GoldenLine
Zaloguj się
Marceli Matczak

Marceli Matczak Security Account
Manager

Temat: Przykłady wycieku danych osobowych

Tym razem odwrotnie, białe kapelusze kontra czarne

http://webhosting.pl/Zatoka.Piratow.zlupiona.dane.4.ml...

a prawnicy i tak pewnie do tej bazy się dobiorą :-)
Link do wypowiedziLink
Krуstiаn B.

Krуstiаn B. "Lepsze wrogiem
dobrego"

Temat: Przykłady wycieku danych osobowych

Błędy klientów home.pl
Link do wypowiedziLink
Marceli Matczak

Marceli Matczak Security Account
Manager

Temat: Przykłady wycieku danych osobowych

informacja o zdarzeniu i komunikat ze strony poszkodowanego serwisu Filmweb.pl

http://www.networld.pl/news/361251/Tysiace.hasel.uzytk...

Szersze informacje dostępne są na stronie blogu Niebezpiecznik.pl:

Filmweb.pl hacked! Wyciekło 700 000 haseł użytkownikówMarceli Matczak edytował(a) ten post dnia 26.08.10 o godzinie 09:07
Link do wypowiedziLink
Marceli Matczak

Marceli Matczak Security Account
Manager

Temat: Przykłady wycieku danych osobowych

Atak botnetu w Polsce: nowe informacje
Link do wypowiedziLink
Marceli Matczak

Marceli Matczak Security Account
Manager

Temat: Przykłady wycieku danych osobowych

Wyciek danych w mBanku
Link do wypowiedziLink

konto usunięte

Temat: Przykłady wycieku danych osobowych

Wyciek danych osobowych klientów (i nie tylko) spółki Multimedia Polska - dostawcy Internetu, telewizji i telefonu - więcej informacji na stronie http://MultiKupa.pl
Link do wypowiedziLink
Andrzej Jasik

Andrzej Jasik Prezes, PIN
Consulting Sp. z
o.o.

Temat: Przykłady wycieku danych osobowych

Honda ostrzegła swoich klientów, że cyberprzestępcy zdobyli adresy e-mail dwóch milionów posiadaczy samochodów Honda oraz trzech milionów właścicieli Acury. Oprócz e-maili zdobyli oni też nazwiska klientów oraz numery VIN samochodów.
źródło: http://locos.pl/
Link do wypowiedziLink
Marceli Matczak

Marceli Matczak Security Account
Manager

Temat: Przykłady wycieku danych osobowych

a tu przykład "niespodziewanego" wycieku :-) pewnie backupu nie robili właśnie ze względów "bezpieczeństwa" - miejmy nadzieję, że śledczy dobrze zabezpieczyli materiał:

Chrzty, rozwody, matury i inne podróbki z nielegalnej drukarni

"- Podejrzewamy, że dokumenty były wykorzystywane, by znaleźć lepszą pracę, dostać podwyżkę, nienależne świadczenia zdrowotne, ubezpieczenia lub do przejęcia nieruchomości na drodze postępowania spadkowego - wylicza prokurator Goławski.

Według naszych informacji Straż Graniczna znalazła też prawdziwy skarb: w jednym z mieszkań zabezpieczono cztery komputerowe twarde dyski zawierające informacje o tym, komu i jakie dokumenty sprzedano. - Znajduje się tam co najmniej kilkanaście tysięcy nazwisk odbiorców fałszywek - mówi nasz informator.

Prokuratura będzie teraz sprawdzać, czy osoby z tych baz danych posiadają sfałszowane dokumenty oraz czy posługiwały się nimi w pracy, czy w urzędach. - To robota na co najmniej kilkanaście miesięcy - twierdzą śledczy.

Według Straży Granicznej z usług nielegalnej drukarni korzystali zarówno obcokrajowcy starający się o prawo pobytu w Unii Europejskiej, jak i Polacy. - Zamówienia na fałszywe dokumenty spływały z całego kraju, od Bałtyku po Tatry - mówi pułkownik Zaborski.

