Adatszivárgás bejelentése...

Security-all

Egy ismerősöm azzal keresett meg, hogy talált egy olyan weboldalt, ahonnan felhasználók adatait lehet egyszerűen kinyerni.

Az eset úgy történt, hogy Google-ben rákeresett egy e-mail címe, és az eredmények között volt a szivárgtató weboldal...

Nevezzük az oldalt: munkaado.com-nak... Ezen létezik egy email_keres.php szkript, egy legördíthető listával. Mindenféle titkosítás, azonosítás nélkül elérhetők felhasználók adatai.

Az ismerős felhívta az oldal "ügyfélszolgálatát", ahonnan enyhén szólva elhajtották...

Mit lehet ilyenkor tenni? Kinek lehet szólni? Szolgáltatónak? Ombudsman-nak?

(A domain és a szkript nevét csak kitaláltam.)

Update:
Részlet az oldalon tárolt adatmezőkből:

--snip--
Távmunkás neve:
Munkavállalás tipusa:
Lakcím:
Anyja neve:
Születési idő/hely/név:
Állampolgárság:
Adószám:
TAJ szám:
Bankszámla szám:
Nyugdíj jogviszony típusa:
Magánnyugdíj pénztár tagság van-e?
--snip--

  • 16257 megtekintés

( SzBlackY | 2015. 06. 25., cs – 15:28 )

A választ nem tudom, de subscribe.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( lx | 2015. 06. 25., cs – 15:53 )

Küldeni kell egy körlevelet a lenyúlható címekre bcc-zve azzal a tartalommal, hogy honnan jöttek a címek.

( pirate | 2015. 06. 25., cs – 15:56 )

Nem vilagos teljesen.
A munkaado.com-on fent vannak a munkaado.com-nal dolgozok szemelyes adatai?
A masik lehetoseg, hogy a munkaado.com-on a kliensek adatai szerepelnek.

Szerintem ha irsz egy korlevelet azokra a cimekre akkor meglesz a hatasa :)

[szerk.]: Megeloztek :)

---
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Szerintem is-is... :)

Ugyanis ez inkább egy olyan lista, ahova összegyüjtöttek emberek adatait... Szóval ennél a "cégnél", ennek a "cégnek" dolgozó emberek adatai vannak feltüntetve...
Nem használom azt a szót, amivel a nem bejárós munkát szoktuk illetni, mert akkor már tudnátok domain részét... :)

A körlevelet kibányászni is nehéz lenne... Nem beszélve a jogosságáról...

Viszont kérdés, hogy be/fel kell/lehet ezt valahol jelenteni?
--
Debian Linux rulez... :D

( wauf | 2015. 06. 25., cs – 16:09 )

Nehez eset..

> I can’t tell you who he is because he doesn’t want to go to Federal prison,
> which is what could have happened if he’d told anyone that could do anything about the bug he’d found.

Ugyelharito szolgalat nyilvan teszi a feladatat..

> It’s hard to explain to regular people how much technology barely works,
> how much the infrastructure of our lives is held together by the
> IT equivalent of baling wire.

Source: Everything is Broken

Azért tegyük hozzá hogy a nagy melldöngetésnek csak akkor van értelme, ha az érintettek nem járultak hozzá az adataik nyilvánossá tételéhez.

Nem, nem az értem rajta hogy Kovács János aláírt hogy igen, tegyétek csak ki a netre, hanem aláírt egy olyan nyilatkozatot (27k-s cégnél valszeg van ilyen), hogy kb. bármit megtehetnek az adataival. És alighanem olyat is, hogy a céges infrastruktúrát nem használhatja személyes célra. Ilyenkor _meglehet_ hogy kissé más a kotta.

Tudnia kellene. A gyakorlat ezzel szemben az, hogy amikor felvesznek egy jómunkásembert, akkor elkezdi az aláírósdit, és ha még elvileg lenne is rá ideje, joga, lehetősége, fél nap után már nem feltétlen fogja átolvasni egyrészt azt amit aláír, másrészt az aláírtakban említett összes mellékletet és az azokban említett vonatkozó részeket, amik azóta esetleg (biztos) változtak is, még ha talán jelentéktelen mértékben is.

( ncc1701 | 2015. 06. 25., cs – 19:19 )

Adatokat leszedni, és értékesíteni.

( Mcsiv v | 2015. 06. 25., cs – 19:45 )

Ha Magyar a munkaado.com, akkor a szolgáltatónak illetve a http://cert.hu/ címen egy bejelentést (ők végigvezetik az ügyet, sőt, ők maguk is indítanak ilyen jellegű folyamatokat és odafigyelnek a dolgokra. Hozzánk is beérkezik tőlük megkeresés)

// Happy debugging, suckers
#define true (rand() > 10)

( Fisher v | 2015. 06. 25., cs – 20:10 )

"azonosítás nélkül elérhetők felhasználók adatai"
Mármint pontosan mik? Nálunk is kint van a név, e-mail cím, beosztás. A céges e-mail az céges. Más kérdés hogy épp mostanság merült fel ennek a tíz éve még jónak tűnő gyakorlatnak a létjogosultsága.

