyciek;danych;uzytkownikow;wykop;pl,35132.html#komentarze

Nigdzie nie podano, że utworzono nowy wpis

Nigdzie nie podano, że utworzono nowy wpis w bazie danych osobowych.

Ciekawy wątek. VaGla postuluje, że można było zdobyć wiedzę na temat tego, kto używa dwóch serwisów wykop i NK na raz, a Pan sugeruje, że takiej wiedzy nigdzie nie utrwalono (nie oświadczono, że utrwalono, a zdrowy rozsądek karze mi też w to wierzyć). Jestem świadom, że żaden admin "nie nauczył się milionów użytkowników na pamięć", więc albo jest rekord w bazie danych (czy na innym lewym pendrajwie) do późniejszej analizy i wykorzystania, albo go nie ma. To tyle co do możliwości rzeczywistego zaistnienia problemu.

Oczywiście w żadnym z dotychczasowych regulaminów nie ma zastrzeżenia o tym, że spółki mogą jakimikolwiek danymi o użytkownikach się wymieniać - stąd wątpliwość prawna. A ja jeszcze nie wiem, skąd domniemanie, że hasło zakłada się po to, żeby żaden inny obywatel nie logował się na to konto. Może dla niektórych wygodniej jest używać jednego prostego hasła, żeby się powymieniać kontem z innymi dla zabawy. Po co łączyć konto systemu informatycznego z rzeczywistą tożsamością obywatela, dlaczego to jest wartością? Mówią już coś o tym na parafiach? O! Na naszej-klasie są nawet konta explicite "fikcyjne". Czy społeczeństwo obywatelskie zakłada ochronę Myszki Miki przed kradzieżą tożsamości i wiedzy, jakiego kaczora Donalda wykopywała z wykopu? ;)

NK to nie instytucja

Niestety Nasza-Klasa nie jest instytucją, której należy ufać z założenia jak urzędom czy różnym organom państwowym. To zwykłe przedsiębiorstwo prowadzone przez zwykłych ludzi i nie widzę żadnej różnicy w przekazaniu tych danych NK czy dowolnej innej osobie prowadzącej własną firmę. Nie mam żadnej podstawy, żeby NK i jej pracownikom ufać bardziej niż dowolnej innej firmie. W związku bardzo naturalnym wydaje mi się dociekanie dlaczego akurat te a nie inne firmy dostały te dane oraz dociekanie czy na pewno dostały je w formie nie pozwalającej im na wykorzystanie tych danych. Ponieważ wiemy jednak, że forma z założenia była nazwijmy to "informacjogenna" to ja osobiście wolałbym, żeby tego typu akcje odbywały się pod ścisła kontrolą. Komisyjnie, urzędowo... nie mam pojęcia jak (nie znam się na prawie), ale tak, żeby była pewność, że ktoś patrzy komuś na ręce i pilnuje, żeby dane nie zostały w żaden sposób wykorzystane, a wszelkie powiązania zniknęły zaraz po operacji zmiany haseł.

IMHO wystarczyłoby powiadomić, że ryzyko istnieje i umieszczać monity lub zwyczajnie WSZYSTKIM kazać w ograniczonym i krótkim terminie zmienić hasła.

Przekazanie danych osobowych

Digital Mike's picture

Przekazanie danych osobowych jest ich przetwarzaniem. Nie jestem użytkownikiem Wykop.pl, więc nie wiem na co wyraża się zgodę przy rejestracji w tym serwisie.
Ważniejsze jest dla mnie to, iż cokolwiek z tymi danymi robiła NK to i tak je, w rozumieniu uodo, przetwarzała. Jest to ciekawe zwłaszcza w kontekście art. 49 uodo: kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Zgodnie z uodo administrator danych może powierzyć przetwarzanie danych innemu podmiotowi, w drodze umowy zawartej na piśmie. Co ciekawe w oświadczeniu Wykop.pl nie pojawia się nigdzie sformułowanie „umowa o powierzenie przetwarzania danych” a jedynie „porozumienie”. Podejrzewam, że tzw. ”porozumienie” może nie spełniać cech ustawowej „umowy” czyli np. nie określa zakresu i celu przetwarzania danych. Gdyby tak było to NK odpowiadałaby z art. 49 uodo.
GIODO już od tygodnia powinien siedzieć w Wykop.pl i przeprowadzać tam kontrolę. Z pewnością doszło do zaniechania zabezpieczenia danych, a w takim wypadku GIODO jest zobowiązanie skierować odpowiednie zawiadomienie o popełnieniu przestępstwa.

