How I Lost My $50,000 Twitter Username

Cikk: https://medium.com/p/24eb09e026dd

Kicsit hosszadalmas leírás, de érdemes elolvasni. Nem egyedi eset, nem is ritka sajnos. A cikkhez a felháborodásomon túl nem igazán tudnék mit hozzátenni, sok kérdést felvet, talán nem is azt, hogy miért, hogy fordul ilyen elő, hanem hogy még mindig?

Hozzászólások

Én csak azt nem értem, hogy honnan vette azt hogy az accountja 50k$.

A történet lesújtó, hogy mennyire dilettáns a cégek adatvédelme.
-------------------------
neut @ présház

Az most mindegy is, hogy nem erted mi van odairva, de ez a logika amugy is felelmetes. Ha majd elopjak az autodat, remelem nyugtazod, hogy "nem gond, volt ra penzem, majd veszek egy masikat". (Most nemtom le kell-e odaig mennunk, hogy ez biciklivel meg _barmi_ massal is mukodik...)

osszefoglalva a karosult tanacsait:

- use an @gmail.com email address to log into various websites

- use a longer TTL for the MX record, just in case

- two-factor authentication is a must*

- don’t let companies such as PayPal and GoDaddy store your credit card information

- leave GoDaddy and PayPal as soon as possible

*: Though this situation illustrates that even two-factor authentication doesn’t help for everything.

Mondjuk ezek godaddy-s balfaszok tenyleg a legalja banda lehet:

"GoDaddy asked the attacker if it was ok to change account information, while they didn’t bother asking me if it was ok when the attacker did it."

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

Elég ijesztő. Van benne egy link a @mat twitter acc gyakorlatilag ugyanilyen módon való feltörésének sztorijára, az is tanulságos.

+1, nagyon durva, en is be akartam ide linkelni, foltetlenul olvassatok el a cikket!

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

jo iras, tanulsagos. a paypal szerintem durvabb, mint a godaddy.

Nézegetem miket írtok, és nem értem. A PP mitől durvább? Hogy mondott 4db fizetési eszköz azonosítására szóló, és másra nem használható számot? Elég baj, hogy bármit mond telefonon, de hogy gázabb lenne mint az a cég aki 4 igen könnyen megszerezhető számot használ azonosításra az picit erős. Itt egyértelmű hogy a gTLD elektronikus, megszemélyesítés nélküli regisztrációs eljárása és a godaddy szabályzata tette lehetővé, hogy megszerezze az irányítást a felett a domain felett a támadó amiben lévő e-mail címet használt elsődleges azonosításra.
A konklúziói pont ezért nevetségesek. Megértem, szar helyzet, senkinek nem kívánom. Elveszett a bizalom. Azonban ebből totálisan sértődött és részeiben fals következtetést vont le..

egy bankszamlaszamnak (vagy annak reszletenek) nem kene konnyen megszerezhetonek lennie. A paypal ott volt futyi, hogy kiadtak azt a 4 szamot. Ne mentse mar oket az, hogy mas ugyanazt a 4 szamot mire hasznalja...

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

A godaddy-nél is úgy regisztráltam, hogy direkt erre létrehoztam egy email címet. Soha nem adtam meg sehova máshova. Nem pipáltam be, hogy bármit küldhetnek nekem. A Godaddy-s email-ek mellett azóta is ömlik erre az email-re a spam. Akár egyenesen küldhetném is a spam tanítóba. Bár a legtöbbet már automatikusan spam-nek jelöli. Danica Patrick jó csaj, de azért nem annyira.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Tanulsagos. Es szomoru.

Na de a jo hir, hogy ez vegre ravett, hogy aktivaljam a 2-factor auth-ot az email cimemre es a domain regisztratoromra :D

.hu domaint próbálja ellopni bárki :D

Es ott ez nem szamit buncselekmenynek? Ha igen, akkor nem kotelezheto a szolgaltato (GoDaddy, Twitter) az eredeti allapot visszaallitasara?

--
http://blog.htmm.hu/

"I remembered what had happened to @mat and concluded that giving up the account right away would be the only way to avoid an irreversible disaster."

Lasd a linket @mat sztorijaval. Lehet, hogy vissza tudta volna szerezni, de a tamado megfenyegette ("I see you run quite a few nice websites so I have left those alone for now"), nem akart szivni.

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Az nem lett volna opció, hogy amikor próbálta magát igazolni, de már nem tudta, mert a támadó idő közben minden személyes adatát megváltoztatta, akkor a korábbi adatok alapján igazolja magát? Csak van valami log/history arról, hogy mik, mikor, miről és mire lettek megváltoztatva.

Igaz ha szabadon eladhatja a domainjét, akkor ez nem annyira nyilvánvaló, mert vissza is lehetne élni vele. (Átadom a domaint, megkapom érte a pénzt, majd megyek a godaddyhez hogy "ellopták".)

Egy valamit nem értek a sztoriban:

"The representative asked me the last 6 digits of my credit card number as a method of verification. This didn’t work because the credit card information had already been changed by an attacker."

Ezek szerint a GoDaddy egyáltalán nem naplózza a változtatásokat? Azt gondolnám, hogy azt csak látják, ha egy eddig ismeretlen IP címről jelentkezik be valaki és megváltoztatja a személyes információkat. Ha a régi számlaszámot nem is, de ha már annyit látnak, hogy megváltoztatták azt, akkor felmerülne, hogy esetleg kompromittálódott és nem kérik, hogy azzal hitelesítse magát. Másrészt a domaint nem úgy szokás átadni, hogy megadom a vevőnek az adataimat és írja át szépen a formokat. Itt határozottan a felhasználó feltöréséről és ellopásáról van szó, nem pedig arról, hogy egy domain átadását nem tudja igazolni.

