Sprawdziłem i nawet zastrzegłem PESEL, skoro jest taka możliwość. Chociaż w tej chwili to i tak nic nie da, bo pełniejsza ochrona wchodzi dopiero od 1 czerwca 2024.
Korzystacie z podpisów certyfikowanych? Firmy, które wydają takie certyfikaty, które traktowane są na równi z podpisem fizycznym, zbierają i przechowują przeróżne dane osobowe: nazwiska, numery PESEL, zdjęcia, skany dokumentów, a ostatnio nawet... próbki głosu. No i w zeszłym tygodniu nastąpił włam do jednej z takich firm EuroCert. Od tygodnia nawet nie wiadomo co dokładnie zostało wykradzione, lecz trzeba się liczyć, że wszystko. Niezły smród. Podobno klucz kryptograficzny do podpisu elektronicznego jest bezpieczny i niepodrabialny, ale... Nikt nie jest w stanie oszacować możliwych następstw, a minęło już kilka dni.
Korzystacie z podpisów certyfikowanych? Firmy, które wydają takie certyfikaty, które traktowane są na równi z podpisem fizycznym, zbierają i przechowują przeróżne dane osobowe: nazwiska, numery PESEL, zdjęcia, skany dokumentów, a ostatnio nawet... próbki głosu. No i w zeszłym tygodniu nastąpił włam do jednej z takich firm EuroCert. Od tygodnia nawet nie wiadomo co dokładnie zostało wykradzione, lecz trzeba się liczyć, że wszystko. Niezły smród. Podobno klucz kryptograficzny do podpisu elektronicznego jest bezpieczny i niepodrabialny, ale... Nikt nie jest w stanie oszacować możliwych następstw, a minęło już kilka dni.
Taaak i nadal bedą takie zagrożenia i nadal różne firmy nie będą inwestowały w bezpieczeństwo. A wiecie dlaczego? Wymieńcie firmy, z których wyciekły ostatnio dane. I podajcie te, które przynajmniej zaoferowały klientom jakąkolwiek formę rekompensaty, nie mówiąc o realnych stratach finansowych i ich naprawieniu.
Firmy radzą, żeby poszkodowani założyli sobie monitoring w BIKu, tylko zapominają, że to kosztuje. Przy normalnych zasadach to one powinny, bez proszenia, zakładać na rzecz klientów taką usługę. Ale po co? Lepiej napisać, tak jak minister cyfryzacji, który z wykształcenia jest humanistą i obawiam się, że ma mierne pojęcie o cyber, żeby założyć sobie 2fa.
Twtter is a day by day war
Niedawno, Gmina Piaseczno, przy okazji inwestycji, która ingerowała w nieruchomości mieszkańców, opublikowała na swojej stronie listę kilkudziesięciu osób, nazwiska, adresy, PESELE, numery ksiąg wieczystych. I co? I... jajeczko. Jak ktoś chce może sobie pisać do GIODO, ale nie można składać skarg lub pozwów zbiorowo, przeciętny obywatel machnie ręką. A potem zdziwko, skąd dostaje różne oferty? Oczywiście władze gminy najpierw się wszystkiego wyparły, a potem zbagatelizowały sprawę "przeprowadzimy wewnętrzne postępowanie". Bla bla bla.
Korzystacie z podpisów certyfikowanych? Firmy, które wydają takie certyfikaty, które traktowane są na równi z podpisem fizycznym, zbierają i przechowują przeróżne dane osobowe: nazwiska, numery PESEL, zdjęcia, skany dokumentów, a ostatnio nawet... próbki głosu. No i w zeszłym tygodniu nastąpił włam do jednej z takich firm EuroCert. Od tygodnia nawet nie wiadomo co dokładnie zostało wykradzione, lecz trzeba się liczyć, że wszystko. Niezły smród. Podobno klucz kryptograficzny do podpisu elektronicznego jest bezpieczny i niepodrabialny, ale... Nikt nie jest w stanie oszacować możliwych następstw, a minęło już kilka dni.
