Użytkownik Michoo napisał:
>> Podmiana strony głównej to juz jest (karalna) modyfikacja systemu
>> teleinformatycznego.
>
> Tak, ale czy stanowi przestępstwo to jeszcze kilka innych okoliczności
> się liczy.

Oczywiscie. Ale zalozmy, ze nie jest to przestepstwo. A haker z adminem
wspopracowali na jakims etapie. Taka "akcja" hakera nadaje sie wtedy
chocby na pozew cywilny o odszkodowanie. Wygranym jest admin (bo haker
jest pozwany, a w cywilnych nie ma domniemania niewinnosci tylko trzeba
udowodnic, ze sie nie jest osłem).

>> Znalazłęm ciekawy dokument z którego cytuję:
>
> Znam ;) Od czasów nowelizacji to wprowadzającej skończyłem zabawę w
> wyszukiwanie luk i powiadamianie administracji. A mam na koncie m.i. 2
> banki ;) ale teraz to robiąc popełniał bym czyn zabroniony i mimo, że
> chyba bym się gdyby co wybronił (ochrona większej wartości) to i tak bym
> nie zaryzykował zgłoszenia - nawet wygrany proces do przyjemnych by nie
> należał. Czujesz się bezpieczniej dzięki temu?

Nie. :) Bo ty piszesz z sensem w takim sensie, ze raczej nawet jakby
prawo było po staremu, to nie wywalilbys do netu bazy klientow firmy
admina. Niestety wielu hakerow uwaza, ze jest to FUN.

>>> Kiedyś było "w normie" wysłanie zapytania w stylu "hejka, macie lukę.
>>> Może jesteście zainteresowanie pomocą w załataniu?". Nikt nie mówi tu o
>>> szantażu - ja wiem, że masz lukę, zapłacisz to pomogę załatać, nie
>>> zapłacisz to szukaj sobie sam
>> ------------^^^^^^^^^^^^^^^^^^^^
>>
>> a nie "podmienie ci strone, upublicznie baze danych klientów, i
>> zaoferuje przywrocenie backupy strony za drobna oplata"
>
> Zgadza się. Wg mnie to conajmniej szczeniactwo.

Szczeniactwo to jest podlozyc pinezke na stolek. NAzywajmy dzialanie
tego typu zgodnie z przesłankami - świadome łamanie prawa i działanie na
szkodę innego człowieka/firmy.

> Inna sprawa, ze publikacja fragmentu (anonimizowanego) bazy/wysłanie
> masowego mailingu klientom/etc to czasami jedyny sposób na zmuszenie
> leniwego admina do działania i ma na celu _ochronę_ klientów.

A nie wystarczyłoby zgłoszenie do GIODO? Firma taka i taka nie zapewnia
bezpieczenstwa?

Bez robienia wiochy i narazania sie na konsekwencje prawne? Bo nikt cię
nie pozwie za donos do giodo. Za pozyskanie nieautoryzowane danych i ich
wykorzystanie ze szkoda dla firmy - juz mozna zostac pozwanym.

> Nie wiem
> jak ty, ale ja tam wolę, żeby w razie fack-upu mój nr karty kredytowej
> był możliwie krótko dostępny w sieci.

Ja założyłem, że co wprowadzam do netu moze zostac upublicznione. Patrz
co sie wydarzyło Sony i innym gigantom, a ile rzeczy (w bankach) zostało
wyciszone i nikt nie wie.

Lepiej założyć - Twoja karta jest upubliczniona wiec patrz co sie na
niej dzieje i miej mądre limity ;)

Natomiast gdyby mo jakis koles AAAA, ktorego nie znam, napisal, ze moja
karta taka a taka... to mialbym go na celowniku - bo on jej miec nie
powinien. A skoro wie, ze costam gdzies wyciekło, to znaczy ze ma moja
karte.

>> To juz bedzie musial sad rozstrzygmnąć, czy zabezpieczenia byly
>> niewlasciwe.
>
> Tylko do sprawy przeciw adminiowi raczej nie dojdzie - to przecież
> "ofiara włamania".

W zwiazku z włamaniem nie. Ale np. GIODO moze sie przycepic, ze baza nie
zgloszona... ;)

>> Baza nie byla dostepna publicznie a zostala udostępniona po
>> uzyskaniu przez hakera nieautoryzowanego dostępu.
>
> My wcale danych kredytobiorców nie udostępniliśmy, były wprawdzie w
> magazynie pod miastem z napisem DANE KREDYTOWE, ale drzwi były zamknięte
> na SKOBEL. Tylko najwyższej klasy włamywacze mogli sobie z czymś takim
> poradzić.