Persze a 27k e-mail cím az gyanítom hogy nem szándékosan van kitéve, de történik-e nagyobb baj annál hogy balkukik?

( Lacyc3 v | 2015. 06. 25., cs – 22:36 )

Nemrég megjelent egy érdekes bejegyzés az access logban a Drupalunk felé, rákerestem és az első találat egy frissítetlen Drupal volt, mely a telepítő scripttel fogadott.

Gondoltam beáldozok néhány percet és értesítem a domain tulajdonosát. Whois sajna semmit nem mondott, ip alapján rackspace tartományba esett, írtam is nekik hogy nem ártana szólni a tulajdonosnak. Egy hónap eltelt, de nem válaszoltak. Szóval érdekes dolog ez.

( szorpi | 2015. 06. 26., p – 00:21 )

Ez bizony a személyes adatok durván gondatlan kezelése, javaslom, hogy őket értesítsd:
http://www.naih.hu/

Aztán ha a hatóság megbünteti őket, mert a minimális technológiai védelmet sem biztosítják, akkor majd tanulnak belőle (vagy nem).

( gergelykiss | 2015. 06. 26., p – 00:33 )

Itt egy levél, amit még áprilisban kaptam a NAIH-tól a szóban forgó oldallal kapcsolatban:

http://kepfeltoltes.hu/150626/vizsgalat_www.kepfeltoltes.hu_.png

Én is pontosan úgy bukkantam rá, ahogy az ismerősöd, utána is néztem pár embernek szimpla Google keresésekkel (nehogy valami feltört oldal legyen kamu adatokkal), és miután kiderült, hogy létező személyekről van szó, és az adataik is stimmelnek, rögtön ment a levél a NAIH-nak. Az mondjuk szomorú, hogy azóta se lőtték le az oldalt...

Lényeg a lényeg, mindenki nyugodjon le a p*csába, a NAIH már rajta van az ügyön. ;)

:D
Végre!
Végre nem csak én vettem észre ezt a ..... szóval azt...
Hasonló értesítést kaptam én is.
Majdnem ugyanakkor jeleztük az esetet :D
Én március 5.-én küldtem el a levelemet.

Nem ez volt az első ilyen baki, amit a tulaj elkövetett.
A google hozza a POST átvitel adatokat is, tehát ha valaki bejelentkezett már az oldalára, annak a jelszava és felhasználóneve is mentve van a google rendszerében kereshető módon.
A tulajnak többször is elküldtem, hogy ez így nem lesz jó, de ahelyett, hogy javította volna, megcsinálta ezt, amit te is találtál. Engem meg elküldött melegebb éghajlatra.

( Nyosigomboc v | 2015. 06. 26., p – 01:07 )

Ha arrol az oldalrol van szo amire gondolok, a http://***.net/useredit.php?kod=xxx-xxx-xxx linken keresztul fel tudsz vinni fals adatokat, es akkor mar nem fog latszani a valos szemelyes adat..

Ha ez egy masik hasonlo oldal, akkor amit en talaltam, ott a Paypal email cim is latszik (valoszinuleg modosithato is), ami meg erdekesebb.. (a postai cim modosithato, visszairtam)

--
I'm not saying the new Apple Watch will only be worn by wankers but it's not vibration, shock and splash proof for nothing.

(Bizisten azt hittem, hogy ökörködtök, és hogy azért valami furmány kell az adatok "szivárogtatásához" - erre most látom, hogy miről van szó.
Elmennek ezek...
Biztos vagyok benne, hogy a foglalkoztatás egyéb vonatkozásának jogszerűségére mindig nagy hangsúlyt fektetnek és körültekintően járnak el, ha ezt így kiteszik az ablakba és be sem szedik.)

Láttam már véres hullát a melóban, testközelből és láttam eleget a neten, és nem vagyok oda a topakárhányakért, de ki merem jelenteni, hogy ez itt mindennek az alja.

Nem tudom, hogy ki csinálta kinek és ki futtatja (az utánanézésig sem érdekel), de bárki is, vállalom azt a kijelentést, hogy összehozta(ák) azt a tényállást, amelynél a Btk.-nak fő- vagy mellékbüntetésül tiltania kellene a szakma gyakorlását, ahogyan hivatásos gj-vezetők jogsija/joga is ugorhat, amikor kiérdemlik, aztán éljenek, amiből tudnak.

Ez mekkora.

Nem is kell ám ilyesmin nagyon agyalni, hiszen van ott ügyfélkód, és password mező is clear text-ben ;)
Sőőt, egyből link is van a belépéshez, usernév, jelszó persze kitöltve...

Ilyenkor mindig azon gondolkozom, hogy ezért valaki tényleg pénzt kapott???
Vagy pont a pénzügyi döntéshozó miatt a haver ismerősének a fia csinálta meg - okosba?

