włamania

U nas Ministerstwo Finansów (tymczasowo?) wycofało się z projektu wprowadzenia Rejestru Stron i Usług Niedozwolonych tymczasem we Francji przyjmują właśnie ustawę Loppsi 2 (wspomniałem o niej w czerwcu zeszłego roku, w tekście Dlaczego niektóre przepisy ustawy HADOPI uznano za niezgodne z francuską konstytucją). Loppsi to skrót od loi d'orientation et de programmation pour la performance de la sécurité intérieure - ustawa o planowaniu i gwarantowaniu bezpieczeństwa wewnętrznego. "Dwójka" to ustawa, która ma m.in. umożliwić filtrowanie treści, aby uniemożliwić obywatelom dostęp do... tak, tak, do pornografii dziecięcej. Tylko, że projektowana we Francji ustawa filtrowanie wprowadza niejako "przy okazji" innych, ciekawych rozwiązań legislacyjnych, m.in. policyjnych trojanów, ale też prawa o ruchu drogowym.

"Wojna cyfrowa" (cyber war) może być groźniejsza niż tsunami, dlatego należy przyjąć międzynarodowy traktat, który wprowadzi we wszystkich krajach zrzeszonych w Organizacji Narodów Zjednoczonych specjalne licencje - odpowiedniki "prawa jazdy" w świecie realnym. To teza, którą miał wypowiedzieć na szczycie w Davos (World Economic Forum) sekretarz Generalny International Telcommunications Union (ITU; to jest ta organizacja, która corocznie otwiera i patronuje obchodom wcześniej Światowego Dnia Telekomunikacji, później Światowego Dnia Społeczeństwa Informacyjnego). O co chodzi z tymi licencjami? Wydaje się, że jest to wezwanie do powszechnej identyfikacji użytkowników internetu (por. Rozważania o anonimowości i o przesyłaniu (niezamówionych) informacji).

Opublikowano kolejną wersję Projektu ustawy o zmianie ustawy o grach hazardowych oraz niektórych innych ustaw w wersji przekazanej do rozpatrzenia przez Komitet Rady Ministrów. Chodzi m.in. o ten Rejestr Stron i Usług Niedozwolonych (o którym ostatnio pisałem w tekście Internetowe czytanie uwag zgłoszonych MinFinowi do projektu Blokowania Stron i Usług). Nowy projekt datowany jest na siódmego grudnia. To efekt prac tych dwóch zespołów, które miały się zajmować materią projektu po przeprowadzonej dwa tygodnie temu konferencji uzgodnieniowej. Nie tylko sam "Rejestr" jest tu istotny, ale również proponowane zmiany w innych ustawach. Przy okazji zamieszania z "Rejestrem" przeprowadza się właśnie nowelizację w zakresie retencji danych telekomunikacyjnych. Pojawiły się przepisy, które mają pozwolić Policji, Straży Granicznej, Żandarmerii Wojskowej, wywiadowi skarbowemu, Agencji Wywiadu, ABW, Służbie Kontrwywiadu Wojskowego, Służbie Celnej, uzyskiwanie danych użytkowników stron internetowych. Proponuje się też możliwość ograniczania swobody świadczenia usług drogą elektroniczną... I to wszystko raczej społecznie nie będzie konsultowane...

Dwudziestoletni mężczyzna, Matthias L., który - jak twierdzą media i niemiecka policja - pobrał ("zassał", "zgrabował", nie ma polskiego słowa?) dane użytkowników serwisów StudiVZ i SchülerVZ (ponoć to serwis, który przypomina trochę serwis Nasza-klasa.pl, chociaż znajomości klasowe były raczej pielęgnowane w drugim), po zatrzymaniu i będąc w areszcie - popełnił samobójstwo. Niektóre media nazywają mężczyznę hackerem. Jednak stawiane są również pytania o rolę wydawcy serwisu internetowego, do którego danych mężczyzna potrafił i mógł się dostać. Dlaczego? Dlatego, że - chociaż mężczyzna "uzyskał dostęp" do danych kilku milionów osób - były to tylko "publiczne profile" użytkowników, zaś sam mężczyzna - jak sugerują komentarze - nigdzie się nie włamywał. Padają również pytania o system wymiaru sprawiedliwości i działanie organów ścigania.