Korzystam z podpisu cyfrowego. Raczej firma przechowywała tylko pesel, numer dowodu i dane adresowe, reszty nie wiem po co by im była. Nie wiem czy wyciekły klucze prywatne, czy tylko dane teleadresowe. Podpis cyfrowy to dzisiaj standard. Jedyną rzeczą która nie zostanie skradziona z sieci, to ta której w niej nie ma.
Nie wiem czy wyciekły klucze prywatne, czy tylko dane teleadresowe.
Nie wyciekły klucze prywatne bo... nie mogły. Klucze prywatne są na urządzeniu, które ma podpisujący. Gdyby firma przechowywała klucze prywatne, to cała idea podpisów cyfrowych wzięła w łeb.
Twtter is a day by day war
Klucze prywatne są na urządzeniu, które ma podpisujący. Gdyby firma przechowywała klucze prywatne, to cała idea podpisów cyfrowych wzięła w łeb.
Teoretycznie masz oczywiście rację, w praktyce podobnej klasy wtopy w ogólnie pojętym cybrsec się zdarzały. Nie twierdzę oczywiście, że tutaj się zdarzyły.
„Nie chcę pani schlebiać, ale jest pani uosobieniem przygody. Gdy patrzę na panią łowiącą ryby, pływającą po jeziorze, nie wyobrażam sobie, aby istniała bardziej romantyczna dziewczyna”
@pawelk Miałem na myśli prywatny klucz samego Eurocerta.
A co rozumiesz przez klucz prywatny firmy? Do czego jest wykorzystywany? Kto z niego może korzystać?
Twtter is a day by day war
Teoretycznie masz oczywiście rację, w praktyce podobnej klasy wtopy w ogólnie pojętym cybrsec się zdarzały. Nie twierdzę oczywiście, że tutaj się zdarzyły.
To znaczy, który wydawca podpisów cyfrowych przechowywał klucze prywatne klientów i mu wyciekły?
BTW, w oświadczeniu napisali, że nie wyciekły, bo ich nie przechowują.
Twtter is a day by day war
@pawelk Miałem na myśli prywatny klucz samego Eurocerta.
A co rozumiesz przez klucz prywatny firmy? Do czego jest wykorzystywany? Kto z niego może korzystać?
Dzięki kluczowi prywatnemu CA (Urzędu Certyfikacji) można tworzyć certyfikaty, jakby były wydane przez urząd.
@pawelk Miałem na myśli prywatny klucz samego Eurocerta.
A co rozumiesz przez klucz prywatny firmy? Do czego jest wykorzystywany? Kto z niego może korzystać?
Dzięki kluczowi prywatnemu CA (Urzędu Certyfikacji) można tworzyć certyfikaty, jakby były wydane przez urząd.
To akurat jest prosto mitygowalne. Certyfikat utworzony po XX z nieważnym certyfikatem CA jest nieważny.
Twtter is a day by day war
Teoretycznie masz oczywiście rację, w praktyce podobnej klasy wtopy w ogólnie pojętym cybrsec się zdarzały. Nie twierdzę oczywiście, że tutaj się zdarzyły.
To znaczy, który wydawca podpisów cyfrowych przechowywał klucze prywatne klientów i mu wyciekły?
BTW, w oświadczeniu napisali, że nie wyciekły, bo ich nie przechowują.
Nie wyciekły, ale przechowywał. Fakt, że naście lat temu to było, ale... jak firma oferuje „odzyskanie” klucza to musi go gdzieś przechowywać, cudów nie ma.
Nazwy firmy nie pomnę.
„Nie chcę pani schlebiać, ale jest pani uosobieniem przygody. Gdy patrzę na panią łowiącą ryby, pływającą po jeziorze, nie wyobrażam sobie, aby istniała bardziej romantyczna dziewczyna”
Być może to już pokłosie tego gigantycznego wycieku danych z Eurocertu: moja księgowość dostała mailem polecenie wypłaty sporej kwoty, podpisane przeze "mnie", czyli imię, nazwisko itd. Mail ewidentnie zaprasza do dalszej rozmowy (pytanie o saldo itp.), więc na drugim końcu siedzi człowiek i czeka na jelenia.