Pan Dominik Kaznowski,

Pan Dominik Kaznowski, Pełnomocnik Zarządu ds. Marketingu i Public Relations, poinformował na pressforum Naszej-Klasy (http://nasza-klasa.pl/press/forum/22?find=last#post8 - dostęp tylko dla dziennikarzy):

Porozumienie [to,] to kilkustronicowy dokument "UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH" podpisany przez Zarząd NK i Zarząd Wykop, gdzie został wyraźnie określony cel oraz czas wykonania określonych operacji.
Innymi słowy wszystko co zostało zrobione ma oparcie o obowiązujące w Polsce przepisy.

Umowa powierzenia?

VaGla's picture

Do tej pory można było zapoznać się z komunikatami, z których wynikało, że przecież adresy poczty były zahashowane, więc w istocie - jak chcieli niektórzy komentatorzy - nie było tam wcale danych osobowych. Jeśli nie było danych osobowych, to co przekazano innej spółce w ramach wykonania "umowy powierzenia przetwarzania danych osobowych"?

Gazeta.pl publikuje tekst Nasza-klasa resetuje hasła. Po sygnale od Wykopu. Tam kilka interesujących fragmentów:

- Zwrócimy się do obu serwisów o wyjaśnienie tej kwestii - mówi rzecznik GIODO. Wysłaliśmy zapytanie w tej sprawie do Naszej-klasy. Odpowiedź mamy dostać we wtorek.

oraz:

Po ujawnieniu wycieku wśród internatów zaczęły też krążyć plotki, że Wykop nie zgłosił do GIODO informacji, iż prowadzi bazę danych użytkowników. A do tego jest - według prawa - zobowiązany. Sprawdziliśmy. GIODO otrzymał zgłoszenie, ale w... lipcu 2009. - Dokładnie 6 lipca. Postępowanie w sprawie rejestracji tego zbioru jest w toku - mówi nam rzeczniczka GIODO.

Ale...
Czy rzeczywiście każdy "portal" internetowy musi zgłosić do GIODO zbiór danych osobowych?

Zgodnie z art 43 ustawy o ochronie danych osobowych "z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych (...) 11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego"... Oczywiście można się spierać, co to są "drobne bieżące sprawy życia codziennego", ale - ponieważ zależy nam na jakiejś pewności prawnej, sięgnijmy do tego, co GIODO o tym pisze na urzędowych stronach:

Pojęcie "drobnych bieżących spraw życia codziennego", użyte w art. 43 ust. 1 pkt 11 nie zostało zdefiniowane w ustawie. Także Kodeks cywilny, który się nim posługuje, nie precyzuje omawianego sformułowania. Konieczne zatem wydaje się odwołanie do istniejącego na gruncie K.c. orzecznictwa i literatury przedmiotu. Uznać więc należy, że chodzi o sprawy drugorzędne, nie mające zasadniczego znaczenia dla administratora danych. Jednocześnie jednak ta "drugorzędność" powinna mieć charakter obiektywny, w przeciwnym wypadku zbiór zawierający określone dane i służący określonym celom, prowadzony przez jednego administratora, a uznany przez niego za prowadzony w "drobnych bieżących sprawach życia codziennego" może nie być uznany za taki przez innego dysponenta zbioru. W ujęciu subiektywnym określony zbiór dla jednych podmiotów stanowi rzeczywiście zbiór drugorzędny, dla innych natomiast mieć znaczenie zasadnicze. Może to doprowadzić do znacznej niejednolitości praktyki, co zwłaszcza z uwagi na penalizację nie zgłoszenia zbioru do rejestracji (art. 53 ustawy) nie powinno mieć miejsca. Dla przykładu wskazać należy, iż Generalny Inspektor za przetwarzanie danych w drobnych bieżących sprawach życia codziennego uznał przetwarzanie danych w zbiorach prowadzonych w celu kontroli wstępu na teren określonych obiektów (tzw. księgi wejść i wyjść).

No właśnie. Ale na stronach GIODO jest jeszcze ciekawszy materiał edukacyjny, tj. odpowiedź na pytanie: Czy założyciel portalu internetowego musi zgłosić do rejestracji Generalnemu Inspektorowi bazę danych zawierającą informacje o osobach reprezentujących firmę (nazwiska osób "kontaktowych";), która zarejestrowała się w portalu?, w której czytamy:

(...)
Podstawą zwolnienia administratora danych z obowiązku rejestracji zbioru danych osób "kontaktowych" jest art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych. Przesłanka ta ma zastosowanie wobec zbiorów danych "przetwarzanych w zakresie drobnych bieżących spraw życia codziennego".

Zbiór danych osób kontaktowych służy usprawnieniu, przyspieszeniu działalności administratora. Zbiór ten ma zatem charakter pomocniczy, a co za tym idzie dane w nim zawarte traktować należy jako przetwarzane w zakresie drobnych, bieżących spraw życia codziennego.
(...)