"W związku z pojawiającymi się informacjami w mediach dotyczącymi działalności serwisu WykręćNumer.pl i postawionymi przez ABW zarzutami, że serwis jest zagrożeniem dla bezpieczeństwa Państwa Polskiego, informujemy, że od dnia 6 listopada 2009 nastąpi zmiana dotychczasowego właściciela serwisu - firmy INTER GROUP zarejestrowanej w Polsce, na nowego - InterCom Telecommunications Ltd. zarejestrowaną w Wielkiej Brytanii". Taki komunikat pojawił się w serwisie wykrecnumer.pl. Ciekawe podejście, ale nie przypuszczam, by coś pomogło mieszkańcowi Nysy, który - jak wynika z doniesień mediów - postanowił uruchomic ten serwis. Zobaczymy, co będzie dalej.

W lipcu dowiedzieliśmy się, że Amazon zdalnie wykasował "elektroniczne książki" z urządzeń konsumentów. Jest ciąg dalszy tej sprawy. Kiedy Amazon kasował zdalnie z urządzeń Kindle elektroniczne książki, to przy okazji usunął z jednego z urządzeń notatki związane z książką Orwella. Student (o polskobrzmiącym nazwisku Justin Gawronski), który zrobił sobie te notatki, postanowił zwrócić się do sądu, domagając się odszkodowania. Z ostatnich doniesień wynika, że Amazon zawarł ze studentem (i innymi stronami sporu) ugodę: zapłaci m.in. 150 tys dolarów, które pełnomocnicy powoda przeznaczą na cele dobroczynne.

Sytuacja robi się coraz bardziej interesująca. Serwis Nasza-klasa.pl (prowadzony przez spółkę Nasza Klasa Sp. z o.o.) postanowił zmienić (zresetować) niektórym użytkownikom hasło dostępu do swoich usług. Stało się to - jak wynika z maila rozesłanego do tych użytkowników - na podstawie danych udostępnionych Naszej-klasie przez spółkę Wykop sp. z o.o., co zaś nastąpiło w wyniku "porozumienia" między tymi dwoma podmiotami... Rozumiem, że na tak małym rynku wszyscy prowadzący serwisy internetowe znają się i lubią, ale zastanawiam się, jak do tej sytuacji odniesie się Generalny Inspektor Ochrony Danych Osobowych, który został o sprawie poinformowany przez Wykop. Warto dowiedzieć się od strażnika danych osobowych, jak ocenia tego typu praktyki.

Policja zatrzymała ludzi, którzy - jej zdaniem - są odpowiedzialni za wydobycie danych użytkowników serwisu Wykop.pl (por. Warto mieć różne hasła w różnych serwisach (społecznościowych) czyli wyciek danych z Wykop.pl). Policja twierdzi również, że "odzyskano wszystkie skradzione kopie bazy danych". W opisie działań sprawcy komunikat policji wspomina o "pokonaniu zabezpieczeń".
Aktualizacja: dodałem komentarz p. Michała Białka z serwisu Wykop.pl, którego zapytałem o kilka spraw.

We Francji od 1 lipca urzęduje nowy minister Kultury i Komunikacji - Frederic Mitterrand. Usiłuje on przeforsować projekt ustawy HADOPI 2, chociaż wcześniejszy projekt ustawy, pozwalający odcinać internautów od Sieci, został poddany ocenie konstytucyjnej, a po uznaniu części przepisów za niezgodne z konstytucją pozostawiono "wydmuszkę". Administracja prezydenta Sarkozego jest wyraźnie zdeterminowana, by przepisy pozwalające na odcinanie internautów od Sieci jednak przyjąć. Wczoraj nowa ustawa została przegłosowana przez Zgromadzenie Narodowe (co jeszcze nie kończy procesu legislacyjnego), ale opozycja znów przygotowuje się do batalii konstytucyjnej.

Jurii zadał dobre pytania: "A co będzie jeżeli ktoś przy pomocy haseł zdobytych na bazie wykopu zrobi np. zakupy na Allegro, obrazi znajomych via e-mail itd? Wykop poniesie odpowiedzialność? Zapłaci za mercedesy?". Generalnie chodzi o to, że było włamanie i baza danych użytkowników serwisu wykop.pl wyciekła. Dziś, już po ujawnieniu wycieku, spółka rozesłała do użytkowników maile z prośba o zmianę haseł (mail wygląda trochę jak próba phishingu). W oficjalnym komunikacie poinformowano, że administracja wykop.pl jest w stałym kontakcie z Allegro. Dlaczego? Dlatego, że potencjalnie internauci mają takie same dane w różnych serwisach. Przy wykorzystaniu danych z bazy wykop.pl (adresy mailowe, hasła, które - co prawda - były hashowane, ale da się je wydobyć) ktoś potencjalnie będzie mógł przejmować konta w innych serwisach internetowych... Zmieńcie hasła.
Aktualizacja w górę osi czasu: Dalszy ciąg wycieku danych z Wykop.pl - Policja ustaliła sprwaców...