Megkerült? Biztonságban volt és maradt? Boldogan élt, míg meg nem halt? Ja nem, hát egyik sem, hanem éppen hogy sajnálatos módon kiszivárgott. Mindezt pedig egy olyan mulasztás révén, amit 2017-ben még leírni is szégyen.
"But the server wasn't protected with a password, allowing anyone to access the company's database of user records, totaling more than 577 gigabytes of sensitive data."
Nem igazán ez a megfelelő mondat, amit szívesen hallunk egy incidens kapcsán. Vagyis az adatszivárgás oka gyakorlatilag az volt, hogy a fejlesztő egyáltalán nem használt semmilyen hitelesítést az adatbázis-kiszolgáló védelmére.
A virtuális billentyűzet program Android és iOS alatt is elérhető, de a beszámolók szerint "csak" az Android rendszert üzemeltető felhasználók személyes adatai kerültek most veszélybe.
Az ellopott adatok magukban foglalták a felhasználók teljes nevét, e-mail címét, helyadatait, az adott készülék IMSI és IMEI számát, valamint annak gyártmányát és modelljét, az Android verzió számát, a felhasználók nyilvános Google-profilját és a felhasználók címjegyzékeinek tartalmát is.
Az elképesztő szó nem igazán írja le az esetet, és különösen az okkal kapcsolatosan érez az ember elemi fájdalmat.
Közben a i.type alapítója és igazgatója cáfolni igyekezett az értesüléseket, szerinte az "csak egy másodlagos adatbázis volt", illetve hogy az IMEI számot valójában nem is gyűjtötték, na és hogy a GPS adatok nem is voltak annyira pontosak, meg különben is.
Ezzel szemben az ESET biztonsági szakértője, Mark James elmondta, brutális hibának számít így, hitelesítés nélkül, bárki által hozzáférhető-letölthető módon személyes adatokat tárolni.
A felhasználóknak minden egyes mobilos alkalmazás letöltésénél érdemes óvatosnak lenni, ám különösen a billentyűzettel kapcsolatos alkalmazásoknál fontos a megbízhatóság, hiszen az ilyen appok természetüknél fogva hozzáférhetnek a felhasználók által beírt összes adatunkhoz, beleértve a legérzékenyebb információkat, például a jelszavainkat vagy a hitelkártya adatainkat.
2017.12.11. 19:34:56
Nem ők voltak, akik valami nosql szart használtak, aminek a default konfigja olyan, hogy mindenkinek mindent megenged? Nem tudom, hol láttam ma vagy tegnap valami ilyesmit.
különvélemény 2017.12.12. 05:29:28
Ez szimpla adatlopás a cég részéről.
Igazán megbüntethetné már az EU az összes olyan céget, kezdve a viberrel, amelyik ellopja a címjegyzék adatait.
Ugyanis a felhasználó csak a saját személyes adataival kapcsolatban nyilatkozhat, mikor elfogadja az EULA-t, máséról nem. Így ezeket letölteni/tárolni/kezelni 3. félnek bűncselekmény.
CoolKoon 2017.12.12. 07:49:11
CoolKoon 2017.12.12. 08:12:32
CoolKoon 2017.12.12. 08:13:11
CoolKoon 2017.12.12. 08:15:32
2017.12.12. 09:04:22
CoolKoon 2017.12.12. 09:09:14
2017.12.12. 09:35:40
2017.12.12. 09:36:18
2017.12.12. 09:40:11
CoolKoon 2017.12.12. 09:43:05
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2017.12.12. 09:46:47
Felelősség pedig biztosan lenne, viszont a felelősségvállalás sajnos sokszor átmegy tagadásba, kummantásba, valóságszépítésba, és jönnek a SONY (eleinte tagadás), Diginotar (nincs tájékoztatás, szerintük nem jelentős esemény), Adobe (eleinte tagadták, "csak" 3 millió, utána pedig 150 millió ügyféladat, 3.2 millió hitel- és bankkártya adat, sőt forráskódok is) , LinkedIn (6.5 milla személyes adat, mert nincs salted hash), BKK, Posta, és napokig sorolhatók szánalmas mentegetődzések.
2018. május 25. sem fog mindent varázsütésre megoldani, de azért rászorítja az ilyen hozzáállású cégeket a jobb személyes adatkezelésre: a bünti 20 mEUR vagy a cég árbevételének 4%-a.