Z tego wniosek, że Wykop sp. z o.o. być może wcale nie musiał rejestrować zbioru danych osobowych, a jedynie (lub "aż") chronić te dane (na najwyższym z poziomów bezpieczeństwa, gdyż systemy używane do przetwarzania danych połączone są w przypadku portali z siecią wykorzystywaną do świadczenia usług publicznych) i spełnić obowiązki informacyjne wobec osób, których dane przetwarzał...

--
[VaGla] Vigilant Android Generated for Logical Assassination

Czyli ty lub zwykłe forum

SpeX's picture

Czyli ty lub zwykłe forum które przy rejestracji zbiera jakieś podstawowe dane (nick, mail z czasem IP) musi taką bazę rejestrować w GIODO?

Wykop nie musiał

Digital Mike's picture

Wykop nie musiał rejestrować? Skoro powierzył przetwarzanie to musiał - umowy o przekazanie danych z pewnością nie można uznać za umowę zawieraną w drobnych, bieżących sprawach życia codziennego.

Poza tym jeżeli zbiór danych osobowych Wykop.pl choć jeden raz przez te wszystkie lata został wykorzystany w innym celu niż administracja serwisu np. marketingowo, to z całą pewnością podlegał rejestracji.

Ciekawe ile Wykop zainkasował od NK?

Jakby się tak zastanowić - dlaczego Wykop przekazał te dane Naszej Klasie?
Przecież nie z troski o konieczność resetu haseł, w końcu swoim użytkownikom na siłę haseł nie resetowali, jedynie posłali maila, że dobrze by było pozmieniać.

No chyba nie po "dobrej znajomości" - równie dobrze mogliby przekazać te dane dwudziestu innym serwisom. Wykop żadnego interesu w przekazaniu tych danych nie miał, to NK zyskiwała nową wiedzę i możliwości.

Więc pozostaje jedna opcja: NK po prostu zapłaciła Wykopowi.

W sumie niezły interes - hej, ukradli nam bazę userów, za drobną (manipulacyjną) opłatą sprzedamy dane umożliwiające identyfikację userów wszystkim chętnym. Oczywiście wszystko w ramach "standardowych procedur" i "dobrych praktyk" ;>.

Umowa czy nie, GIODO, hash, poczta

To czy wykop podpisał umowę z nk nie ma znaczenia dla użytkowników, i tak dane (niekoniecznie osobowe) zostały przekazane. A na to użytkownicy się raczej nie zgadzali.

Zgłoszenie do GIODO w 6 lipca 2009, w toku. A tu wykop.pl pokazuje, że nie potrafi tymi danymi osobowymi należycie zarządzać.

Kolejna kwestia, poruszona wcześniej, ale widocznie niedostatecznie wytłumaczona.
Nawet jeśli wykop przekazał same hashe zagrożonych adresów mailowych. To w wyniku porównania z hashami z nk zostały wybrane te, które są w obu bazach. No i niech ktoś mi teraz powie, jak nk wysłała na dane hashe wiadomości e-mail? Bo ja nie widzę sposobu, musieli wysłać na adres jawny, czyli tworząc zestawienie, musieli mieć e-mail | hash.
Słysząc informacje o mailingu do osób, które nie mają konta na nk śmiem wątpić w przekazanie samych hashy...

Na koniec. Czemu wykop nie przekazał danych np do portali, w których te e-maile zostały założone. Jest przecież duża szansa, że ktoś ma takie same hasło do poczty jak do serwisu wykop, niekoniecznie musi mieć konto na nk. Zatem zagrożenie ze strony posiadania takiego samego hasła do samej poczty jest większe od tego do posiadania takiego samego konta na nk. Poza tym włamanie na czyjeś konto na nk nie jest takie straszne, najwyżej na czyjeś konto zostaną skomentowane zdjęcia, dodane nowe, usunięte istniejące. Włamanie na skrzynkę pocztową może być gorsze w skutkach. Stąd moje pytanie, czemu wykop nie przekazał danych do o2.pl, onet.pl, interia.pl, gmail.com etc ?

Są szanse ze przynajmniej

Są szanse ze przynajmniej google taką bazę dostało. Poprosiłem, w komentarzu na wykopowym blogu, o informację czy takie zgłoszenia gdzieś jeszcze poszły. Mam podstawy przypuszczać że mój e-mail na gmail.com został w jakiś sposób zgłoszony jako potencjalnie zagrożony. Wieczorem, 20 września, pojawiła mi się po zalogowaniu na pocztę informacja abym potwierdził zapasowy adres e-mail na który, w razie utraty dostępu do konta, zostanie wysłane przypomnienie. Na żadnym innym koncie które posiadam na gmail.com nie powtórzyło się to pytanie. Jest to e-mail który był przypisany do mojego konta na wykop.pl.
Niestety na tą wątpliwość nie doczekałem się odpowiedzi pod komentarzem.

