Forum PCLab.pl: Morele dostało karę - Forum PCLab.pl

Skocz do zawartości

Otwarty

Ikona Ostatnio dodane tematy

Ikona Najnowsze pliki

  • (2 Stron)
  • +
  • 1
  • 2
  • Nie możesz rozpocząć nowego tematu
  • Nie możesz odpowiadać w tym temacie

Morele dostało karę Oceń temat: -----

#1 Użytkownik jest niedostępny   miemik 

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 410
  • Dołączył: So, 10 Sty 15

Napisany 19 Wrzesień 2019 - 07:41

Kara

Morele dostało karę, budżet kasę a dane zwykłych ludzi nadal walają się po necie przez ich niekompetencję.

#2 Użytkownik jest niedostępny   Karister 

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 448
  • Dołączył: Nd, 14 Wrz 08

Napisany 19 Wrzesień 2019 - 19:22

W sumie kara za zostanie zhackowanym jest, w moim odczuciu, kontrowersyjna. Zawsze jedni chcą się włamać, a drudzy przed tym zabezpieczają. Ci pierwsi zawsze są o krok do przodu. Czemu nie nakładać kary na producentów alarmów, że ktoś je rozbroił? Albo na producentów zamków do drzwi, że ktoś je otworzył bez klucza? Na banki, że ktoś przewiercił ich podziemne skrytki? Karę to powinien dostać ten, co się włamał, bo jest po prostu przestępcą. Zlicytować samochód, dom i na bruk, jak nie wypłaci się z tych 3mln. To by skłoniło kolejnych do zastanowienia. A tak zachęcają ich do robienia szumu. Morele źle się wtedy zachowało, utajniając skalę wycieku do oporu i za to można nakładać karę. Można też gdybać nad jakością ich zabezpieczeń, ale czy przepisy definiują, jakie są wystarczające? IMO to nie je są rozwiązania problemu. Kara powinna być surowa i nieunikniona dla przestępcy, nie ofiary. A te 3mln i tak zapłacą klienci sklepu.

Ten post był edytowany przez Karister dnia: 19 Wrzesień 2019 - 19:32


#3 Użytkownik jest niedostępny   PrimoGhost 

  • No One
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 7075
  • Dołączył: Wed, 23 Gru 09

Napisany 19 Wrzesień 2019 - 19:31

Zobacz postKarister, o 19 Wrzesień 2019 - 20:22, napisał(a):

W sumie kara za zostanie zhackowanym jest, w moim odczuciu, kontrowersyjna. Zawsze jedni chcą się włamać, a drudzy przed tym zabezpieczają. Ci pierwsi zawsze są o krok do przodu. Czemu nie nakładać kary na producentów alarmów, że ktoś je rozbroił? Albo na producentów zamków do drzwi, że ktoś je otworzył bez klucza?


Musisz doczytać kulisy tej afery. Ty czy ja byśmy byli w stanie ich.... zhackować. W tym właśnie problem. Ściągnęli serwerowi gacie razem z majtami, wypięli go w stronę świata i zostawili.

#4 Użytkownik jest niedostępny   Karister 

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 448
  • Dołączył: Nd, 14 Wrz 08

Napisany 19 Wrzesień 2019 - 19:33

Masz jakieś źródła?

#5 Użytkownik jest niedostępny   Kitu 

  • Dyskutant
  • PipPip
  • Grupa: Forumowicze
  • Postów: 40
  • Dołączył: Nd, 24 Sty 16

Napisany 19 Wrzesień 2019 - 19:36

Zobacz postKarister, o 19 Wrzesień 2019 - 20:22, napisał(a):

W sumie kara za zostanie zhackowanym jest, w moim odczuciu, kontrowersyjna. Zawsze jedni chcą się włamać, a drudzy przed tym zabezpieczają. Ci pierwsi zawsze są o krok do przodu. Czemu nie nakładać kary na producentów alarmów, że ktoś je rozbroił? Albo na producentów zamków do drzwi, że ktoś je otworzył bez klucza? Na banki, że ktoś przewiercił ich podziemne skrytki? Karę to powinien dostać ten, co się włamał, bo jest po prostu przestępcą. Zlicytować samochód, dom i na bruk, jak nie wypłaci się z tych 3mln. To by skłoniło kolejnych do zastanowienia. A tak zachęcają kolejnych do robienia szumu. Morele źle się wtedy zachowało, utajniając skalę wycieku do oporu i za to można nakładać karę. Można też gdybać nad jakością ich zabezpieczeń, ale czy przepisy definiują, jakie są wystarczające? IMO to nie je są rozwiązania problemu. Kara powinna być surowa i nieunikniona dla przestępcy, nie ofiary. A te 3mln i tak zapłacą klienci sklepu.

