Po zastanowieniu. Moim zdaniem za racjonalne minimum można uznać wysłanie maili do wszystkich zarejestrowanych użytkowników z informacją w stylu:
"Zostaliśmy poinformowani o możliwości wykradzeniu haseł użytkowników z naszej bazy danych. Prosimy o jak najszybszą zmianę hasła. W przypadku używania tego emaila w innych serwisach polecamy również zmianę hasła w tych serwisach."
Oczywiście, można dodać, że fakt, że zaginiona pojawiła się w tym komunikacie, nie oznacza, że hasła wyciekły, ale ze względów bezpieczeństwa i tak należy je zmienić.
Też tak uważam, to da się zrobić.
toto napisał/a:
Jeśli da się wymusić przez silnik forum, żeby przy następnym logowaniu zażądał jednorazowej zmiany hasła, zrobić to, jeśli się da, dodać też krótką informację dlaczego.
Nie da się wymusić, mogę ręcznie zmienić wszystkim hasła w bazie bezpośrednio na coś losowego i będą zmuszeni odzyskać hasła
pytanie - czy to ma sens ? - lepiej żeby pozmieniali hasła na ważniejszych stronach na których używają takiego samego emaila/hasła jak tutaj. Może być sytuacja, że ktoś ma tu starego nieaktualnego emaila, rejestrował się 10 lat temu i jak zmienię mu hasło to już go nie odzyska...
toto napisał/a:
Dodatkowo oddzielny temat z ogłoszeniem, że coś takiego się stało, opisane podjęte kroki itp. Bez dyskusji, tylko informacyjny.
Jak najbardziej
toto napisał/a:
Jeśli silnik forum pozwala, ustawić wymóg zmiany hasła raz w roku
Niestety nie umożliwia.
toto napisał/a:
Jeśli to możliwe, zmiana zapisu hasła na bardziej bezpieczny w bazie danych
W bazie zapisane jest gołe niesolone MD5 hasła... czyli szału nie ma, ale nie jest to goły tekst. Zmieniać tego raczej nie będę...
a co sądzicie o UODO ?
rozmawiałem wczoraj ze znajomym po szkoleniach z GDPR i pokazał mi, że nie muszę tego zgłaszać, bo nie wiadomo czy w ogóle jakieś dane wyciekły (jest tylko linijka opisowa na stronie jednego gościa...) co sądzicie ?
_________________ Życie to dziwka, czytasz za mało, a potem umierasz [Stary Ork]
Zaginiona to zamknięte środowisko, coś jak oddział zamknięty krążący wokół Czarnej Dziury Szaleństwa, najlepiej nie zwracać uwagi na sens bo on tu rzadko występuje [utrivv]
"Finezja perfidii rozumowania ściga się w nich z cyniczną sofistyką" [prof. Waltoś o działaniach PiS dot. wymiaru sprawiedliwości]
Naprawdę, nie należy ufać apostołom prawdy. Naprawdę kłamcę zdradza podkreślanie prawdy, jak tchórza zdradza podkreślanie waleczności. Naprawdę wszelkie podkreślanie jest formą skrywania albo oszustwa. Formą narcyzmu. Formą kiczu.
"Oszust", Javier Cercas
Maila znalazłam w spamie. Hasło zmieniłam, bo jestem z tych, którzy przywiązują się do adresów i numerów telefonów i używam jednego i drugiego od wieków.
_________________ "Wewnątrz każdego starego człowieka tkwi młody człowiek i dziwi się, co się stało".
T. Pratchett "Ruchome obrazki"
Dodajmy że ewentualnemu złamaniu uległy prawdopodobnie tylko hasła słabe jak Sabetha123, każdy taki wyciek powinien zwiększać świadomość wprowadzania mocnych haseł
Bo ja wiem, 3-5 lat na łamanie haseł to sporo czasu
Cześć Wred,
podoba mi się ten temat, zaczęliście od omawiania updatu forum bo może się włamią a skończyło się na włamie :D
Moje skromne rady:
1. Przydałby się TLS, mogę to zrobić, sam, to samo proponowałem na strefierpg i tam mi nikt nawet nie odpisał
2. Podejrzewasz że wyciek nastąpił 3-5 lat temu gdu userów było 1200... to ja bym zmienił hosting skoro nikt Cię nie informował. W ogóle bym obstawił chmurkę GCP czy Azure, może to wiara (pod ręką nie mam statystyk) ale wydaje i się że taki Google czy inny gigant lepiej pilnuje swoich serwerów niż home.pl, ma na to więcej budżetu,
3. Co do UODO/GDPR, prowadzisz forum jako firma? Jak nie to chyba nic, na pewno GDPR dotyczy firm, ogółne zapisy UODO nie wiem czy jedynie firm.