Nie mam konta na wykopie ani

Nie mam konta na wykopie ani nk, a również na gmailu mam monit o potwierdzenie dodatkowego adresu, więc obie sprawy nie mają ze sobą raczej nic wspólnego

Na Gadu-Gadu otrzymuję

Na Gadu-Gadu otrzymuję ostatnio więcej spam'u z trefnymi linkami, niż sensownych rozmów . . .
Podobnie ma się sprawa z upublicznianiem zdjęć klasowych i osób, które kont na eNKeju nie mają . . . to jest łamanie prawa! Czy wszyscy na zdjęciu klasowym wyrazili zgodę na publikację swojej podobizny w internecie?
To jest terroryzm i udzielanie wglądu w swoją przeszłość osobom bez upoważnienia!
"W internecie" nich sobie będą politycy, sportowcy, aktorzy, śpiewacy i Ci co się tam pchają (a nie ludzie prywatni, którzy dbają o swoją anonimowość, a tracą ją przez "wykluczenie cyfrowe i prawne" innych).

Allegro "kontynuuje"...

VaGla's picture

Sprawa wycieku z Wykopu nieco ucichła, tymczasem Allegro "kontynuuje" resetować hasła użytkownikom. Kolejne osoby otrzymały list o treści:

Kontynuujemy akcję zwiększania bezpieczeństwa w serwisie. W związku z tym przy najbliższym korzystaniu z Allegro zmień swoje hasło do konta.

Jeśli nie zmienisz hasła, w połowie października stracisz dostęp do tych funkcji serwisu, które wymagają logowania. Odzyskasz go po zmianie hasła. Służący do tego formularz otworzy się wówczas automatycznie zamiast zwykłej strony logowania. Pamiętaj, aby uaktualnić hasło również w zewnętrznych aplikacjach i programach, używanych do obsługi konta w Allegro.

Nasza prośba podyktowana jest troską o bezpieczeństwo Użytkowników. Nie chcemy, aby do kont uzyskały dostęp osoby niepowołane. Jednocześnie przepraszamy Cię za niedogodności, jakie może spowodować konieczność zmiany hasła

A ja, po wycieku haseł z Wykopu, po opublikowaniu komentarza w sprawie resetu haseł w serwisie Nasza-klasa, otrzymałem anonimowe doniesienie, w którym jego autor był uprzejmy napisać:

...gwarantuje, że Allegro w ciągu najbliższych dni wymusi "miekko" zmiany hasła. Nie będzie mailingu, użytkownikom będzie się wydawać, że wpadli w program "zmiany łatwych haseł" prowadzony od jakiegoś czasu.
(...)

Życzliwy sugeruje, by prześledzić KRS, by powiązać ze sobą Wykop, Naszą-klasę oraz wydawców Allegro. To nie moja sprawa i równie dobrze mogła to być próba dyskredytacji Allegro. W każdym razie doniesienie życzliwego wpłynęło do mnie 21 września.

--
[VaGla] Vigilant Android Generated for Logical Assassination

inny spory wyciek guardian jobs

A dane wyciekają, wyciekają
http://www.guardian.co.uk/technology/2009/oct/25/guardian-jobs-site-hack

Dodaj nowy komentarz

Zawartość tego pola nie będzie publicznie dostępna.
  • Dopuszczalne tagi HTML: <a> <em> <del> <ins> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Rozpoczynanie akapitów i łamanie wierszy następuje automatycznie.
  • Użyj [# ...] by dodać automatycznie numerowany przypis dolny (footnotes).

Więcej informacji na temat opcji formatowania

CAPTCHA
Niestety spamerzy atakują, dlatego muszę się bronić.
4 + 3 =
Rozwiąż to proste zadanie matematyczne. Dla przykładu: 1+3 daje 4.

O autorze serwisu VaGla.pl Prawo i Internet

VaGlaPiotr VaGla Waglowski - prawnik, publicysta i webmaster. Pracownik Interdyscyplinarnego Centrum Modelowania Matematycznego i Komputerowego Uniwersytetu Warszawskiego, członek Rady ds. Cyfryzacji przy Ministrze Administracji i Cyfryzacji, felietonista miesięcznika IT w Administracji oraz miesięcznika Gazeta Bankowa. Uczestniczy w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo (dawniej Przeciw Korupcji). W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Rady Informatyzacji działającej przy Ministrze Administracji i Cyfryzacji, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 pełnił funkcję Zastępcy Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Konsultant, trener, wykładowca, autor publikacji dotyczących prawnych aspektów społeczeństwa informacyjnego.