Tylko że oni tak się tu zabezpieczyli, jakbyś zainstalował alarm w domu, po czym zostawił otwarte drzwi i okna, przed domem rozwiesił transparent "OKRADNIJ MNIE", a jedyną trudnością w całej operacji byłoby naciśnięcie klamki w furtce. Za dostępny z internetu bez żadnych zabezpieczeń panel deva (gdzie nawet domyślnie jest dostępny tylko z localhosta, czyli pewnie uprawiali powszechne praktyki testów/debugów na produkcji) wszelkie instytucje powinny nie tylko oddalać z automatu wszelkie "zażalenia i apelacje", ale też podwyższać nakładane kary dziesięciokrotnie.

EDIT:

Zobacz postKarister, o 19 Wrzesień 2019 - 20:33, napisał(a):

Masz jakieś źródła?

Co prawda w niektórych umysłach wykop to żadne źródło, ale zawsze coś: https://www.wykop.pl...dobyl-dane-do-/

Ten post był edytowany przez Kitu dnia: 19 Wrzesień 2019 - 19:38


#6 Użytkownik jest niedostępny   PrimoGhost 

  • No One
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 7075
  • Dołączył: Wed, 23 Gru 09

Napisany 19 Wrzesień 2019 - 19:38

Zobacz postKarister, o 19 Wrzesień 2019 - 20:33, napisał(a):

Masz jakieś źródła?


Zerknij tutaj. Mój link


Omawialiśmy rozwój wydarzeń na bieżąco w tym wątku Mój link. Parę dni później się to potwierdziło, a złodziej gadał też z Zaufaną 3 stroną, gdzie potwierdzono obecność loginów członków redakcji. Baza latała przez pewien czas w te i we wte.

#7 Użytkownik jest niedostępny   Karister 

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 448
  • Dołączył: Nd, 14 Wrz 08

Napisany 19 Wrzesień 2019 - 19:52

No cóż, nie da się tego usprawiedliwić. Ale i tak uważam, ze skoro żyjemy w takich czasach i są zagrożenia cyfrowe, prawo powinno to regulować i na przykład nakazywać przejście pentestów. A tak Morele będzie się odwoływać i sprawa będzie się ciągnąć latami. Za publiczne pieniądze.

#8 Użytkownik jest niedostępny   crush 

  • Sony Defense Force
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 18452
  • Dołączył: Pn, 23 Sty 06

Napisany 19 Wrzesień 2019 - 19:53

Fajnie ale za mało.

#9 Użytkownik jest niedostępny   PrimoGhost 

  • No One
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 7075
  • Dołączył: Wed, 23 Gru 09

Napisany 19 Wrzesień 2019 - 20:13

Ależ prawo to reguluje. Nie dostali przecież prawie 3 baniek za wzorowe zabezpieczenia. Zrobiliby testy - byłaby to może okoliczność łagodząca. Nie widzę sensu, aby coś z góry nakazywać i automatycznie pompować kasę firmom typu Atman. Zabezpieczenie danych własnych klientów to sprawa priorytetowa i bardzo ważna. Jak się ma do tego zostawienie serwera z otwartymi portami? Co by to miało dać? Dane lały się dobre parę miesięcy wcześniej, ale Morele zwalało to na wyciek danych u partnerów ze spedycji.

Krótko i na temat - zasłużona kara.

#10 Użytkownik jest niedostępny   Karister 

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 448
  • Dołączył: Nd, 14 Wrz 08

Napisany 19 Wrzesień 2019 - 20:32

A jak reguluje? Są zapisy na temat konfiguracji sieci, zabezpieczenia bazy czy szyfrowania danych? Reguluje to na przykład prawo EU sposób trzymania danych kart płatniczych. Nie masz odpowiedniej certyfikacji, to możesz zapisać tylko 4 ostatnie cyfry. Masz certyfikację - możesz zapisać całość. Zrobiliby pentesty, to takie problemy zostałyby wyłapane od razu. A tak są, jak to zwykle u nas, interpretacje, odwołania i pitu, pitu.