A másik, hogy szerintem egy számlával, ami tartalmazza a domain nevet és a befizetés megtörténtét, igazolni tudta volna magát az eredeti tulajdonos.

" Azt gondolnám, hogy azt csak látják, ha egy eddig ismeretlen IP címről jelentkezik be valaki és megváltoztatja a személyes információkat."

Ez meg nem jelent semmit. Elkoltozom Amerikaba, es megvaltoztatom az adataimat a vegleges cimemre. 1) sosem jartam amerikaban, ergo az IP cimem barki szamara ismeretlen 2) megvaltoztatom a szemelyes adataimat. Kompromittaltam a sajat accomat? Nem. Es ez egy teljesen valid, sot gyakori scenario, sokkal kisebb tavolsagokon (Budapest-Pecs) is.
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. 

A múltkori "miért a Paypal a jó" beszélgetés jut eszembe.

--
trey @ gépház

Hát ez óriási :) (olvastam). Gyakorlatilag bármilyen igazoló visszajelzésen rajta van, nézd meg mit kapsz vissza a pénztárnál ha kártyával fizetsz. A célja ennek a 4 számjegynek hogy te tudd melyik kártyával fizettél, a gáz az hogy valahol máshol ezt a "kvázi publikus" információt használják azonosításként.
Az is fasza, amit levont következtetéseket.
Mindegy, szarul járt. Itt a hiba az volt hogy olyan "custom" domaint választott, amelynek megrendelését, nyilvántartását kizárólag elektronikusan végezték, semmilyen komoly virtuális személy/személy megfeleltetés nem használtak (ellenőrzött pki, személyesen elkészített védett account, papír alapú visszaigazolható, aláírt megrendelő). Ezt tetézte azzal, hogy egy olyan szolgáltatót választott (godaddy) ahol az ilyen ritka eseteket leszarják, és nem működnek közre.
Amúgy, csak kérdem, mi lett volna akkor, ha valóban eladja a domain-t, majd miután kifizették, ott átírja előttük az adatokat, majd mikor nála a lóvé elkezd emberkedni, hogy őt meglopták, ha te vagy a godaddy helyébe mit tennél? Kinek hinnél? Hogy ellenőriznéd? A godaddy ott hibázott, hogy out-of-band azonosította az ügyfelét, és az out-of-band azonosítás harmatgyenge volt, ezért nem szabad vele kezdeni. A többiben már nehezebben kárhoztatható.

"Gyakorlatilag bármilyen igazoló visszajelzésen rajta van, nézd meg mit kapsz vissza a pénztárnál ha kártyával fizetsz."

Bizony! En ezeket mar joideje hazaviszem es lehuzom a WC-n. :D

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Valamit nem értek. Rajta van a kártyádon, mondom, blikkre leolvasom és megjegyzem, 4 szám..., arra használják, hogy te (mivel neked lehet 5 kártyád is) tudd melyikkel fizetted, tudd, hogy melyik kártyád van tárolva a szolgáltatónál, stb. Azonosításra szolgál amivel nehéz visszaélni, ha nincs olyan paraszt aki ezt alkalmazza azonosításra. Senki nem mondta, hogy listákat tölthetsz név/négyszámjegy párossal, hanem az, hogy ezt egyedi azonosítónak használni olyan mintha a lakcímed házszámát használnák.

A cikkben hivatkozott @mat eseteben Apple is az utolso negy szamjegy (+par konnyen megszerezheto adat) alapjan azonositotta be a tamadot:

"Apple tech support confirmed to me twice over the weekend that all you need to access someone’s AppleID is the associated e-mail address, a credit card number, the billing address, and the last four digits of a credit card on file. I was very clear about this. During my second tech support call to AppleCare, the representative confirmed this to me. “That’s really all you have to have to verify something with us,” he said."

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Annyit tennék hozzá, hogy ha az EU-ból van céges PayPal accountod, akkor ahhoz nem elég a virtuális azonosítás, ott még cégjegyzék másolatot is kérnek, plusz személyi irat másolatát. A fenti sztori alapján ez nem is akkora baj.
Plusz nekem a google is kérte a google appshoz a cégjegyzék kivonatot. Ez alapján ezt a fenti trükköt itt nem lehetne eljátszani. (Az is igaz, hogy nekem nincs 50k USD értékű domainem / twitter accountom.)
Csaba

Nekem van privát és céges PP accountom, és semmi különbség nem volt a létrehozásuk között. Létrehoztam az accountokat hozzáadtam a kártyaszámokat - internets kártya, külön alszámlával, amin csak akkor van pénz amikor vásárlás elött ráteszem.

Szóval nem értem amit írtál.

Én azt nem értem, hogy ez szerinted miért van rendjén. Ha a Paypal tudná milyen színű a bankkártyám, szerintem azt sem lenne szabad kiadnia senkinek. Teljesen indifferens hogy meg tudsz-e jegyezni 4 számot ami rajta van a bankkártyámon, arról van szó, hogy egy szolgáltató (paypal) a pénzügyi dolgaimról(bankkártya) információt szivárogtat egy harmadik félnek.
Ha szerinted ezzel semmi probléma nincs, akkor légyszi jelezd és inkább átváltok read-onlyba.