--
zrubi.hu

Nekem úgy tűnik, hogy nem igazán van hasznos forgalma az oldalnak... a kezdőoldalon van egy táblázat, amiben az szerepel, hogy az elmúlt 24 órában elvégzett ilyen-olyan munkák száma mind 0.
Igaz van egy szép folyamatosan gördülő lista mindenféle GBP értékekkel, de ha megnézem a hozzá tartozó user adatlapját, ott nyoma sincs az összegnek, sőt pl. amit megnéztem ott 2012 óta semmi pénzmozgás nem volt.

( peep | 2015. 06. 26., p – 16:06 )

gondolom tor-on keresztul mar mindenki dumpolta, biztos ami biztos.

( simanzoli v | 2015. 07. 26., v – 15:11 )

Valami történhetett az ügyben, mert eltűntek a lekérdező oldalak, viszont a .htaccess még mindíg nem erőssége a weboldal szerkesztőjének, mert a google hozza továbbra is szépen az adatokat.
Igaz, hogy már nem élő oldalon, hanem a webcache arhívban.
Szerintem ez éppen akkora gond, mint az élő oldal ...
Eltűnt az Infojogász cikke is, tehát biztosan megpróbálkozott a negatív reklámok eltüntetésével is.
Természetesen ez is látható a google arhívban ...

Szerintem hamarosan az is kiderül ...

Nem az első eset, hogy ilyet csinál ...
Ilyeneket is csinált már:
Lejárató cikkek, webdesign és cég imázs másolása (facebook oldal, WP weboldal másolása, levlista, cikk stílus stb...), lejárató hirdetések célzottan, munkatársak ijesztegetése email üzenetben ... sorolhatnám még, de elég ennyi is.

Ezzel szemben nemrég olvastam hogy két jakuza tagot azért tartóztattak le, mert "According to police, the two men unlawfully maneuvered a large mikoshi (portable shrine) during the festival near their office." Aztán a jakuzák a tetkóikat mutogatták és kiabáltak a fesztivál részvevőivel, megzavarva annak nyugodt lefolyását.

Távol álljon tőlem hogy vicceljek a jakuzával, de azért ehhez képest azért na.

( simanzoli v | 2015. 08. 05., sze – 18:10 )

Kíváncsi vagyok a véleményetekre ...
Ennek az oldalnak is ugyanaz a tuladonosa/rendszergazdája/munkatársa/igazgatója stb... egy személyben, aki az említett adatszivárogtató oldal tuladonosa/rendszergazdája/munkatársa/igazgatója stb... egy személyben.

tobb-mint-26-ezer-elofizeto-adatat-probaltak-kiszivarogtatni-a-tavmunka-net-rol

Nagyon érdekes írás tőle és teljes mértékben tükrözi, hogy milyen ember.

"Egy az ott dolgozó volt rendszergazda elmondása alapján ezek a linkek a rendszer korábbi 8 éves működése során soha nem kerültek a Google robot látókörébe..."

Amit láttam, azt nem is láttam.

"Az adatbázisban 12 alkalommal próbáltak változtatást végrehajtani melyeknek idejét a napló és egy speciális biztonsági szkript rögzítette."

Szerencsém, hogy nem érdekelt annyira a dolog, hogy formokat szubmitálgassak: másképp most speciális biztonsági szkript őrizetese volnék.

"A rendszert jelenleg üzemeltető cég az Egyesült Királyságban található Telejob Ltd. nem hozza és soha nem hozta nyilvánosságra a rendszerben található előfizetők, dolgozó munkavállalók személyes adatait, azokat nem teszi közzé a web oldalról semmiféle legördülő menüben és nem teszi kereshetővé a munkavállalók illetve újság előfizetők adatlapjait."

Amit láttam, azt nem is láttam.

"A tavmunka.net oldalon sehol sem található sem most sem a múltban olyan menüpont amelyre kattintva email címek alapján kereshetővé tette volna a cég az előfizetők, dolgozók adatait a nagy nyilvánosság számára."

Fogalmazhatunk hát így: szűk nyilvánosság vagyok.

"Sajnos több ízben indítottak támadást a munkaszerver ellen ezen csoportok, melynek beazonosítása során IP cím alapján a szükséges intézkedéseket a magyarországi cég vezetősége korábban már megtette."

Nem csak szűk nyilvánosság, de csoport is vagyok, amely ravaszol támadott, de már be vagyok azonosítva.

(Ekkora egy hazug, cégéres gazembert, hogy kényeztetné análisan egy stadionnyi afroamerikai!)

( simanzoli v | 2015. 08. 08., szo – 15:55 )

Valami történt, mert leállt a kiszolgáló szerver..
Nem elérhetők a domain nevei...

( simanzoli v | 2016. 05. 18., sze – 09:50 )

A szóban forgó cég egy "belső", "biztonságos", " személyes adat mentes" üzenete:
üzenet

Érdemes elolvasni a "Távmunka csomagok" árait is.
Nem... Nem ennyit fizet... Ennyibe kerül hogy dolgozhass nála. :)
Vicces fickó... :)