Taki cytat mi przychodzi do głowy, z lat 70, z jednego policyjnego serialu z USA, zawsze na porannej odprawie mówił jeden sierżant: "i pamiętajcie, bądźcie ostrożni"
Być może to już pokłosie tego gigantycznego wycieku danych z Eurocertu: moja księgowość dostała mailem polecenie wypłaty sporej kwoty, podpisane przeze "mnie", czyli imię, nazwisko itd. Mail ewidentnie zaprasza do dalszej rozmowy (pytanie o saldo itp.), więc na drugim końcu siedzi człowiek i czeka na jelenia.
Podpisany cyfrowo? Bo jeśli nie to, to jaka konsekwencja? Standardowy atak na CFO. Aby wysłać do Twojej księgowości maila, trzeba mieć adres księgowości, nie Twój. Dane CFO i innych ważnych osób są udostępnione w publicznych rejestrach. No chyba, że Ciebie tam nie ma, ale w podpisie jest adres służbowy, to wtedy rzeczywiście tak, może to być pokłosie wycieku.
Twtter is a day by day war
A ja trafiłam na próbę oszustwa na booking.com. Mam tam rezerwację na wiosenny wyjazd i ni z tego, ni z owego dostałam wiadomości, zarówno na stronie/ aplikacji, jak i w mailu wysłanym przez booking (tłumaczenie automatyczne)
Co ciekawe, zarówno fałszywe, jak i prawdziwe wiadomości są w jednym wątku, naprzemiennie i nie potrafili zablokować oszustom dostępu.
Pytanie czy to problem Booking czy hotel ma syf u siebie i ktoś przejął ich konto. Ale nawet jeśli to drugie, to jest również problem Bookingu, bo rozwiązanie słabe.
Twtter is a day by day war
Właśnie sytuacja jest o tyle nietypowa, że jedno konto hotelu jednocześnie wysyłało prawdziwe i fałszywe wiadomości za pośrednictwem bookingu, co nadawało im pozory wiarygodności. Nic nie przychodziło bezpośrednio od oszustów. Co gorsza booking zawalił też w inny sposób - kiedy 20 stycznia było już wiadomo, że to włamanie, to powinni do czasu wyjaśnienia sprawy albo zablokować wysyłanie wiadomości przez to konto, albo poddawać te wiadomości dodatkowej weryfikacji. Tymczasem przez ponad dobę podobno szukali rozwiązania, ale nie próbowali przeciwdziałać na bieżąco.
Największą luką związaną z podpisami elektronicznymi jest to, że zawiera on oprócz imienia i nazwiska podpisującego także jego pesel. I każdy kto otrzyma dokument podpisany elektronicznie może sobie go podejrzeć. Wystarczy takiemu złoczyńcy wyrobić lewy dowód ze swoim zdjęciem i danymi podpisującego i kupić na jego konto telewizor na raty o ile nie zastrzegł peselu. Nie wiem dlaczego rodo, giodo itd. pozwalają na takie coś.
Rzeczy, które posiadasz w końcu zaczynają posiadać ciebie
Chuck Palahniuk - Fight Club
Największą luką związaną z podpisami elektronicznymi jest to, że zawiera on oprócz imienia i nazwiska podpisującego także jego pesel. I każdy kto otrzyma dokument podpisany elektronicznie może sobie go podejrzeć. Wystarczy takiemu złoczyńcy wyrobić lewy dowód ze swoim zdjęciem i danymi podpisującego i kupić na jego konto telewizor na raty o ile nie zastrzegł peselu. Nie wiem dlaczego rodo, giodo itd. pozwalają na takie coś.
Biorąc pod uwagę, że i w KRS i KW są te same dane (tj. imię, nazwisko i PESEL) to jakie to ma znaczenie?
A co do telewizora na raty, to "lewy dowód", nawet jeśli sprzedawca nie zweryfikuje bo będzie idealnie podrobiony, nie będzie się zgadzał z rejestrem, który banki odpytują w locie. Chyba, że jeszcze gdzieś przestępca pozyska numer dowodu osobistego, datę i miejsce wydania.
Twtter is a day by day war
Ostatni Post: Hiszpania Najnowszy użytkownik:: Lumi Ostatnie posty Posty nieprzeczytane