Nem idegennek adta meg, hanem azt hazudta, hogy ő az ügyfél, és nem tudja melyik kártyája van rögzítve a PP-hez. Ezért mivel ezt explicit nem tiltotta, a PP kiadta. Gáz e hogy a PP megoszt _bármilyen_ adatot out-of-the-band azonosítás nélkül? Az. Csak valahogy úgy érzem nincs sok tapasztalatod azzal a sok sötéttel aki néha ráesik egy ügyfélszolgálatra. Ezt a PP méretéből, a megcélzott piaci szegmensből eredően felszorozhatod 10-el simán. Azaz el tudom képzelni, hogy ilyen szolgáltatásra égető szükség volt. Hogy jó megoldás e? Nekem nem fogadható el, a jóságát meg a visszaélési statisztika mondja meg.
Még egyszer, a 4 szám elárulása _önmagában_ veszélytelen.

Igen, valahol ott van a probléma hogy a twitter accountok elsöprő többségének közel nulla az értéke. És amúgy a magánkézben lévő domaineknek is. Ezért aztán ehhez mért biztonsággal kezelik, elsősorban a kényelem miatt.

A jelen esetben a mukinak volt egy különösen érdekes példánya, de nem volt megfelelően védve. Az értéke kb. mint a tescos tojás és egy Fabergé tojás viszonya.

> Még egyszer, a 4 szám elárulása _önmagában_ veszélytelen.
Nincs ertektelen informacio.
Social engineering egyik alapja, hogy olyan informaciot keresel amit nem oriznek, de ami miatt mas elhiszi, hogy mas informaciohoz is jogosult vagy hozzaferni. Pontosan ezert nem szabadna semmilyen szemelyes (ertsd: adott szemelyhez kotheto) informaciot kiadni...
...egy penzugyekkel foglalkozo vallalatnal meg ez fokozottan igaz.

"Másrészt, és ez a fontosabb, a törölközőnek roppant pszichológiai jelentősége van. Miért, miért nem, ha a strag (strag: nem stoppos) észreveszi, hogy a stopposnak van törölközője, azonnal föltételezi, hogy fogkeféje, arctörlője, szappana, doboz kétszersültje, kulacsa, iránytűje, kötélgombolyagja, szúnyogriasztója, esőkabátja, űrruhája stb. is van. Sőt a strag boldogan odakölcsönzi a stopposnak a felsoroltak vagy egy tucat egyéb tétel bármelyikét, melyet a stoppos véletlenül „elvesztett”. A strag úgy gondolkodik, hogy aki széltében-hosszában bejárja stoppolva a galaxist, nomádul és csövezve él, hihetetlen nehézségekkel néz farkasszemet, és győz, és még azt is tudja, hogy hol a törölközője – az igazán olyan valaki, akit komolyan kell venni"

:D

"Nem idegennek adta meg, hanem azt hazudta, hogy ő az ügyfél,..."
Tehât idegennek adta meg ;) attól hogy a PP elhitte hogy ûgyfél, attól ő még idegen volt.

Ilyen méretű ügyfélszolgálattal valóban nincs tapasztalatom, kisebbel van. Biztos nehéz a sok sötétet kezelni, ettől függetlenül elfogadhatatlannak tartom, hogy rendes authentikáció nélkül adtak ki adatokat, amikor az ügyfél pénzéről van szó.

Veszélytelen akkor lenne, ha ezt a 4 számot sehol nem tudná használni. Mivel van ahol ezt a 4 számot használják azonosításra, nagyon is veszélyes, és ezt a PP-nek is tudnia kellene.

igy van. lehet okoskodni, hogy ez nem szemelyes info - de latjuk, hogy az. hogy mas is ezt csinalja - nem mentseg. hogy nem idegennek adta ki, hanem azt hittek neki - ez meg milyen erv mar :D

itt egesz pontosan az törtent, hogy a hitelkartya adatainak kiadasa a domainek elvesztesehez vezetett, tehat nagyot hibaztak.

De. Az automata azert nyomtatja ki ezt a negy szamot, mert ez a negy szam onmagaban nem hasznalhato azonositasra. Es barmilyen POS terminal pontosan ugyanezert nyomtatja ki, mert akar ki is szogezheted a falra. A hibat a GoDaddy kovette el, aki ezt a negy szamot azonositasra hasznalta, ugyanis csak es kizarolag a teljes kartyaszamra van biztositva, hogy egyedi, az utolso negy szamjegyre nincs biztositva az egyediseg. Ez olyan, mintha en kizarolag a PIN kodod alapjan azonositanalak.
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. 

Az automata azert nyomtatja ki ezt a negy szamot, mert ez a negy szam onmagaban nem hasznalhato azonositasra.
Es barmilyen POS terminal pontosan ugyanezert nyomtatja ki, mert akar ki is szogezheted a falra.
A hibat a GoDaddy kovette el, aki ezt a negy szamot azonositasra hasznalta, ugyanis csak es kizarolag a teljes kartyaszamra van biztositva, hogy egyedi, az utolso negy szamjegyre nincs biztositva az egyediseg.

Erre minden mondatod jó példa: http://a.te.ervelesi.hibad.hu/hamis-okozat

Nem csak a GoDaddy használja azonosításra, éppen ezért nem lett volna szabad kiadnia a PayPalnak csak úgy.

