Wykop.pl

Wykopalisko (255) Hity Mikroblog

Kłamstwo często powtarzane staje się prawdą... A wszystko zaczęło się od artykułu w alert24.pl, a skończyło na wykopie :)

Dodany z nomadowyblog.blogspot.com do Aktualności » Polska z tagami pekao wyciek kłamstwo media powtarzać giodo

Wykopali 177, zakopali 2

Tablica

Wymagana obsługa JavaScript

Żeby w pełni skorzystać z nowych funkcji włącz obsługę JavaScript lub zmień przeglądarkę na taką, która go wspiera.

niezaminusowane

Pokaż: ustaw jako domyślne

pokaż obrazki

Komentarze (20)

Reklamy Google
kurako 3 lata 6 mies. temu +5

Hakerzy wykradli dane ....... Jacy hakerzy ????

Czy jakby te same cv tylko wydrukowane wyrzucili na ulicy to osoba która by je znalazła nazwana zostałaby złodziejem ?

Nikt żeby je obejrzeć nie łamał żadnych zabezpieczeń. Były dostępne tak po prostu dla wszystkich i to jest poważne zaniedbanie. Jako administratr danych za sprawę powinien odpowiedzieć i odpowie bank niemniej jednak to on powinien później wyciągnąć konsekwencje od usługodawcy IT. Zostawienie niezabezpieczonych danych na serwerach o popularnych (wg wyszukiwarki) ip w sieci owocuje tym że są one zaindeksowane czasem nawet po kilkunastu minutach.
- #
pokaż komentarz
Nomadowy 3 lata 6 mies. temu -2

Wedlug rzecznika prasowego banku p. Mierzwy dane staly sie dostepne i zostaly zindeksowane przez Google poniewaz na serwer wlamal sie hakier. Do konca nie wiadomo jak to bylo. To powinno wykazac postepowanie prokuratorskie.
A potem poszlo lawina - Gluth powiedzial, a reszta popatrzyla.
W zaden sposob nie mozna obciazac uzytkownikow internetu odpowiedzilanoscia za sciagniecie tych danych. Mozna natomiast ew. scigac za udostepnienie do dalszego kopiowania (rapid, pirate....).
A co bedize robil bank wobec podwykonawcow - to ich prywatna sprawa - maja kase i niech sie martwia.
- #
pokaż komentarz
kurako 3 lata 6 mies. temu 0

Błąd jest kardynalny, ale tego typu błędy spowodowane są najczęściej "czynnikiem ludzkim" tzn ktoś zapomniał/niewiedział że wystawił dane wprost pod indeksacje robotów przeglądarek. Klienci banku muszą czuć się bezpieczni więc bez względu na to co jest faktyczną przyczyną zawsze oficjalnie winni będą hakerzy. Jak to nie wypali to powiedzą że cyberteroryści itd.
- #
pokaż komentarz
Nomadowy 3 lata 6 mies. temu +1

@Cubes
Nie tak do konca - zabezpieczyloby to przed zindeksowaniem, ale nie zabezpieczyloby przed wykradzeniem danych podczas wlamania. Od banku, ktory jest najwiekszy w regionie i ma potezne przychody mozna wymagac lepszego zabezpieczenia danych. Kto trzyma dane na serwerze na ktorym postawiona jest aplikacja webowa? Tak samo projektuje sie systemy BIP (biuletyn informacji publicznej).
Kurde - jak tu wstawic odpowiedz pod postem? :)
- #
pokaż komentarz
knigi 3 lata 6 mies. temu 0

Musisz kliknac na "# odpowiedz" bo jak klikniesz na p%!$#%%ec "#" to jak zwykle dupa blada...