És ha nem cégként, hanem felhasználóként a mi védendő személyes adataink felől nézzük, akkor igenis tegyenek meg mindent, ami az "elvárható legnagyobb gondosság" meg az előírások szerint elvárható lenne.
dr. mesterséges színezék 2017.12.12. 10:11:34
Ahogy az sqlite, úgy a kódolatlanság is csak részben igaz: a logins.json pl. értelemszerűen nem sqlite, és abban az encryptedUsername és encryptedPassword nem kódolatlan.
Amúgy igen, pl. history se tartozna illetéktelen betolakodóra.
Az, hogy a böngészőknél nem követelmény, hanem csak lehetőség a master jelszó használata, nem szabad, hogy hivatkozási alap legyen, hogyaszongyuk "mert például ott se": ezek elrettentő példák.
dr. mesterséges színezék 2017.12.12. 10:18:11
Szerintem az igazán kényszerítő erő nem a büntetés volna, hanem olyan kötelesség, hogy az érintett felhasználónak nem himihumi levelet küldünk arról, hogy minden fasza, de változtasd meg a jelszavadat, mert amúgy jó az, ha meg van változtatva, hanem konkrétan azzal, hogy "a hibánkból kiszivárogtak a nálunk tárolt adataid, kedves felhasználónk, ezért azt javasoljuk, hogy..."
2017.12.12. 10:31:31
CoolKoon 2017.12.12. 10:46:34
2017.12.12. 11:00:59
CoolKoon 2017.12.12. 11:09:01
"abban az encryptedUsername és encryptedPassword nem kódolatlan." - Ahogy a key3.db-ben se (meg gondolom, a key4.db-ben se), igaz. De ezek közül egyik se az adatbázis biztonsági rendszerének "érdeme", hanem direkt, épp az adatbázis "hiányosságának" megkerülésére irányuló óvintézkedés.
"Az, hogy a böngészőknél nem követelmény, hanem csak lehetőség a master jelszó használata, nem szabad, hogy hivatkozási alap legyen" - Jó, de talán pont ezért ritka dolog, hogy fontos, körültekintő biztonsági intézkedéseket igénylő adatokat (pl. személyes adatokat) SQLite-ra, vagy valamilyen hasonló technológiára építenek.
CoolKoon 2017.12.12. 11:14:04
"amit olvastam, egyszerűen rákapcsolódtak user/jelszó nélkül az adatbázisra és így vitték el az adatokat" - Akkor még egyszer: mi van, ha az adatbázis alapból NEM szerveoldali használatra lett tervezve? Vagy te akkor is nyafogni fogsz, ha a kispolszki tengelye eltörik a rápakolt tehet miatt, mondván, hogy "há autó, bírja már az ólomnehezékeim súlyát bazmeg!"?
"A sqlite elsődlegesen lokális kapcsolaton dolgozik, nem is tudom, hálózatról elérhető-e egyáltalán." - Igen, mert NEM arra tervezték, hogy szerveroldali alkalmazásokat szolgáljon ki.
2017.12.12. 11:38:03
Muad\\\'Dib 2017.12.12. 11:46:55
Nem, nem beszél hülyeséget. Ha egy fejlesztő KÉPTELEN elolvasni egy termék dokumentációját, sőt még arra is képtelen, hogy megállapítsa mire használható meg mire nem, akkor az nem a termék sara (még akkor sem, ha amúgy az is egy rakás fo*). Ember itt nem egy kibas*ott windows 10-ről beszélünk, ahol nem elvárás, hogy a felhasználó értsen hozzá. Ha egy fejlesztő, devop, vagy akárki nem jut el odáig, hogy mit kell a default beállításról átállítani, hogy az neki megfeleljen akkor ott nagyon mély gond van. Meg a fejekben is, ahol az a nézet, hogy a default beállítás olyan kéne legyen, amin joskapista bt hobbiprogramozója mindenféle hozzáértés nélkül rögtön high tech secure infrastruktúrát épít ki.
CoolKoon 2017.12.12. 12:14:44
2017.12.12. 13:10:58
különvélemény 2017.12.13. 06:00:39
Nem ő dönti el, hogy milyen adatokat tárolhat, hanem a törvények.
Mint írtam, ha a te telefonkönyvedben benne van az én nevem, címem, telefonszámom, emailcímem, stb. mert mostanában bármit bele lehet írni, arra te nem adhatsz felhatalmazást, mert nem a te adatod.
2017.12.13. 07:27:08