Ez olyan, mintha en kizarolag a PIN kodod alapjan azonositanalak.

http://a.te.ervelesi.hibad.hu/lenyegtelen-konkluzio

"Nem csak a GoDaddy használja azonosításra, éppen ezért nem lett volna szabad kiadnia a PayPalnak csak úgy."

És még fokozod. Ugyanúgy ne legyen rajta a repjegy megrendelőn, a nyugtán, az akármin, mert van pár idióta aki azonosításra használja.
Beszarás.

A linkjeid is, és az érvelésed is érdekes. Vizsgáljuk.

"Az automata azert nyomtatja ki ezt a negy szamot, mert ez a negy szam onmagaban nem hasznalhato azonositasra."
Azt mondod hibás az érvelés mert hamis az ok.
Okozat: kinyomtatja az automata a négy számot
Látszólagos ok: mert a négy szám önmagában nem használható azonosításra
Ez nem valódi ok, hisz ennek okán rányomtathatná az Ady összest is.

Ha behelyettesíted a valódi értelmét
Okozat: az automata elismervényt nyomtat amely alkalmas arra hogy azonosítsd melyik pénzhelyettesítő eszközöddel fizettél
Ok: azért nyomtatja így, hogy később te azonosíthasd melyik eszközöd volt ez, mivel ez időben rövid-közép távú, és az általad használt eszközök tekintetében kis számú így alkalmas hogy pontosan meghatározd melyik eszközzel történt a fizetés. Más típusú azonosításra nem alkalmas mivel összesen 10000 egyedi azonosító jel különböztethető meg, és a 4 szám közép távon még változhat is (eszközcsere).

Azaz az érvelésben az ok nem hamis, csak nem akarod értelmezni.

Nem folytatom...

Nyugtara rairjak az utolso 4 szamjegyet
vs.
Telefonon kiadjak az utolso 4 szamjegyet azonositas nelkul

Te komolyan nem erzed a kulonbseget?

Nem attol lesz valami bizalmas/titkos informacio, hogy nincs sehol tarolva. Az ugyfelektol szarmazo informaciot kulturalt helyen mindig bizalmasan kezelik, es mint olyan a hozzaferes kontrollalva van. A PayPal itt abban hibazott, hogy nem a megfelelo kontrollalt csatornakon kozvetitett bizalmas informaciot. Legalabbis engem nagyon meglepne ha a belso processek szerint ezt igy lehetne.

Amikor ugyfelek adatait kezeled akkor nem adhatsz ki informaciot roluk a hozzajarulasuk nelkul. Ezert szokott eleg komoly adatvedelmi szabalyzat lenni minden cegnel. Az meg vegkepp nem megfelelo erveles, hogy szerinted az az informacio nem hasznalhato semmire, hiszen akkor nem is kerdezne senki.

De pontosan pontosan tudom mi a kettő között a különbség. És nem is értek vele egyet.
Azonban ahogy fent is leírtam, a szolgáltatás mindig a biztonság rovására megy egysejtű emberek használják a PP-t.
A Paypal-nek az a célja hogy szolgáltasson. Ameddig nem tömeges, hogy visszaélnek mások a tőle megszerzett információkkal nem fog lépni, mivel itt a szolgáltatás is fontos, és olyan adatot nem adott ki amivel vissza lehet élni. Itt érts: az ügyfélszolgálatos is csak a 4 számjegyet látja, azzal fizetni nem lehet, hozzájuk belépni nem lehet, ergo elhitte az embernek hogy ő az ügyfél és megadta ezt az ártatlan adatot, sőt még kérhető is a PP-nél hogy semmilyen adatot ne adjon ki telefonon.
A godaddy meg ezt használja azonosításra, meg más is. Na ez a bravo. Ez teljesen védhetetlen. Attól ugyanis, ha a PP nem adja ki, még megszerezhető adat. De akár látható az amazon/lakcím probléma, ami ugyanilyen erősségű védelem. Itt is a szolgáltatni akarás miatt van, de sokkal nagyobb problémát vet fel hogy valakit azonosítasz ügyfeledként és újra elvégzed a megfeleltetést (kiadod az accountot) könnyen megszerezhető adatok által out-of-the-band csatornán. Na ez a gond.

Hagyom a fenébe mert látszólag azt támogatjátok, hogy titkoljuk az adatokat, mert azok ha nehezen megszerezhetőek akkor attól biztonságban lesztek.
Nem. Nem lesz megszerezhetetlen. Az adatok megszerezhetőek, maximum egy kicsit többet kell vele dolgozni.
A jövőnek arról kellene szólni, hogy sokkal biztosabb virtuális személy/személy megfeleltetést kellene használni az embereknek, és tájékozottabbnak kellene lenni a társadalomnak az azonosításokról.

Csak ebben az esetben, ha jelentkezik az ürge hogy nem tudja elérni a mail címét, de a 3423 számú kártyája van rögzítve a cucchoz, akkor nem ez alapján kellett volna feloldani, hanem kezdeményez egy tranzakciót (visszaállítási díj) a kártyára, és ráterheli, a közleményben pedig elhelyez információt amit csak ő lát a bankjánál. Ezzel felhívja megint az ügyfélszolgálatot, és akkor aktiválják neki az új mail címet, azt az egyszeri azonosítót amit erre használtak törlik, másra nem használható.
Ezzel a módszerrel még a homlokodra is felírhatod a számot, mégis legalább a banki reportot meg kell szerezni (pl a telefon ellopásával, vagy a papír alapú levelezés figyeléséve) hogy eredményt érj el. Szóval volt megoldás, minimális ügyfél intelligenciát és némi pénzt vett volna igénybe az alkalmazása.

