Wyciek kontrolowany?
Kategorie: Ogólne Poziom: 0
23 marca 2007Otrzymałem dzisiaj maila informującego o utworzeniu profilu w czymś, co szumnie zwie się wortalem wmorde.pl.
Niby nic nadzwyczajnego. Jest tylko jeden szkopuł. Ja nigdy nie zakładałem konta na wmorde.pl, przynajmniej nie wtedy, gdy byłem świadom swoich czynów. Ok. Ktoś mógł zrobić głupi dowcip. Tyle, że w tym miejscu pojawia się szkopuł drugi: zarówno nick, hasło jak i mail były identyczne z tymi, których użyłem już do logowania na pewien serwis, zwiący się xpanel.pl. Jak na dowcip zbieżność jest zbyt wielka. Skąd wiem, dlaczego były identyczne? Ponieważ, tylko ten jedyny raz użyłem swojego nicka z kreską i tylko jeden jedyny raz użyłem tego maila - właśnie w przypadku rejestracji na xpanel.pl.
Nurtuje mnie zatem kilka myśli w związku z tym wydarzeniem. Pierwsza z nich, to myśl, czy mamy tu do czynienia z sytuacją, w której xpanel.pl, ma problem z bezpieczeństwem danych swoich użytkowników? Druga, czy to możliwe, aby xpanel sam w jakiś sposób rozporządzał tymi danymi (czytaj np. sprzedawał)?
Poczułem się nieswojo!
- Tagi: bezpieczeństwo, dane, wyciek,
Możesz śledzić odpowiedzi poprzez kanał RSS. Możesz dodać komentarz lub zostawić ślad (trackback) ze swojego bloga.
Komentarze do wpisu
byte
23 marca 2007, 20:45
Widziałeś http://www.xpanel.pl/pp.php? Tak to czytam i dochodzę do wniosku, że powinieneś dostać kwiaty i bombonierkę.
jbg
23 marca 2007, 20:48
Tak czytałem. Za słodko to brzmi.
jor
24 marca 2007, 19:19
Tak, wszyscy lubią ponarzekać, ale nikomu nie chce się zapytać u źródła…
Oficjalna odpowiedź brzmi prosto: problem wynikł z faktu, że xpanel.pl wykorzystuje ten sam skrypt profili, jak wmorde.pl. Początkowo nie posiadał tego systemu, więc konta zakładane były tylko w eyeOS, natomiast teraz te właśnie konta zostały zaimportowane do systemu profili i przy okazji tej operacji zostały rozesłane powiadomienia o założeniu kont w systemie profili. Tyle, że wkradło się niedopatrzenie i maile zostały podpisane sygnaturką wmorde.pl, pod którym to adresem był testowany system profili. Nikt nikomu nie założył konta w tym drugim serwisie, tych kont tam nie ma i nie będzie bo to serwis testowy. Informacja poszła do użytkowników z xpanel.pl i nie oznacza założenia jakichkolwiek profili na wmorde.pl.
To proste: system profili testowany na wmorde.pl -> instalacja na xpanel.pl -> import kont eyeOS do systemu profili -> wysyłka maili informujących o imporcie (tu wkradł się błąd polegający na pozostawieniu podpisu wmorde.pl). To wszystko. Dane użytkowników są bezpieczne i żadne osoby trzecie nie mają do nich dostępu.
jbg
24 marca 2007, 19:25
Dziękuję za wyjaśnienie.
PS.
Nie dziw się jor, że taka była moja reakcja, po raz pierwszy miałem do czynienia z taką sytuacją. Z drugiej strony xpanel mógł umieścić na swojej stronie informację o tym fakcie – niestety niczego takiego tam nie znalazłem.
Czy mogę zatem umieścić to wyjaśnienie we wpisie?
Bolek Tabor
10 września 2008, 03:14
Wszystkie (cyfra slownie wszystkie) portale lacznie z bankowymi sprzedaja znane im informacje o ludziach. Czasem tylko email czasem adres lub telefon albo wszystko. Niezbyt czesto robi to instytucja posiadajaca portal. Najczesciej robia to ludzie pracujace w danej instytucji i majacy dostep do informacji. Oprocz tego kazda email przechodzaca przez wszystkie serwery od nadawcy do adresata bedac chociaz przez krotka chwile na serwerze jest tam archiwowana. Ludzie obslugujacy te serwery sprzedaja te adresy emaili. Jesli ktos raz w zyciu wyslal email z aaa@bbb.pl to ten text „aaa@bbb.pl” przechodzil przez ogromna ilosc routerow, serwerow i na kazdym zostal zaarchiwowany.
Nie nalezy sie wiec dziwic gdy sie pozniej dostanie tony spamu. A to ze niektore portale oficjalnie ze soba wspolpracuja lub maja wspolny system logowania to drobiazg.