Krótko i na temat - 3mln spadnie na klientów, koszty odwołań na podatników, a przestępca bezkarny.

To, że Morele dało ciała to jedno, a drugie, że zamiast leczyć przyczynę, robi się szumną pokazówkę. Własnie dlatego, tak, warto nakazać pentestów. Warto dać zarobić specjalistom, którzy się znają na swojej robocie i wykryliby takie zagrożenia z miejsca. Ktoś by zarobił za dobrą robotę, a wycieku by nie było. Pisałem zabezpieczenia dla softu zachodniego klienta, który potem kupił pentesty od polskiego Securitum. Co w tym złego?

#11 Użytkownik jest niedostępny   PrimoGhost 

  • No One
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 7075
  • Dołączył: Wed, 23 Gru 09

Napisany 19 Wrzesień 2019 - 20:42

Nic w tym złego. Rozumiem i szanuję Twoją opinię. Niemniej - jako prawnik nie do końca się z nią zgadzam. Norma nakazowa jest zawsze gorsza, niż zdrowy rozsądek. To trochę tak jak z wymogiem zakładania opon zimowych. Nie ma takiego przepisu. A ludzie jednak zakładają zimówki.

#12 Użytkownik jest niedostępny   209458 

  • Uzależniony od forum
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 13506
  • Dołączył: Wt, 15 Sty 08

Napisany 19 Wrzesień 2019 - 20:58

Zobacz postPrimoGhost, o 19 Wrzesień 2019 - 21:42, napisał(a):

Norma nakazowa jest zawsze gorsza, niż zdrowy rozsądek. To trochę tak jak z wymogiem zakładania opon zimowych. Nie ma takiego przepisu. A ludzie jednak zakładają zimówki.

Albo weźmy takich lekarzy. Teraz muszą przechodzić studia, egzaminy, staże i inne duperele. I po co to komu. A tak by zapłacił odszkodowanie to by się douczył. A jak mu pacjent umrze to straci klienta.

#13 Użytkownik jest niedostępny   Karister 

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 448
  • Dołączył: Nd, 14 Wrz 08

Napisany 19 Wrzesień 2019 - 21:00

Zgodzę się, że zdrowy rozsądek od nakazu jest lepszy, ale porównanie do opon mnie nie przekonuje. Zakładam je, bo to zwiększa moje bezpieczeństwo. Moje. Robię to (m.in.) dla siebie. Inwestycja w lepsze zabezpieczenia IT koszt dla firmy. Zero bezpośredniego zysku. Tzw. cost center. Biznes bardzo często prowadzi agresywną politykę finansową z ryzykiem i, moim zdaniem, prawo powinno to dopuszczalne ryzyko regulować zakazami/nakazami. Bo biznes nie kieruje się zdrowym rozsądkiem dla dobra swoich klientów. Kieruje się swoim hajsiwem. Dla mnie to jest podobna sprawa, jak polityka pewnego banku z zielonym logiem. :) Naciągali ludzi na polisolkaty. Prowadzili agresywną politykę niejasnych umów z gwiazdkami, balansując na granicy prawa. Obliczyli szanse powodzenia, potencjalne kary, ich prawdopodobieństwo i ludzie potracili oszczędności życia. Wg mnie doszło do takich sytuacji, bo prawo było nieskuteczne, a kary niewystarczające. IMO take praktyki powinny być uwalane w zarodku przez przepisy i drakońskie kary. Tak samo, jak robienie po taniości kiczowatego systemu IT, który trzyma krytyczne dane.

Ten post był edytowany przez Karister dnia: 19 Wrzesień 2019 - 21:01


#14 Użytkownik jest niedostępny   PrimoGhost 

  • No One
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 7075
  • Dołączył: Wed, 23 Gru 09

Napisany 19 Wrzesień 2019 - 21:16

Wiesz, idąc tym tokiem rozumowania zawsze można powiedzieć, że nawet RODO w pewnym zakresie wymusza koszt na firmie. Morele zapewne wprowadzało je u siebie. To taka norma generalna. Mieli dopasować przechowywanie danych i system, by gromadzone dane były bezpieczne przed osobami trzecimi.