Świadectwo maturalne kosztowało 500 zł, dyplom ukończenia szkoły wyższej 1 tys. zł, a paszport blisko 2 tys. zł."

widać wykształcenie w Polsce słabo się ceni, lepiej kombinować jak się da i najniższym kosztem (nawet studia publiczne kosztują znacznie więcej niż tysiak, nie wspominając o prywatnych)... no to teraz prokuratura, a potem Temida będzie miała dużo konkretnej roboty :-)

pozdrawiam
MM
Link do wypowiedziLink
Marceli Matczak

Marceli Matczak Security Account
Manager

Temat: Przykłady wycieku danych osobowych

w kontekście pomysłu Ministerstwa Edukacji dotyczącego ewidencjonowania ocen uczniów dla celów statystycznych obawy rodziców są jak najbardziej słuszne:

Haker wykradł dane studentów

"Numery PESEL, oceny z egzaminów, a może nawet adresy zamieszkania - studenci Politechniki Śląskiej nie wiedzą, jakie dane wykradł haker, który włamał się do informatycznej sieci uczelni. Sprawa uniemożliwia im również zdobycie wpisów o zaliczeniach.
(...)
Autorzy komunikatu uspokajają, że błąd został usunięty, zatem studenci nie mają powodów do obaw. Ci są jednak innego zdania. - Cóż pomoże zmiana hasła, jeśli nasze dane już wyciekły, a my nie wiemy nawet, jakie? Przez ATS4 haker mógł dostać się do SOTS-u, gdzie jest wszystko, od numerów PESEL, poprzez numery kont i adresy, aż po imiona rodziców czy nazwisko panieńskie matki! Jeśli tego typu informacje, dotyczące 30 tys. studentów, wpadły w niepowołane ręce, będzie dramat - denerwuje się Ryszard, student informatyki, który napisał do nas na Alert24.

Studenci mają żal, że nikt z Centrum Komputerowego nie chciał ich słuchać, gdy wcześniej zwracali uwagę, że system ATS4 jest „dziurawy”. - Studiujemy informatykę, więc trochę się na tym znamy. Dziwne też, że Politechnika, która zatrudnia uczonych z tej dziedziny, nie skorzystała z ich usług, tylko zamówiła system u zewnętrznej firmy, która robotę spartaczyła - mówi Rafał, inny student.

Jego zdaniem sieć nadal nie jest odpowiednio zabezpieczona, a administratorzy, zamiast usunąć błędy, wyłączyli jedynie wyświetlanie informacji o ich wystąpieniu.
(...)
- Miejmy nadzieję, że naszych danych faktycznie nikt nie wykorzysta. Nie zmienia to faktu, że uczelnia znów została skompromitowana. Niedawno głośno było o pirackim oprogramowaniu, które znalazła tutaj policja, teraz włamanie do systemu, który, gdzie jak gdzie, ale na uczelni technicznej powinien działać bez zastrzeżeń - wzdycha Ryszard."

szewc w dziurawych butach chodzi... i nic się nie zmienia, taka nasza mentalność

pozdrawiam
MM
Link do wypowiedziLink
Marceli Matczak

Marceli Matczak Security Account
Manager

Temat: Przykłady wycieku danych osobowych

kolejny przykład "szewca", zagadnienie bezpieczeństwa stosuje się nadal jako konieczny element, a nie jako priorytet, który pozwala chronić najważniejsze obecnie aktywa każdej firmy - informacje:

Oficjalny komunikat RSA

Co skradziono z RSA?

wydatki na ochronę danych muszą być budżetowane w każdym roku, by docelowo firma posiadała wielowarstwowe zabezpieczenia plus budżet na bieżącą aktualizację stanu tych zabezpieczeń (to też kosztuje)

pozdrawiam
MM
Link do wypowiedziLink

konto usunięte

Temat: Przykłady wycieku danych osobowych

Dwa inne przykłady:

1. Główny Inspektorat Weterynarii - Rejestr Podmiotów Paszowych (cała Polska!) http://www.wetgiw.gov.pl/pasze/index.php?mode=1&w=20&p...