"Az automata azert nyomtatja ki ezt a negy szamot, mert ez a negy szam onmagaban nem hasznalhato azonositasra."
Azt mondod hibás az érvelés mert hamis az ok.

Nem ezt mondom hogy hamis az ok, hanem azt, hogy az első és a második tagmondat között nincs összefüggés.
http://a.te.ervelesi.hibad.hu/szalmabab

Hidd el, teljes erőből értelmezni akarom.

Elmagyarazod, hogy miert nincs osszefugges? Szerinted miert nyomtatja az automata a blokkra azt a negy szamot? Az azonositas nyilvan nem jon szoba, mert hogy azzal kapcsolatban nincs semmifajta osszefugges, ezt te magad allitottad.
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. 

A kutyad nevevel sem lehetne teged azonositani, pedig a "what is your pet's name" egy eleg gyakori "security question".

Sok artalmatlannak tuno infoval vissza lehet elni. Ha te ezeket megadod egy szolgaltatas uzemeltetojenek, majd azt kiadja harmadik felnek, nagyon felelotlen!

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

Hiba az _is_, hogy ezt azonosításra használják.

Sokszor előjön ez a vásárlás/pénzfelvétel után kapott cetli. Szerintem elég sok különbség van a telefonos PayPal ügyfélszolgálat és a cetli között: a cetlinél fizikailag egy helyen kell lenni a célponttal, míg az üf esetén semmilyen kapcsolara nincs szükség. Először ki kell deríteni a személyazonosságát, meg kell ismerni a szokásait, oda kell utazni, meg kell figyelni és követni kell egy vásárlásig/kp felvételig, amíg meg nincs a 4 számot tartalmazó cetli. Ez persze mind megoldható, de elég problémás és drága, ha a célpont pl egy másik földrészen lakik, olyan országban aminek a nyelvét nem beszéled és a vízummal is szarakodni kell. A legnagyobb szívás, ha ezután kiderül, hogy a netes fizetésekhez nem azt a kártyát használja, mint a vásárláshoz amiből cetlit szereztél. Ha szerencséd van a szomszéd utcában lakik az illető és csak egy kártyája van, ekkor ez is egy tök kézenfekvő megoldás, de kinek van ilyen szerencséje...

"Szerencsére" viszont erre a sok macerára nincs szükség, a PayPal ügyfélszolgálata elérhető a legközelebbi nyilvános fülkéből és készségesen megadja azt az utolsó 4 számjegyet. Max pár telefonhívás, és pisiszünetet sem kell tartani mire megkapod ami kell.
Szerintem ennek a cetlis dolognak az emlegetése ezért nem menti fel a PayPalt egy kicsit sem.

Finomitsuk a valaszt: az a hiba, hogy kizarolag ez alapjan azonositanak. Ha van X es Y adat, plusz meg ez a negy szam, akkor azt mondom, hogy oke, ezzel egyet tudok erteni. De hogy kizarolag negy olyan szam alapjan azonositsanak, amire meg csak egyediseg sincsen garantalva...
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. 

Mi van? Ne legyen ingatlan nyilvántartás se a világon, mert abból megszerezhető érzékeny információ? www.e-cegjegyzek.hu... minden adatod megmondom, ha van olyan cég amiben tulaj vagy. Márpedig ha van startupod, akkor te üzletelsz.... nem fejtegetem tovább.
Ez egy másik aki keveri a céges dolgait a magánnal, és sikerült ismét találni új céget amelynél szükség lenne biztonsági átgondolásra.
Itt sem az a baj, hogy megtudták milyen címen elérhető, hanem az, még az sem, hogy privát cím benne van az amazon accountban, mert ha cég, valószínűleg a weboldalon is kint van az elérhetősége. A baj az, hogy valahogy ez alapján a telefonálónak sikerült elhitetni, hogy ő az amazon ügyfele.
Miért nem adható meg az amazonnál egy "telefonos jelszó?" ami nem olvasható, csak írható, az is csak trükkösen? Miért nincs valami komoly azonosítás pl. pki?
Inkább az elektronikus account/valós ember megfeleltetés szabályozására kellene rágyúrni, mert ebből egyre több probléma van.
Diszkrét bája van annak, hogy írja, hogy az összes accountja össze volt kötve, azaz pl. linkelt a weboldalára. Ha a weboldalon lett volna olyan adat (pl ő egy értékesítő, és oda ki van írva az elérhetősége) akkor nem csipogott volna?
Amire rá kellene gyúrni még, az oktatásra, mindenki sípol, hogy pl. itthon senki nem ért a pénzhez, nem tudjuk kezelni, mert nem tanították.
Itt a következő probléma, 100-ból 95 ember (remélem nem több) ugyanazt a jelszót használja permutálva a 20 különböző accountján. És ez szerinte így jó!
Ugyanezek az emberek olyan jelszavakat adnak, amely minimális social engineering alapján lecsökkenthető a variációk száma 10000 alá, és valszeg pop3 accountjánál is ugyanaz van, mint a "fészbúk"-ján, meg a .....
Próbálj ellopni egy .hu-t azzal, hogy tudod a bankkártya utolsó 4 számjegyét,
vagy a whois adatokat. Az amazon hülyesége (ami lehet, hogy megkerülhetetlen, ahogy előző posztban is írtam a hogy erre az ügyfelek miatt szükség lehet) hogy ily egyszerűen megszerezhető egy account.
Jó lenne ha elterjedne, hogy az emberek rendelkeznek egy pki-vel amihez erős jelszót használnak és ha elvesztik bemennek a független pki irodába, kérik a visszavonását, és új kiállítását, és lennének erre policyk, főleg a nagyobb cégeknél...
Az a vicc, hogy ez nem is lenne szürreális jövő mert minden elem létezik ebből, de az emberek lusták, a nagy cégek meg üzletelni akarnak, és ügyfeleket nem pedig problémákat.