Mówiąc o zdrowym rozsądku mam bardziej na myśli takie cudowne Fuck-upy jak:

1. Usunięcie konta w morele.net i możliwość jego przywrócenia za pomocą "usuniętego" maila.

2. Usunięte konta wciąż znajdujące się w bazie danych, którą wykradziono. Jakim cudem?

3. Dane wrażliwe (kredytowe) wraz z numerami pesel, informacją o dochodach w bazie danych morele a nie banku.

4. Dane wykradane stooniowo, przez znaczny okres czasu. Bez reakcji morele.

Teraz pytanie - jakie normy nakazowe mogłyby zniwelować ignorancję zabezpieczeń, jaką popisało się morele?

#15 Użytkownik jest niedostępny   Karister 

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 448
  • Dołączył: Nd, 14 Wrz 08

Napisany 19 Wrzesień 2019 - 22:02

RODO jak najbardziej wygenerowało mnóstwo kosztów w firmach mających systemy informatyczne. W firmie, gdzie wtedy pracowałem, siedziało nad tym kilkanaście osób przez kilka miesięcy. I żadna firma nie zrobiłaby tego, bo zdroworozsądkowo czuła, że tak trzeba. Był przymus, o którym piszę. Przymus, który w moim odczuciu, często jest niezbędny dla biznesu.

Fuckupy Morele pojawiły się, bo chcieli system zrobić system tanio. I tak go też zrobili. Zespół doświadczonych i lepiej opłacanych programistów nie popełniłby tak podstawowych błędów. Nie zapłacono też za pentesty. Nie chcieli zdroworozsądkowo zrobić porządnie. Dlatego nakaz jest potrzebny.

A co do do konkretnych punktów, to:
1. Duże systemy informatyczne są skomplikowane. Złożone z komponentów, które robią inne zespoły i nie mają wiedzy o innych domenach. Łatwo o dziwną wtopę. Jeden zespół pisał usuwanie konta, drugi wysyłanie maila, trzeci stronę do usuwania konta, a czwarty bazę z tymi danymi. W dużych systemach IT jest totalny bałagan i dlatego trzeba je regularnie całościowo testować.
2. Duże systemy mają wiele baz danych. Z trzech usunięto, z czwartej nie. Albo mają ich 50 i o 10 starych nawet już nikt nie pamięta. Dodatkowo nikt nie kasuje fizycznie danych, co najwyżej je zaciemnia. A nawet dane często zostają w oryginalnej postaci w jakichś backupowych bazach, do których dostęp ma mniej osób. Na przykład po to, aby móc wysłać maila do klienta, który miesiąc temu skasował konto, a rok temu kupił telefon, który jak się właśnie okazało, ma wybuchającą baterię.
3. Morele a bank to dwie różne instytucje. To, że bank ma takie dane, nie znaczy, że da je Morele. Niby dlaczego mieliby udostępniać takie dane po sieci? To dopiero byłoby niebezpieczne i nieefektywne. Plus RODO. Morele musi mieć swoją kopię danych.
4. Tak, to jest fail pod kątem monitoringu swojego systemu.

Jakie normy by pomogły? Lista norm, które trzeba spełniać. Lista dobrych praktyk web security i typów ataków jest skończona i znana. Zajmują się tym instytucje jak OWASP. Przejście pentestów tutaj wystarczy z zapasem. Soft, który pisałem, wiele razy był przez takie przepuszczony i nie ma opcji, by przemknęły się podstawowe czy nawet ukryte błędy. To musiałoby być coś w stylu bug w architekturze procesora, który akurat ktoś odkrył. 100% mojego kodu (i znajomych) było odporny na typowe ataki i poddawał się dopiero, gdy pentester fizycznie wszedł do serwerowni i włamał się do sieci wewnętrznej. Tak, pentesterzy przebierają się za konserwatora klimatyzacji i wbijają do biura. A ja jako pracownik firmy technologicznej byłem szkolony, że jak widzę nieznajomą twarz, to mam odprowadzić na recepcję oraz nie pozwalać nieznajomym wejść mi na ogonie, gdy otwieram drzwi swoją kartą. Napisanie dobrze zabezpieczonego softu nie jest takie trudne do osiągnięcia dla doświadczonego zespołu. Póki nie jest to właśnie bug w sprzęcie albo używanym języku programowania, nie ma tu żadnej magii. Ale do tego trzeba mieć kilku dobrych programistów. No a to kosztuje, co często nie pasuje biznesowi.