I tak swoja droga po co jest "#" skoro nie dziala???
- #
pokaż komentarz
Nexiu 3 lata 6 mies. temu +2

knigi:
"#" to link do danego komentarza ktory mozesz uzyc jesli chcesz sie odniesć do danej wypowiedzi
- #
pokaż komentarz
koniczynek 3 lata 6 mies. temu -1

Pytanie: dlaczego za wyciek danych ze strony zrobionej przez firmę zewnętrzną i hostowanej na serwerze firmy zewnętrznej ma być odpowiedzialny klient (tutaj bank)?
- #
pokaż komentarz
Nomadowy 3 lata 6 mies. temu +30

Poniewaz zgodnie z ustawa o ochronie danych osobowych, za zabezpieczenie danych odpowiada Administrator Danych Osobowowych, czyli podmiot przetwarzajacy dane osobowe. W tym wypadku jest to bank, poniewaz na jego potrzeby przetwarzane byly dane osob starajacych sie o prace.
W momencie przekazania przetwarzania danych innemu podmiotowi nie znika obowiazek ze strony ADO, zabezpieczenia tych danych. W jaki sposob? W skrocie i te najwazniejsze:
1. W czasie projektowania i po zaprojektowaniu systemu przetwarzajacego dane. W tym wypadku popelniono kardynalny blad i cv lezaly na tym samym serwerze. A wystarczylo postawic web serwer na DMZ a cv przechowywac na innym serwerze.
2. W czasie wdrozenia i po jego zakonczeniu bank powinien kontrolowac przebieg. Audyt?
3. Nadzor na dzialajacym systemem. Przeciez podobno informacja o wlamaniu byla widoczna przez kilka dni na stronie. Zaden pracownik banku nie zainteresowal sie i nie zajrzal?
4. Procedury. Z tego co mowil GIODO, to zachodzilo podejrzenie, ze nie bylo procedur wymaganych przez ustawe i rozporzadzenie. A procedury i trzymanie sie ich - to minimum zabezpieczenia danych osobowych.
5. Umowa powierzenia. Jezeli inny podmiot przetwarza dane osobowe na zlecenie wlasciciela powinna byc spisana umowa powierzenia przetwarzania danych osobowych. Podobno (tu zastrzegam) nie bylo takiej umowy.
W komunikacie GIODO jest wyraznie napisane:
Wobec powyższego GIODO, realizując obowiązki nałożone ustawą o ochronie danych osobowych, skierował wniosek o wszczęcie postępowania dyscyplinarnego wobec osób winnych naruszenia wewnętrznych procedur obowiązujących w Banku, gwarantujących poszanowanie zasad ochrony danych osobowych, w tym polityki bezpieczeństwa.
Czyli tu widac, ze ktos zlamal procedury wewnetrzne.
To tak najwazniejsze.
Nikt nie czepialby sie banku, zeby zachowane byly wymagania wobec instytucji przetwarzajacej dane osobowe, a wyciek nastapilby mimo tego. Ale tu bylo jawne olanie tematu przez bank PEKAO S.A.
Tu jeszcze taki maly link:
http://nomadowyblog.blogspot.com/2008/07/zabierzcie-temu-panu-mikrofon.html
- #
pokaż komentarz
Cubes 3 lata 6 mies. temu +3

@Nomadowy, punkt 1:
Wystarczyłby .htacces, albo nawet umieścić pusty plik index.html i już dane byłyby dużo bezpieczniejsze (w tym drugim wypadku trzeba by było znać konkretne nazwy plików), nie mówię już o umieszczeniu ich powyżej katalogu html
- #
pokaż komentarz
pogromca-idiotow 3 lata 6 mies. temu +2

Nomadowy: bzdury pleciesz. W przypadku przekazania odpowiedzialności na firmę trzecią - w tym przypadku na firmę produkującą stronę - całą odpowiedzialność za zabezpieczenie tych danych ponosi producent witryny, a nie jego klient.

PS. Wiem, że będzie z 30 minusów, bo przecież jeśli ktoś powie, że gówno śmierdzi to się muchy obrażą.
- #
pokaż komentarz
magorec 3 lata 6 mies. temu 0

pogromco hm... idiotów. A zastanawiałeś się czy faktycznie dokonano przekazania przetwarzania danych? Jeżeli bank w treści CV prosił o zgodę na przetwarzanie danych (a prosił bo jest to wymóg ustawowy) w swoim imieniu to pozostaje on administratorem danych. Przekazanie danych obcym podmiotom polega na przesłaniu bazy danych do obróbki (deduplikacja, matchowanie, weryfikacja itp.) Jeżeli bank dopuścił przetwarzanie danych w systemie umożliwiającym dostęp osób postronnych to złamał ustawę chociażby w cytowanym przez Ciebie art. 36. Sytuację można porównać do tego jakoby winnym kradzieży był stolarz robiący szafę, z której coś ukradziono. Bank może dochodzić od firmy odszkodowania za źle wykonaną pracę ale nadal pozostaje winnym wycieku. Poza tym administrator pozostaje administratorem i - czytaj uważnie - "W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych." Znaczy to, że odpowiada administrator (do którego adresowana jest formułka na każdym CV) oraz, a nie tylko, podmiot przetwarzający dane. A ogółem to w bankach pracują same łosie i lenie. Większych nierobów od bankowców (i marketingowców) nie spotkałem!
- #
pokaż komentarz
anian 3 lata 6 mies. temu -16