Sam wyciek emaila może łamać te przepisy jak email jest imienny tj. zawiera imię i nazwisko, ogólnie w UODO chyba (dawno temu sprawdzałem) daną osobową jest każda co identyfikuje jednoznacznie osobę, teoretycznie numer telefonu czy email może nią być, ale nie musi (biuro@gmail nic nie mówi, jan.kowalski@gmail to już imię, nazwisko i email który prowadzi do jednego konkretnego jana kowalskiego). Z tego względu w wielu firmach nie ma imienia i nazwiska w emailu, a są np. pierwsze 3 litery imienia i potem 3 nazwiska, właśnie na wypadek wycieku samych adresów by nie było to uznane za wyciek danych osobowych
Janów Kowalskich może być setki i jeśli nie jesteś w stanie łatwo powiązać z konkretnym Janem Kowalskim, to już nie będzie dana osobowa. To jest trochę bardziej skomplikowane. Jakie to szczęście, że nie muszę się zajmować rodo u siebie w pracy.
Jeśli wyciek z adresem firmowym to już dużo łatwiejsza identyfikacja, bo jednak Janów Kowalskich w firmie Grażynex sp. z o. o. rzadko kiedy jest więcej niż 1.
Naprawdę, nie należy ufać apostołom prawdy. Naprawdę kłamcę zdradza podkreślanie prawdy, jak tchórza zdradza podkreślanie waleczności. Naprawdę wszelkie podkreślanie jest formą skrywania albo oszustwa. Formą narcyzmu. Formą kiczu.
"Oszust", Javier Cercas
Co kryje się za eufemizmem "możliwy wyciek danych"? Mój puchatkowy rozumek wyobraża sobie, że dane nie woda, same nie wyciekają. Czy chodzi o to, że ktoś nieuprawniony miał do nich dostęp i je skopiował (albo mógł skopiować), czy też to standardowa procedura na tak zwany wszelki wypadek?
_________________ Kiedy jesteś martwy, nie wiesz, że jesteś martwy. Cały ból odczuwają inni.
To samo dzieje się, kiedy jesteś głupi.
(Lemmy)
Co kryje się za eufemizmem "możliwy wyciek danych"? Mój puchatkowy rozumek wyobraża sobie, że dane nie woda, same nie wyciekają. Czy chodzi o to, że ktoś nieuprawniony miał do nich dostęp i je skopiował (albo mógł skopiować), czy też to standardowa procedura na tak zwany wszelki wypadek?
Adres strony pojawił się w spisie wykradzionych baz,
czy nastąpił wyciek danych, np. ktoś złamał hasło i dostał się do phpmyadmin i stamtąd nielegalnie pobrał bazę, czy też pracownik hostingodawcy dorabia na lewo handlując bazami klienta swojego pracodawcy, to bez znaczenia.
By dowiedzieć się co wyciekło należałoby znaleźć ten dump bazy i go obejrzeć.
Ale można założyć że skoro forum jest na liście to jednak wyciek nastąpił, czyli potencjalnie emaile i zahashowane hasła do nich (oby saltowane i nie do odczytania przez crackera) są znane szerzej niż byśmy chcieli.
toto napisał/a:
Janów Kowalskich może być setki i jeśli nie jesteś w stanie łatwo powiązać z konkretnym Janem Kowalskim, to już nie będzie dana osobowa.
Nie jestem prawnikiem, ale jak wyciekły dane z ZUS bo pracownik nie ukrył adresatów to niebezpiecznik pytał prawnika i podobno każdy adres imienny narusza jakieś punkty prawne. Janów Kowlaskich może być wielu, ale email jan.kowalski@gmail.com ma dokładnie tylko jeden jan.
Nie mam pojęcia kiedy i czy faktycznie wyciek nastąpił. Ani którędy. Forum jakie jest każdy widzi,
skrypt sprzed 10 lat, php5, kto wie czy nie ma jakiś podatności...
Nie wiem czy 3-5 lat nie mamy statystyk kiedy było 1200 userów, bo może to dump bazy a może podsłuchane logowania userów, a może logowania botów ? cholera wie.
Był okres najazdu masowego botów i ich rejestracji, może to co jest w tej bazie to po prostu taka lista
Dobrać się do takiego zrzutu to bym wiedział co i jak a tak to co ...
Tak czy siak coś z tym fantem musimy zrobić, forum nie jest na firmę, nie przynosi dochodów,
jedyne dane osobowe jakie posiada do email (jest kilka imiennych), ostatnie IP, i to co kto tam powypisywał o sobie np miasto itp...
Nie będę się kłócił, bo też nie jestem prawnikiem. Ale jan.kowalski@gmail.com nie jesteś w stanie od razu połączyć z Janem Kowalskim z Koziej Wólki.
w danych z ZUSu mogły być nie tylko maile, ale na przykład też pesele, adresy, nipy czy inne identyfikatory pomagające jednoznacznie zidentyfikować daną osobę. Nie mam teraz czasu czytać dokładnego opisu.
