włamania

Sprawa niezachowania zasad bezpieczeństwa przy przetwarzaniu danych ubiegających się o staż w banku PeKao wciąż jest aktualna (por. Jak bank przechowywał dane osób ubiegających się o praktyki i staże). Tym razem Generalny Inspektor Ochrony Danych Osobowych wystosował do internautów apel, by nie rozpowszechniali pobranych danych. Wcześniej rzecznik banku twierdził, że po sprawdzeniu numerów IP internautów, którzy takie dane pobrali, bank będzie kierował sprawy do prokuratury. Moim zdaniem nie ma podstaw do uruchamiania procedury karnej przeciwko osobom, które dane pobrały, ale zgadzam się z GIODO, że należy szanować godność ludzką oraz prawo do prywatności. Oczywiście uważam, że dalsze publikowanie pobranych danych jest działaniem nagannym.

"...kiedy zostaną ustalone numery IP tych internautów, którzy wykorzystali błąd informatyków i bezprawnie ściągali na swoje komputery prywatne dane z serwera banku PEKAO SA, osoby te zostaną pociągnięte do odpowiedzialności karnej."

Wedle doniesień mediów - osiemnastolatek włamał się do szkolnego komputera i poprawił swoje oceny z "F" na "A". Prokuratorzy z Orange County (USA) uważają, że powinien w związku z tym odbyć karę pozbawienia wolności w wymiarze 38 lat. Jak komentują media - chłopak dość długo poczeka, by zacząć studiować w college'u.

Właśnie jeden z komentarzy przypomniał mi o notatce z 2004 roku: Przy okazji: administracja Sejm.gov.pl. Wisi tam sobie niewinnie, chociaż była wówczas również dyskusja w Usenecie. Jednym słowem - sprawa niezabezpieczonego poprawnie serwera Kancelarii Sejmu nie jest niczym tajnym ani nowym. 4 lata temu administrator serwera stwierdził, że dziura musi zostać, "...ze względu na licencje związane z Verity". Ciekawe, czy te licencje naprawdę powodują, że serwera nie można zabezpieczyć...

Sprawa, w której kluczowym elementem jest ujawnienie luk w mechanizmie obsługującym witrynę internetową, nadal się toczy (por. Ciąg dalszy w sprawie, w której kajdanek użyto po podpisaniu klauzuli poufności). Tymczasem internauci śledzą (i wykopują) kolejną historię - tym razem chodzi o ujawnienie sposobu, w jaki można dostać się na internetowe "konta" klientów Netii. Okazało się, że wielu klientów Netii otrzyamło standardowo bardzo łatwe hasło (np. "1234"). Z tą wiedzą każdy może/mógł wejść do serwisu operatora i tam, "na czyjś rachunek", doładować sobie telefon. Zervis, któremu ktoś "nabił" w ten sposób rachunek na 300 złotych postanowił sprawdzić jak to działa. Udało mu się dostać na konta 10 różnych klientów operatora, następnie opisał sprawę w internecie, a równocześnie poinformował o całej sprawie przedsiębiorstwo telekomunikacyjne. Netia zbiera teraz przeciwko niemu dowody i zamierza "przekazać sprawę odpowiednim organom"...

Polskie Ministerstwo Spraw Wewnętrznych i Administracji planuje przeprowadzić testy skanerów do pobierania biometrii w postaci odbitek linii papilarnych do systemu paszportowego i wizowego, kolega rk3745 krytykuje Wielofunkcyjny dowód pl.ID, a dane osobowe sześciu milionów obywateli Chile (40% obywateli) wyciekły z serwerów tamtejszego Ministerstwa Edukacji, Komisji Wyborczej oraz wojska. Jak się do tego doda jeszcze zaufany profil albo nagrodę za pozyskanie linii papilarnych brytyjskiego premiera, to krótko można powiedzieć: mamy zderzenie funkcjonowania państwa i prywatności obywateli.

Według informacji policyjnych pewna młoda kobieta "włamała się na konto internetowe" żony mężczyzny, na którym chciała dokonać aktu zemsty (jako na byłym chłopaku). Po włamaniu (jak tego dokonała, o tym historia na razie milczy, ale zaczynam się obawiać, jeśli polskie społeczeństwo wykształciło już tak sprawne dziewczyny) miała - zmienić hasło zabezpieczające profil i podmieniła treści tam opublikowane a dostępne dla innych internautów.

Podobnie jak to było w przypadku "włamania się" dziennikarzy Reutersa na strony jednej ze spółek, o czym miało świadczyć to, że napisali o pewnym raporcie wcześniej niż inni (bo raport był na serwerze, tylko "niepodlinkowany"), tak i w przypadku irlandzkiego odpowiednika Inspektora Ochrony Danych Osobowych (w tamtym modelu inspektor odpowiada również za regulacje udostępniania innych danych, stąd "Data Protection Commissioner") - nie było włamania. Dzień przed ogłoszeniem raportu pewien człowiek uzyskał dostęp do dorocznego raportu przed jego "oficjalnym opublikowaniem"...

Gdy już ktoś opublikuje w Sieci zawartość pendriva, który Microsoft rozdaje polskiej Policji (za darmo), by pomóc jej w zbieraniu dowodów "hakerskiej sceny", to proszę uprzejmie o sygnał. Ktoś powinien przeanalizować to oprogramowanie, zwłaszcza pod kątem jego legalności w polskich warunkach, bo wiadomo o co chodzi: zapoznanie się z informacją nie przeznaczoną dla kogoś, albo też urządzenia i programy służące do zdejmowania (skutecznych technicznych) zabezpieczeń... A może pendrive zawiera narzędzia pozwalające na wykorzystanie celowo zostawionej w systemie dziury przez producenta? Wiele autorów komentarzy się nad tym zastanawia. Ponoć na pendrivie nie ma nic, czego wcześniej by nie ujawniono...

Wedle informacji policyjnych dwóch mężczyznpara młodych ludzi (mężczyzna i kobieta) postanowiła przejąć konta poczty elektronicznej oraz konta komunikatorów - byłej dziewczyny - jak rozumiem - jednego z nichbyłej dziewczyny mężczyzny. Po przejęciu kont zmienili hasło dostępu, a następnie rozsyłali w imieniu dziewczyny obraźliwe komunikaty. Mamy więc przykład phishingu. Przy okazji zachęcam do porównania notatek policyjnych i tych, które pojawiają się w tradycyjnej już (można chyba tak powiedzieć) "prasie internetowej"...