W takim razie, uważam że całą winę ponosi HOME.PL ponieważ ma niezabezpieczone serwery. Hakerzy się do nich włamują i wykradają dane kandydatów do pracy w banku.

Niech się teraz HOME.PL tłumaczy.
A może tą samą metodą można włamać się na inne serwery w HOME>?
- #
pokaż komentarz
alibi_m 3 lata 6 mies. temu -1

Tą metodą można wejść w każde niezabezpieczone miejsce, to że było to postawione na serwerze home.pl, nie ma tu nic do rzeczy. Winę ponosi webmaster, który nie wie co to plik np. robots.txt
- #
pokaż komentarz
Cubes 3 lata 6 mies. temu +1

@anian
Jak ktoś wyrzuci śmieci na ulicę jadąc Twoim samochodem, to weźmiesz to na siebie?
- #
pokaż komentarz
Nomadowy 3 lata 6 mies. temu +1

@anian
Takie rozumowanie nie jest logiczne. Jezeli stawiam np. Joomle i na ta joonle wlamuje sie hakier, to nie jest wina home.pl, tylko moja :)
Powtarzam - powierenie przetwarzania danych nie zwalnia administratora od troski o te dane. Tu nastapila olewka ze stron banku.
- #
pokaż komentarz
Nomadowy 3 lata 6 mies. temu -2

@pogromca-idiotow
Zam,iast mowic komus, ze plecie bzdury, proponuje zeby zapoznal sie z ustawa o ochronie danych osobowych:
http://isip.sejm.gov.pl/servlet/Search?todo=file&id=WDU19971330883&type=3&name=D19970883Lj.pdf
Jezeli masz jakies watpliwosci co do mojej interpretacji, to zadaj to pytanie jakiemukolwiek czlowiekowi, ktory pelni finkcje ABIego a jakiejkolwiek instytucji. lub zajmuje sie UODO.
Powodzenia
- #
pokaż komentarz
pogromca-idiotow 3 lata 6 mies. temu 0

No i czytam:
_Art. 31.
1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa
w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

Art. 36.
1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem._

Z czego zgodnie z ustawą obowiązek ten spływa na podmiot wykonawczy. Nie rozumiem więc oburzenia... Można podjąć dwa toki myślenia:
- pokazać jedynie art. 36. i wmówić ludziom, że bank jest tym administratorem (co teoretycznie jest prawdą)
- pokazać art. 31. i pokazać, że w opisywanym przypadku za to co w art. 36. opisane jest, odpowiedzialność bierze podmiot trzeci, a nie bank (na podstawie art. 31. pkt 1.).
Którą opcję wybierze osoba inteligentna?
- #
pokaż komentarz
anian 3 lata 6 mies. temu 0

Jeżeli na serwer w HOME włamał się haker, to ja oczekuje od HOME że zapewni że ten sam haker się nie włamie na mój serwer - bo też mam serwer w HOME.pl .Jaka była metoda włamania??
A może nie było włamania?
Bardzo proszę aby ktoś z home napisał - to wiele wyjaśni - tylko home tak naprawdę wie, czy włamania dokonał haker, czy może nieodpowiedzialność firmy tworzącej aplikacje dla banku pko do tego doprowadziła.
- #
pokaż komentarz
pogromca-idiotow 3 lata 6 mies. temu 0

Jasne, że włamania nie było. Jakiś dzieciak sobie "włamał się" wykorzystując luki w skrypcie, a producent witryny zwalił na home.pl
- #
pokaż komentarz
rebel 3 lata 6 mies. temu 0

no i własne śledztwo jest najlepszą metoda na otwarcie oczu i zrzucenie klapek z nich, pzdr! ;-)
- #
pokaż komentarz