Naprawdę, nie należy ufać apostołom prawdy. Naprawdę kłamcę zdradza podkreślanie prawdy, jak tchórza zdradza podkreślanie waleczności. Naprawdę wszelkie podkreślanie jest formą skrywania albo oszustwa. Formą narcyzmu. Formą kiczu.
"Oszust", Javier Cercas
Wprost włamać się do kompa raczej nie, ale lepiej pozmieniać hasła na stronach gdzie taki email jest używany, szczególnie niektórzy używają takiego samego hasła do samego emaila - i wszędzie gdzie się da - a to już problematyczne
Zwrócę uwagę, że jeśli w danych było:
- imienny adres email
oraz
- IP z którego się logujesz
to już podpada pod dane osobowe.
Jeśli do tego dochodzi jeszcze miasto, to nawet bardzo.
Nie miałem nigdy okazji, ale może trza po prostu tego UODO zapytać, co w takim przypadku?
Jak było jeszcze GIODO, to z ludźmi stamtąd dało się normalnie rozmawiać.
A do KS.
Ten IP na liście to akurat bardzo źle, bo jeśli łączysz się z domu, to może to być adres twojego routera.
Jeśli nieopatrznie ktoś do swojego routera używa tego samego hasła co wszędzie indziej ... no to już można dużo. Wymagałoby to pewnie grzebania i sprawdzania każdego ip, ale od czego skrypty i kombinowanie ...
_________________ Załączam różne wyrazy i pozdrawiam
Goldsun
nie wiem jak u mnie z IP, czy w t-mobile mam stały czy zmienny?
w poprzednim miejscu zamieszkania miałem internet od dostawcy kablówki i wtedy na 100% miałem zmienne IP za każdym logowaniem.
_________________ Kiedy jesteś martwy, nie wiesz, że jesteś martwy. Cały ból odczuwają inni.
To samo dzieje się, kiedy jesteś głupi.
(Lemmy)
Serio zmiana hasła, kiedy nie pamiętam jakiego tutaj użyłem, bo wchodzę na forum przez autologowanie ze swojego kompa? Oczywiście na każde forum mam inne hasło, ale nie zaprzątam sobie nimi głowy, polegając na funkcji "zapamiętaj mnie". Zresztą nie tylko ja.
_________________ "Sometimes known as the Phoenix King, Asuryan was the king and the most powerful deity of the pantheon of Eldar gods. He was believed to be the psychic might of the whole universe."
Jak masz zapamiętane w przeglądarce, to możesz je sobie sprawdzić. W ostateczności "Zapomniałem hasła" podczas logowania i przyjdzie instrukcja w mailu. Na 99% w mailu przyjdzie link, jak w niego wejdziesz, to wystarczy, że podasz nowe hasło (2 razy) i zaktualizujesz w przeglądarce.
Naprawdę, nie należy ufać apostołom prawdy. Naprawdę kłamcę zdradza podkreślanie prawdy, jak tchórza zdradza podkreślanie waleczności. Naprawdę wszelkie podkreślanie jest formą skrywania albo oszustwa. Formą narcyzmu. Formą kiczu.
"Oszust", Javier Cercas
Przez tę akcję z hasłami nagle dużo osób się logowalo na forum. Tylko kurde nie przekłada się to na ilość postów
_________________ Życie to dziwka, czytasz za mało, a potem umierasz [Stary Ork]
Zaginiona to zamknięte środowisko, coś jak oddział zamknięty krążący wokół Czarnej Dziury Szaleństwa, najlepiej nie zwracać uwagi na sens bo on tu rzadko występuje [utrivv]
"Finezja perfidii rozumowania ściga się w nich z cyniczną sofistyką" [prof. Waltoś o działaniach PiS dot. wymiaru sprawiedliwości]
Tak teraz monitoruje emaile, zwrotki itd, i jest masa zwrotek ze względu na obserwowane tematy, a NIEAKTUALNE EMAILE !!
W związku z tym wywalam wszystkie obserwowane tematy, proszę poobserwować sobie ponownie,
Z ROZWAGĄ ! (bez sensu jest obserwować kilkaset tematów, jak co niektórzy...)
I PROSZĘ SPRAWDZIĆ EMAILE, jak ktoś ma w profilu stary email, prosze o PW celem aktualizacji.
Nie możesz pisać nowych tematów Nie możesz odpowiadać w tematach Nie możesz zmieniać swoich postów Nie możesz usuwać swoich postów Nie możesz głosować w ankietach Nie możesz załączać plików na tym forum Możesz ściągać załączniki na tym forum