private mean magán, u know? :)
miert kell egy magan domainhez a telefonszamomat, meg a cimemet kozkincse tenni?
par hete egy allami fenntartasu vetomag bank hirdetett ingyenes magborzet, ahol azert cserebe hogy szaporitok nekik tovabb egy kis magot, elkertek (volna) az anyam nevetol a szemelyi igazolvany szamomig minden szart. Ez Mo.

Valaki adatát muszáj közkinccsé tenni, hogy ne a TLD tulaját keressék abuse vagy bármi más ügyekben. A tulajdonos adatait pedig muszáj tárolni, hogy tudják, kié is pontosan. Ennek a két adatnak nem kellene közösnek lennie, de egyszerűségből, lustaságból, vagy ki tudja miért, mégis az.

--

nem a tarolasrol van szo, hanem a nyilvanossagrol.
tegnap vki elotte a postan vett vmit (boritek vagy hasonlo) es kotelezoen szamlat adtak neki, mert torveny irja elo..persze teljes nev cim anyjaneve minden kell hozza. lassan mar egy fagyihoz is kivancsiak a labmeretedre is, minek?

(aztan csodalkozik mindenki, hogy visszaelnek az adataiddal)

Kicsit ellentmondásos, hogy egy virtuális teret akarsz magadnak, de nem kívánod megosztani ki áll mögötte. Igenis, reális indok hogy tudható legyen egy privát domaines e-mail cím, vagy akár egy weboldal mögött ki áll. Mellesleg, ha nem akarod meghatározott, azonosítható, jól elkülönülő módon feltüntetni magad a világhálón, akkor nem hiszem hogy saját domainre lenne szükséged.
És igen, fontos, hogy ne _csak_ a hatóság számára legyen tudható. Ha nekiállsz levelezni (csigaposta) akkor is rá kell írni a feladót. Ha bemész valahova személyesen nem takarod el az arcod. Általában az emberek szokták vállalni magukat.
Talán érteném, hogy van reális üzleti igény egy jól védett, de emellett anonim szolgáltatásra (már itt bukott a dolog, persze, mert ha valaki rajtad kívül tudja, akkor az nem titok), csak épp nem indokolja a fenti eset ezt.

Ha már itt tartunk, én jobban bízok egy olyan domainel rendelkező emberben aki olyan TLD mögött van, ahol azonosítják a tulajdonost, és vállalja magát. Te hogy vagy ezzel?

Normális körülmények közt egy privát (tehát nem céges) domain adataihoz max. a hatóságoknak kellene, hogy közük legyen arra az esetre, ha valami jogi probléma merül fel vele kapcsolatban.
De hogy fűnek-fának kiadják a tulaj nevét, címét, tel. számát... erős túlzásnak tartom.
Egy olyan okot mondj, amiért erre szükség lehet egy hobbi domain esetében és nem elég hozzá az e-mail!

A személyes példád meg nagyon rossz, mert ha bemegyek személyesen a postára és valamennyire látok, akkor látom azokat is, akik engem látnak.
Míg ebben az esetben ott van millió személyes adat publikálva úgy, hogy bárki megnézheti a tudtom nélkül.
És itt most hangsúlyozottan privát célú domainről beszélek, nem cégesről!

Anonim akkor lenne, ha a hatóság is csak trükközve férhetne hozzá ezekhez az adatokhoz.

Ez a véleményed, oké. Ettől még árnyaltan válaszolj a kérdésre: miért kell magánszemélynek domain név HA nem akarja a mögött magát láttatni? Te bízol egy olyan emberben aki a kiss.lajos@cooldomain.hm-ról írogat neked? Ha meg nem akar levelezni, meg nem akar megjelenni, akkor minek neki domain?

Én pl. szerettem volna egy időben saját fotógalériát.
Esetleg valami olyasmi blogot, amin a saját kis IT-s agymenéseimet tudom dokumentálni.
Nem magamat akartam volna mutogatni, csak valami olyat, ami mást szórakoztat, esetleg másoknak hasznára van.

Mindezt saját fejlesztésű szoftverrel, amit referenciának szántam volna egy esetleges webfejlesztői karrier indításához. De nem szerettem volna, hogy minden félhülye "kedves" ismerős megtaláljon.

Visszakérdezek: ilyen mentalitással miért tiltottad le még a kapcsolatfelvételi lehetőséget is itt? Ahelyett, hogy komplett linkedin profile-t tettél volna a bemutatkozásodhoz. Itt talán nem magadat adod? (a kérdés persze költői, csak arra próbáltam rámutatni, hogy kb. hasonló megfontolásból akarhat valaki saját domaint, de úgy, hogy ne lássa bárki, kinek a tulajdona, hol lehet elérni)

Először a kérdésedre reagálok: Nem vagyok sem rejtőzködő, sem konfliktuskerülő ember. Sajnos sok helyen a véleményt összekeverik valami más dologgal, és mivel több esetben céget is reprezentálok azt illik megvédeni a téves összekapcsolástól, mivel az emberek rögtön a mást is látnak mögötte (céget, más személyeket). Ezek az emberek így vannak szocializálva, ez a csökevényük. Megtanultam. Azaz ennek részint ez az oka.