Ja też bym powiedział, że zdrowy rozsądek podpowiada, aby system zrobić dobrze. Zatrudnić ze dwóch wymiataczy od security i zamówić pentesty. Być może dlatego nie jestem biznesmenem. Albo wierzymy w zdrowy rozsądek i dobrą wolę korporacji, ale je normujemy prawnie. To już kwestia światopoglądu.

Ten post był edytowany przez Karister dnia: 19 Wrzesień 2019 - 22:06


#16 Użytkownik jest niedostępny   RyszardGTS 

  • Nie wylewający za kołnierz...
  • Ikona
  • Grupa: Moderatorzy
  • Postów: 16573
  • Dołączył: Cz, 01 Wrz 05

Napisany 19 Wrzesień 2019 - 22:36

Mam nadzieję że Radosław Stasiak odwoła się do Sądu Administracyjnego i Sąd Administracyjny podejmie decyzję że "Prezes UODO nie wiedział co czynił, miał pomroczność jasną przy nakładaniu tej 2,8mln kary... i nałoży na Morele karę w wysokości 280mln złotych".

280mln to sporo, więc mogą im sumę rozłożyć na raty, powiedzmy na 20lat... zawsze Pan Radek może zmienić pracę i wziąć kredyt.

#17 Użytkownik jest niedostępny   AndrzejTrg 

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 555
  • Dołączył: Pt, 21 Cze 19

Napisany 19 Wrzesień 2019 - 22:59

Chcą 3 mln, to znaczy że podzielą na ilość kont i wyślą użytkowniką rekompensate? Hhahahhah

#18 Użytkownik jest dostępny   Splendor_97 

  • Honor ponad wszystko!
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 1752
  • Dołączył: Wed, 17 Kwi 19

Napisany 19 Wrzesień 2019 - 23:02

Teraz jestem ciekaw czy po tym incydencie zabezpieczyli baz danych tak,że do podobnego przypadku nigdy nie dojdzie :hmm:
2,8 mln zł na pewno(przy pełni rozumu centrali) poszłoby u Morele na sprzęt zabezpieczający,gdyby nie ta kara

#19 Użytkownik jest niedostępny   bartoszzz77 

  • Orator
  • PipPipPipPip
  • Grupa: Forumowicze
  • Postów: 593
  • Dołączył: Pn, 05 Mar 12

Napisany 20 Wrzesień 2019 - 00:07

ciekawe jakie podwyzki będą :D

#20 Użytkownik jest niedostępny   sino 

  • Uzależniony od forum
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 1855
  • Dołączył: Nd, 24 Paź 04

Napisany 20 Wrzesień 2019 - 00:10

Zobacz postSplendor_97, o 20 Wrzesień 2019 - 00:02, napisał(a):

że do podobnego przypadku nigdy nie dojdzie
"Nie dojdzie", bo firmy już wiedzą, że należy płacić haracz przestępcom, bo przestępców nikt nie ściga oraz bo to dużo tańsze (chyba ok. 30 razy).

Zobacz postKitu, o 19 Wrzesień 2019 - 20:36, napisał(a):

Tylko że oni tak się tu zabezpieczyli, jakbyś zainstalował alarm w domu, po czym zostawił otwarte drzwi i okna, przed domem rozwiesił transparent "OKRADNIJ MNIE", a jedyną trudnością w całej operacji byłoby naciśnięcie klamki w furtce. Za dostępny z internetu bez żadnych zabezpieczeń panel deva (gdzie nawet domyślnie jest dostępny tylko z localhosta, czyli pewnie uprawiali powszechne praktyki testów/debugów na produkcji)
Deva, localhosta, debugów. Czy ty masz pojęcie o czym piszesz? Taki slang rozumie z 1-2% ludzi zaś nacisnąć klamkę umie niemal 100%. W dodatku mało kto z tego 1-2% umiałby się włamać. Przypomnę też, że do typowego domu ~100% by się umiało włamać wybijając szybę cegłą dlatego wszystkich okradzionych należy ukarać więzieniem a włamywaczy nie :)

  • (2 Stron)
  • +
  • 1
  • 2
  • Nie możesz rozpocząć nowego tematu
  • Nie możesz odpowiadać w tym temacie

1 Użytkowników czyta ten temat
0 użytkowników, 1 gości, 0 anonimowych