Były wystarczająco zabezpieczone, aby osoba postronna ich nie mogła
obejrzeć bez podjęcia odpowiednich działań :)

>> Nawet jeśli to haker pozywa admina, za niedotrzymanie warunków umowy
>> (cywilnie). A nie robi co zrobił.
>
> Tak. I ktoś inteligentny by tak zrobił. Tu trafiło na głupka.

Albo dwóch :)


>>> Zachował się jak dzieciak z tą publikacją bazy (no i raczej popełnił
>>> przestępstwo) - ja bym napisał do klientów jaka była sytuacja:
>>
>> uzywajac danych z bazy?
>
> Oczywiście. A jak inaczej to zrobić?

NIE ROBIĆ! :) Nie przetwarzać danych do których nie ma się uprawnien
bo... choćby przykład z GIODO - jako admin zgłaszam, że zbior danych
osobowych przetwarza osoba, która nie zglosila tego. Nic nie wspominam,
ze to moja baza. Dowody na to, ze haker przetwarzał są w mailach 800
klientów. Giodo bierze hakera, i haker placi kare :) W trakcie okazuje
sie, ze to tak na prawde nie jego tylko on ja wzial jakiejs firmie.
GIODO pyta admina, admin potwierdza, tak to nasza baza, ale osoba hakera
nieuprawniona, wiec byl wlam, zgloszenie do prokuratury. :)

> W dniu xxx administrator serwisu XXX został poinformowany o krytycznej
> luce pozywającej na przeglądanie dowolnych danych klientów. Ponieważ do
> dnia yyy nie została ona naprawiona czuję się w obowiązku poinformować,
> że do czasu naprawy państwa dane są dostępne dla wszystkich w sieci.
> Zalecam zmianę wszelkich haseł dostępowych i rozejrzenie się za bardziej
> bezpiecznym hostingiem.
>
> tutaj trochę niekrytycznych danych z bazy weryfikujących
>
>
> Jest też wersja wredniejsza - "administrator XXX zaoferował mi zakup
> państwa danych - gdy zorientowałem się że są one bez państwa zgody
> zrezygnowałem, ale czuję się w obowiązku poinformować o braku
> uczciwości..." )

;)

Ja jestem za tym, zeby tak nie robić. Dla swojego dobra. Jakos swoje
dobro cenie bardziej, niz dobro setki klientów marnego admina.


>> :) Brawo - pierwsze co bym zrobil to zglosil
>> adminowi, ze ma sprawe do prawnikow zglaszac, bo albo ma nieuczciwa
>> konkurencje (karalne ) albo ktos mu sie wlamal (karalne).
>
> I nie miałbyś nic przeciwko temu, że on miał w dupie to, ze twoje dane
> są publicznie dostępne?

Mialbym, to haker je upublicznia :)

> Pamiętaj, ze jakiś "haxior" który się "włamie" i dostanie dane i będzie
> o tym trąbić to mały problem - problem jest jak ktoś te dane uzyska po
> cichu i zrobi z nich użytek - phishing, wyłudzenie, oszustwo, etc.

Kto wie, czy haker nie zaczyl trabic o tym jak juz wykorzystal dane? W
koncu mial do tego dostep jakis czas.

Pomijajac, ze jego historyjka moze byc po prostu zmyslona. W sensie
"jaki od dobry haker, znalazl dziure i chcial pomoc za grosze".

Moze wcale nie chcial pomoc? Moze zostal nakryty i postanowił, poki mogl
odwrocic kota ogonem?

A może został wynajęty by medialnie narobić smrodu? :)

Albo został wylany z firmy ale zdazyl zostawic backdoora i tak sie
odgrywa na pracodawcy.

JEdno dla mnie jest pewne - nie wierze w dobre intencje kogos, kto robi
takie rzeczy w taki sposob.

>> i to jest blad, bo jak pisalem - moze zgodnie z prawem pozwac, a tak -
>> bedzie pozwanym.
>
> Ja to wiem i ty to wiesz. Większość "hackerów" to niestety tylko script
> kiddies bez elementarnych podstaw bezpieczeństwa. Własnego również - co
> dobrze obrazuje sprawa anonymous w stanach.

Znaczy nie wiem co ze sprawa anonymous w stanach, daj linka :)

>> Uwazasz, ze ogień ogniem? :) Oko za oko? :)
>
> Czasami tak - "dla dobra ogółu".
>

Jednak lepije nie robic "dla ogółu". To coś jak "odpowiedzialnosc zbiorowa".

Niedawno pokazywali w TV, ze w 10 mieszkaniowej kamienicy odcieto media
wszystkim, bo 2 najemcow zalegało z oplatami.

Gfybym był na miejscu kogos z tych 8 pozostałych to zebrałbym tych
pozostałych do kupy, do prawnika, i albo "zerwanie umowy najmu" albo
pozew zbiorowy za naruszenie warunków/umowy najmu. Rachunki opłącone - a
mediow brak.