Itt ezen a fórumon is több létezik aki összekapcsolja a véleményt az emberrel, azaz a véleményt már az alapján vizsgálja ki írta, és ezt interpolálja. Persze mindenki értékeli hogy egy szöveget ki ír neki, de a mérték a lényeg, és a szándék.

És persze itt látod a különbség. Ha veszem a fáradtságot és csinálok egy honlapot (ami kizárólag arra van, hogy elkülönítsd, azonosítsd magad) akkor igen, úgy gondolom elengedhetetlen az azonosítás. Mert a domain (rész, tartomány, szelet) jól azonosítható különváló egység, egyedi és jellemző, megnevezendő (már maga egy név).

Példáid:
fotógaléria: ezer hely van ahol megjelentetheted a fotógalériádat, ma még több, de már a 2000 év elejétől sok ilyen helyet találhattál.
blog: dettó
Ezekhez nem kell saját domain, tök fasza egy aldomain, vagy egy erőforrásnév a szolgáltató zónájából, tök anonim. Erre van.

Ha komolyan gondolod, hogy nem probléma ha kiadják a netes fizetésre használt kártya utolsó 4 számjegyét, és nem csak trollkodsz, akkor kommenteld ide az általad reprezentált cégét és a sajátodat. De ha már lúd, legyen kövér! Csapd még hozzá a cetlire ugyancsak kinyomtatott elszámolót(bank) és a kártya típusát is.
Kiváncsi lennék a kártyáért felelős ember mit reagál amikor ezeket elkéred tőle! :)

Kártyaadatokról szerintem nem beszélt vagy én nem láttam.
Itt olyasmiről van szó, hogy név, telefonszám, lakcím...
Máshol is írtam: amíg valami tucatnévvel rendelkezik valaki, addig nem gond a név. Ha olyannal, amiből max. egy-kettő van az egész országban, akkor már necces a dolog (különösen, ha az illető egyébként IRL néven elő szokott fordulni a neten).
A lakcím és a telefonszám publikálása szerintem a privát szféra súlyos megsértése, nem is értem, a jogvédők miért nem foglalkoztak vele soha.

Nem vagy rejtőzködő, de sokaktól eltérően, az adatlapodon még a neved sem szerepel.
Nem érdekel ki vagy, csak kissé fura, hogy épp olyan valaki támogatja lelkesen a személyes adatok publikálását, aki még a privát üzenetek küldésének lehetőségét is letiltotta és az adatlapján csak a regisztráció dátuma szerepel.

Te nem érzed humorosnak a kettőt együtt?
És ahogy sj is írta: nem kell messzire menni, hogy bajod legyen abból, ha publikálják a személyes adataidat (akár csak a neved, tel.számod, címed)

Az ellenpéldáidból meg csak az derül ki, hogy az egészből kb. semmit sem fogtál fel. Vagy ahogy előttem is feltételezte valaki: trollkodás minősített esetével állunk szemben.

miért kell magánszemélynek domain név HA nem akarja a mögött magát láttatni?

csak, de komolyan. Miert kell ehhez barmilyen indok? Van, ami nem tartozik a szelesebb nyilvanossag ele. De hogy mondjak egy konkret peldat is, legyen egy sajat honlapom, de nem akarom, hogy pl. a lakcimem, whatever publikussa valjon a sajat domain miatt. En kifejezetten nem orulok, hogy a sajat domainem miatt a lakcimem barki elott ismert 2 kattintas utan. Sok kellemetlensegem volt mar miatta.

Te bízol egy olyan emberben aki a

siman. Az atlagembernek fogalma sincs, hogy a www.domain.hu alatt egy ilyen kincsesbanya van, de megis bizik a masikban (!=mindenki). De az, hogy konkretan te kiben bizol vagy nem bizol, az kb. irrelevans a temaban.

Ha meg nem akar levelezni, meg nem akar megjelenni, akkor minek neki domain?

sigh es duplatenyer...

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

Nekem sokáig volt .hu domainem, de sose kopogtattak nálam. Anélkül, hogy vádolnálak bármivel, lehet olyanokra használni egy domaint, hogy morcos emberek vagy akár hatóságok felkeressenek, vagy olyan dolgokra, hogy egy befektető megkeressen, vagy olyan dolgokra, hogy soha senkit ne érdekeljen, ki van mögötte. Szóval sok ismeretlenes egyenlet, nem lehet kijelenteni, hogy a whoisban levő dolgok egyértelműen károsak, sokszor jól is jöhetnek.

--

Nekem sokáig volt .hu domainem, de sose kopogtattak nálam

ez nem vedi / igazolja azt, hogy akinek sajat .hu domain kell, annak bizonyos szemelyes adatait publikussa kenyszeritik.