2. Wyższa Szkoła Administracji Publicznej im. Stanisława Staszica w Białymstoku – wykaz adresów studentów http://www.wsap.edu.pl/wykaz/wykaz_adresow_studentow.pdf
Link do wypowiedziLink
Marceli Matczak

Marceli Matczak Security Account
Manager

Temat: Przykłady wycieku danych osobowych

najwidoczniej black hats postanowili dać kilka lekcji white hats, seria włamań w branży security trwa w najlepsze:

Haker włamał się do bazy danych firmy Barracuda Networks

zobaczymy, czy rzeczywiście czegoś się z tego nauczą

Learning the Importance of WAF Technology … the Hard Way

"(...)In case you haven’t heard, Barracuda Networks was the latest victim of a SQL injection attack on our corporate Web site that compromised lead and partner contact information.(...)"

rzadko spotykane podejście, by nie udawać że nic się nie stało ;-)

i bynajmniej nie wygląda, że tylko web jest obecnie wymagającym obszarem jeśli chodzi o bezpieczeństwo, walka trwa też w infrastrukturze sieciowej:

NSS Labs: większość firewalli jest podatna na atak

"(...)Organizacje IT na całym świecie polegały na testach zewnętrznych i były wprowadzane w błąd - powiedział Vik Phatak, dyrektor ds. technologii NSS Labs.

Firma badawcza przetestowała firewalle z certyfikatami branżowymi. Ich jakość została potwierdzona przez ICSA Labs oraz Common Criteria, a jednak większość okazała się podatna na ataki, co w rezultacie czyni je nieskutecznymi w wykonywaniu przeznaczonego dla nich zadania.(...)"

zatem same certyfikacje wykonane kiedyś nie gwarantują, że produkt w dalszym swoim życiu będzie "nadążał" za pojawiającymi się zagrożeniami, słowem w security nie da się odcinać kuponów :-)

pozdrawiam
MM

[edit] szersze informacje na temat samego ataku, opublikowane przez BN:

Anatomy of a SQL Injection AttackMarceli Matczak edytował(a) ten post dnia 27.04.11 o godzinie 14:38
Link do wypowiedziLink
Marceli Matczak

Marceli Matczak Security Account
Manager

Temat: Przykłady wycieku danych osobowych

gdzie jest wiele danych osobowych, tam warto się do nich dobrać:

PlayStation data theft hits 77m gamers

"Sony admitted that credit card information, used to purchase games, films and music, may also have been stolen.

"While there is no evidence that credit card data was taken at this time, we cannot rule out the possibility," Mr Caplin said.

"If you have provided your credit card data through PlayStation Network or Qriocity, to be on the safe side we are advising you that your credit card number (excluding security code) and expiration date may also have been obtained."

Sony has not given any indication of how many PlayStation Network users may have had their information taken, but the service has around 77 million members worldwide."

Sony's PlayStation hack apology

zanim gdzieś zostawiamy wiele danych warto się nad tym dobrze zastanowić: podawaj tylko wymagane dane (jeśli portal wymaga ich za wiele można dociekać po co im one lub w Polsce skierować sprawę do zbadania przez GIODO), unikaj podawania numerów kart, nie zezwalaj na przekazywanie danych podmiotom współpracującym, a jeśli dostaly sie do takowych nie bagatelizuj tego i kieruj sprawę do GIODO. Niestety dane w wielu przypadkach nie są traktowane zgodnie z przysługującą im ochroną prawną.

pozdrawiam
MMMarceli Matczak edytował(a) ten post dnia 27.04.11 o godzinie 14:59
Link do wypowiedziLink
Marceli Matczak

Marceli Matczak Security Account
Manager

Temat: Przykłady wycieku danych osobowych

Marceli Matczak:
gdzie jest wiele danych osobowych, tam warto się do nich dobrać:

PlayStation data theft hits 77m gamers

Sony: Hakerzy znowu wykradli dane. Tym razem 25 mln użytkowników

"Firma Sony poinformowała o kolejnej kradzieży danych, której ofiarą padło 24,6 mln użytkowników systemu gier online Sony Online Entertainment (SOE). Hakerzy mogli także wykraść informacje bankowe tysięcy użytkowników.
(...)
- Informacje pochodzące ze starej bazy danych zawierają numery kart i daty ważności (ale nie kody zabezpieczające) ok. 12,7 tys. kart kredytowych i kart debetowych użytkowników spoza Ameryki oraz ok. 10,7 tys. poleceń zapłaty niektórych klientów z Austrii, Niemiec, Holandii i Hiszpanii - wyjaśniło Sony.
(...)
Firma wyjaśniła, że najnowszy atak hakerski wykryto przy okazji "intensywnego śledztwa" dotyczącego wcześniejszej kradzieży danych."

coś mi się widzi, że Sony nie szybko odbuduje zaufanie użytkowników i straci krocie na tej historii

pozdrawiam
MM
Link do wypowiedziLink

konto usunięte

Temat: Przykłady wycieku danych osobowych

Marceli Matczak:
zanim gdzieś zostawiamy wiele danych warto się nad tym dobrze zastanowić: podawaj tylko wymagane dane (jeśli portal wymaga ich za wiele można dociekać po co im one lub w Polsce skierować sprawę do zbadania przez GIODO), unikaj podawania numerów kart, nie zezwalaj na przekazywanie danych podmiotom współpracującym, a jeśli dostaly sie do takowych nie bagatelizuj tego i kieruj sprawę do GIODO. Niestety dane w wielu przypadkach nie są traktowane zgodnie z przysługującą im ochroną prawną.

pozdrawiam
MM

cudownie, tylko szkoda ze do giodo nie mozna skierowac skargi w sposob elektroniczny...
tzn mozna ale jesli ma sie certyfikat do podpisu

za strona giodo.gov.pl

Złożenie skargi drogą elektroniczną może nastąpić przy wykorzystaniu elektronicznej skrzynki podawczej dostępnej na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych http://giodo.gov.pl, w zakładce "Elektroniczna skrzynka podawcza". Tam też opisane są konieczne elementy skargi wnoszonej drogą elektroniczną.
UWAGA! Skarga składana drogą elektroniczną powinna być opatrzona bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu, przy zachowaniu zasad przewidzianych w przepisach o podpisie elektronicznym.

mozna pisemnie skladac skargi, nie zapominajac o uiszczeniu oplaty skarbowej...

zenada... jakby giodo chcial by skarg bylo jaknajmniej ;)
Link do wypowiedziLink
Marceli Matczak

Marceli Matczak Security Account
Manager

Temat: Przykłady wycieku danych osobowych

Waldemar Lenda:

zenada... jakby giodo chcial by skarg bylo jaknajmniej ;)

bo by się pewnie przepracowali ;-)

powiem, że jestem zaskoczony i temat nadaje się do zgłoszenia w kolejnych instytucjach celem rozstrzygnięcia zasadności pobierania opłat w przypadku składania skarg (żyjemy rzeczywiście w debilnym kraju) - na stronie jakoś nie widzę podanej podstawy prawnej takiej praktyki (odpisy/wypisy rozumiem)

pozdrawiam
MM
Link do wypowiedziLink
Marceli Matczak

Marceli Matczak Security Account
Manager

Temat: Przykłady wycieku danych osobowych

już klepnięte, więc potem będzie wg zasady "mądry Polak po szkodzie"

Wrażliwe dane o dzieciach w SIO. "Łakomy kąsek dla hakerów"

cieszy jedynie to, że niektórzy mają świadomość jakie zagrożenia niesie za sobą gromadzenie nadmiaru danych i że nie zawsze ono jest konieczne... martwi natomiast upór systemu, który przy okazji próbuje sobie zakładać swoiste "teczki" już dla naszych dzieci...

pozdrawiam
MM
Link do wypowiedziLink
Marceli Matczak

Marceli Matczak Security Account
Manager

Temat: Przykłady wycieku danych osobowych

tutaj zapewne i tak nie powiedzą co wykradziono:

Cyberatak na firmę Lockheed Martin. "Znaczący i uporczywy"

Tokeny RSA przyczyną zamieszania w Lockheed Martin?
Link do wypowiedziLink
Marceli Matczak