Szóval sok ismeretlenes egyenlet, nem lehet kijelenteni, hogy a whoisban levő dolgok egyértelműen károsak, sokszor jól is jöhetnek.

iiigen, kiveve, amikor hirtelen azon kapod magad, hogy a szerszam rossz vegere kerultel. Es ehhez nem feltetlen kell sarosnak lenned. Szoval a lenyeg az, hogy eme adatok kikenyszeritese rossz. Szerintem jobb lenne ezt opcionalissa tenni. Ha valaki ugy erzi, hogy a cooldomain.hu-rol erkezo levelei hitelesebbek attol, meg hogy "sokszor jol is johet" (amiben amugy van igazsag), hogy a domain adatok koze irja a lakcimet, etc, hadd tegyen igy. Aki meg ugy gondolja, hogy ez baromsag, es mondjuk leszarja a befektetoket (magan domainrol beszelunk, ugye), ill. egy picit privacy tudatosabb, az hadd hagyja uresen ezt a mezot.

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

"hogy akinek sajat .hu domain kell, annak bizonyos szemelyes adatait publikussa kenyszeritik."

1.: http://anonim-domainregisztracio.hu/ - ugye itt a tulajdonos a regisztrálást végző cég (alkalmazottja) de szerződésben kötelezik magukat minden, a domaint érintő változás átvezetésére.
2.: ki az akinek saját .hu domain kell és van oka a személyes adatai féltésének? Mármint tényleg kell a .hu és tényleg van oka.

Az első pont lehet hogy támadható valamennyire, de ki tudja. A második meg olyan, hogy van egy olyan érzésem, hogy azon megy a fappolás, hogy milyen szörnyű az élet, hogy a rántottához fel kell törni a tojást.

Igen, ki lehet alakítani olyan helyzetet, amikor a magyarországi szabályozás hűdeborzasztó. De ez olyan, hogy pár országban 0% véralkoholszinttel szabad csak gépjárművet vezetni, máshol meg engednek pár ezreléket. Más ország, más szabályozás és nem biztos hogy az a rosszabb. (Bármelyik.)

itt a tulajdonos a regisztrálást végző cég (alkalmazottja) de szerződésben kötelezik magukat

ize...

2.: ki az akinek saját .hu domain kell és van oka a személyes adatai féltésének? Mármint tényleg kell a .hu és tényleg van oka.

ugy erted, te nem tudod elkepzelni, ezert a jelenseg nem is letezhet?

van egy olyan érzésem, hogy azon megy a fappolás, hogy milyen szörnyű az élet, hogy a rántottához fel kell törni a tojást.

valahogy ereztem, hogy nem az erzesek vs. ertelem dologban melyik oldalon allsz

De ez olyan, hogy pár országban 0% véralkoholszinttel szabad csak gépjárművet vezetni, máshol meg engednek pár ezreléket.

alma vs. korte ...

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

"ugy erted, te nem tudod elkepzelni, ezert a jelenseg nem is letezhet?"

Nem, el tudom képzelni, hogy van aki .hu domaint szeretne, de szeretne anonim maradni. Ilyenkor vagy megbízik a ilyesmi regisztrálást végző cégben (ami persze csak addig ér valamit, amíg divatból akar anonmim maradni, mihelyst komolyabban kapirgál utána bárki, máris értelmetlen), vagy lemond a lehetetlenről, és választ egy másik .tld-t.

"alma vs. korte ..."

Úgy érted az, hogy van egy szabályozás Magyarországon, ami más országban másmilyen?

"valahogy ereztem, hogy nem az erzesek vs. ertelem dologban melyik oldalon allsz"

Ezt gondolom nem így akartad írni, mert így értelmetlen. Ha kihagyjuk a "nem"-et, akkor értelmes.

Nem, el tudom képzelni, hogy van aki .hu domaint szeretne, de szeretne anonim maradni

arra gondoltam, hogy van aki .hu domaint szeretne, de szeretne maga eldonteni, hogy milyen adatot oszt meg sajat magarol. A dontesrol beszelek

vagy lemond a lehetetlenről, és választ egy másik .tld-t.

ez inkabb akaras vs. nem akaras kerdese.

Úgy érted az, hogy van egy szabályozás Magyarországon, ami más országban másmilyen?

ugy ertem, hogy az orszagonkent elturt alkohol %%-nek kb. semmi kozos vonasa a temaval.

Ezt gondolom nem így akartad írni

jaja, typo...

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

Könnyű nektek.
Engem a vezetéknév + keresztnév párosom egyedileg azonosít az országban, sőt, valószínűleg az egész világon. Ugyanakkor az IRL tevékenységemből adódóan akadhat pár ember, aki nem kedvel, így nem feltétlenül lenne okos dolog nyilvánossá tenni a lakcímem. Akkor én már ne is akarjak .hu domain nevet?
Tudom, hogy lehet "anonim" domainhez jutni, de miért kényszerítenek engem arra, hogy trükközzek?

Egy spam altalaban nem nyujt alapos gyanut a szerver feltoresehez. Ha nekem a jenoke@kovacs.eu cimrol jon egy spam, akkor inkabb gondolok arra, hogy jenoke valami olyat dugott a gepebe, amit nem kellett volna, es megkergult az outlookja, mint arra, hogy a kovacs.eu-t hostolo gepet megtortek.
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. 

Nekem semmi szemelyes, potolhatalan, ertekes cuccom sincs a neten. Nincs Facebook, Paypal, Twitter, stb fiokom, pedig mar a 90-es evek vege ota rendszeresen hasznalom a netet. Egy kezemen meg tudom szamolni hanyszor vasaroltam kartyaval a neten.
Miert viszonyulok ennyire korultekintoen a netes dolgokhoz? Azert mert Romaniaban nottem fel.

--
FeZo