Marceli Matczak Security Account
Manager

Temat: Przykłady wycieku danych osobowych

jak to u nas, zawsze musi być coś niedopracowane:

GIODO: były nieprawidłowości w spisie powszechnym

"Niepowołane osoby mogły się spisać za kogoś lub zdobyć o nim informacje - poinformował Generalny Inspektor Ochrony Danych Osobowych, który skontrolował prowadzony przez GUS spis powszechny. Zdaniem GIODO bazy danych GUS były zabezpieczone w sposób nie dość nowoczesny. Nieprawidłowości nie były jednak na tyle poważne, by przerwać spis.
(...)
"Zdziwienie" GIODO wywołał też sposób zabezpieczenia baz danych przed włamaniami. - Tutaj stwierdziliśmy, że nie zostały wdrożone pewne uznane za - powiedziałbym - normalne i naturalne systemy zapobiegania atakom - powiedział Wiewiórowski. Dodał jednak, że nie ustalono, by nastąpiły próby ataku na bazę danych spisowych i by brak nowoczesnych systemów zabezpieczeń negatywnie wpłynął na sam spis. Ponadto GIODO powiedział, że mimo tych wątpliwości, od strony formalnej GUS spełnił wszystkie wymagania.

Mimo tych wątpliwości GIODO przyznaje, że system zbierania danych spisowych przez GUS jako całość nie budzi jego zastrzeżeń. - Wydaje się, że jest to jeden z lepiej przygotowanych pod tym względem projektów w Polsce w ostatnich latach - przyznał Wiewiórowski."

jak się nie ma systemów monitorujących nieautoryzowany dostęp, to oczywiste, że się nie ustali czy były próby włamań... a najtaniej się "zabezpieczyć" straszakiem - oświadczeniem na stronie:
Komunikat w związku z ujawnieniem prób logowania się osób trzecich na konta innych respondentów

...a nagroda już przyznana przed zakończeniem spisu :-)
Nagrody INFO-STAR za wybitne osiągnięcia w świecie teleinformatyki

bardzo "optymistyczne" podsumowanie w pierwszym artykule, zwłaszcza w kontekście ochrony danych osób przybywających na Euro 2012, bo tymi bardziej "kasiastymi" narodami niż my zapewne zainteresuje się wiele grup hakerskich...

pozdrawiam
MM
Link do wypowiedziLink

konto usunięte

Temat: Przykłady wycieku danych osobowych

Poczta gmail zagrożona. Atak chińskich hakerów.

Poczta Gmail. Amerykańska firma internetowa Google ostrzegła w środę użytkowników swojej poczty elektronicznej przed atakami hakerów, prawdopodobnie z Chin.
Nieznani sprawcy włamali się do skrzynek pocztowych setek użytkowników kont poczty Gmail. Ofiarami tego ataku są przede wszystkim pracownicy administracji waszyngtońskiej, chińscy dysydenci oraz dziennikarze, wojskowi i urzędnicy z innych krajów azjatyckich, głównie z Korei Południowej.

Hakerom udało się zdobyć hasła dostępów, wejść do skrzynek i przejąć znajdujące się w nich informacje. Firma Google zorientowała się w sytuacji i poinformowała o niej ofiary ataku, a także zabezpieczyła ich konta.

Atak, jak przypuszcza Google, wyszedł z chińskiego miasta Jinan. Amerykańska firma zaapelowała do wszystkich użytkowników kont Gmail do zachowania czujności i stosowania bezpiecznych haseł dostępu.

- Nie możemy powiedzieć, kto jest odpowiedzialny za to, co się stało - stwierdził rzecznik Google Kay Oberbeck.

Nie był to pierwszy cybernetyczny atak z Chin na Google i jego użytkowników. W 2009 roku hakerzy próbowali włamać się do skrzynek pocztowych chińskich dysydentów oraz do systemów amerykańskiego giganta internetowego.

Źródło: http://www.poranny.pl/apps/pbcs.dll/article?AID=/20110...
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Po co ta ochrona danych oso...




Wyślij zaproszenie do
Anuluj