Sep 22, 2009
ATJAUNOTS 2: CanCan (Delano) picērija ņirgājas par klientiem, publiski glabājot viņu datus
5 gadus ilgs pasūtījumu arhīvs, iekļaujot klientu vārdus, uzvārdus, telefona numurus, adreses, durvju kodus un pat pasūtītās preces- viss šis ir brīvi pieejams iekš viņu mājaslapas.
Cik izskatās, nekas pat nav lauzts vaļā- dati tur tā vienkārši stāv. Esot arī iespējams atcelt esošos pasūtījumus.
Tas izskatās pēc ļoti smagas ņirgāšanās par klientiem, es šobrīd jūtos priecīgs, ka nekad neko neesmu pie viņiem pasūtījis.
Linku nedošu, bet grūti sameklēt nebūs.
VIA @kanampo.
Bildē aizkrāsoju personu datus, pietiek jau, ka viņiem nepietiek prāta to nepublicēt.
UPDATE: beidzot lapa vairs nav publiski pieejama, bet- es esmu pārliecināts, ka desmitiem cilvēku ir saglabājuši lapas kopijas.
UPDATE 2: iekš Kas Jauns publicēts raksts, kurā ir vairāk informācijas.
UPDATE 3: manas darbības rezultātā vakar bija sižets arī Panorāmā.
UPDATE 4: Panorāmas blogā ir vēl detalizētāka un smukāka informāciju. Arī atsauci ielikuši.
Btw- no Panorāmas tēmu tālāk paķēra arī BNS un, piemēram, Apollo.
UPDATE 5: Šīsdienas NRA tēma ir uz vāka kā galvenā. Visai uzjautrinošs likās citāts: ”SIA Eiropica uzskata, ka šos datus internetā ievietojuši nedraugi, lai grautu pārtikas uzņēmuma reputāciju”.
Links parādījās Twitterī un to bija noindeksējusi Google. Tobrīd, meklējot kaut vai to pašu ”delano orders”, lapa parādījās pirmajā vietā meklēšanas rezultātos.
..un ja nu CanCan picai nav ne jausmas, ka šie dati ir pieejami publiski, jo lapas izstrādātāji ir iestāstījuši, ka tā nav?
Tad sanāk, ka Tu apsaukā pašu CanCan picu nevietā. Mācāmies uz lietām skatīties no dažādiem skatu punktiem.
komoon, meklējot Goggle ”delano orders” tā lapa ir pirmais rezultāts. atbildība protams negulstās tikai uz pašu picēriju, bet šī nu ir nolaidība visaugstākajā pakāpē.
aizverusi lapu ciet :D, un tagad paprasam gugles tantai site:delano.lv/orders/ martins, lai delano zvana uz gugli un izvac keshu ara :D
site:delano.lv/orders/ durvīm kods
Muļķi. Tos datus var dabūt laukā no Googles. Lūk, instrukcija: http://www.ehow.com/how_5112895_remove-things-google-cache.html
Taai- man izskatās, ka viņi to arī veiksmīgi ir izdarījuši, jo Googlē vairs datus atrast nevar.
paliek vienīgi tas, ka datubāze daudziem ir saglabāta un kāds var sadomāt to publicēt.
fak. nokavēju savākt.
Jā, vakar no rīta ieraudzīju šo ziņu un uzreiz sazinājos ar CanCan (aka Delano) vadību, lai informētu par šo problēmu.
Viņi pateicās, ka esmu viņus informējis un pierakstīja manu kontakttālruni.
Pēc ~5 minūtēm mani sazvanīja kāds tehniskais darbonis un precizēja informāciju par atklāto piekļuvi.
Līdz ar to piekļuve šiem datiem tika liegta.
Tā ka varu teikt ka pēc mana zvana piekļuve šiem datiem ātri tika liegta.
P.S.
Kāpēc neviens pirms manis nebija informējis CanCan par šo problēmu?
Bytec- nav ne jausmas. Twitterī links parādījās padsmit stundas pirms šī raksta publikācijas, biju domājis, ka pa to laiku informācijai līdz viņiem vajadzēja aizkļūt. Kaut pie ienākošajiem linkiem statistikā.
Precīzāk- 21. datumā 6os vakarā Twitterī bija links publicēts. Pieeja tika slēgta ap vieniem dienā, nākamajā dienā.
Pēc maniem datiem piekļuve tika liegta ~11:00.
2009.09.22 10:53 mani sazvanīja tas tehniskais darbinieks un īsi pēc tam konkrētajā adresē jau prasīja HTTP Authorization paroli.
pēc maniem Twitter DM laikiem sanāk savādāk, bet tie laiki var būt neprecīzi. tas jau nebūtu tik svarīgi.
CanCan par to bija informēti apm. stundu pirms informācija nokļuva internetā un neko netaisijās darīt.
Cilvēkam, kas viņiem zvanija, teica, ka “ja kas notiks, zināsim, kas bija vainīgs”.
BTW links paņemts no izdrukas, ko atved ar picu. Esmu pārliecināts, ka citi šo 4 gadu laikā arī ir to skatijušies, bet nav nevienam pastāstijuši. Iespējams pat arī ir stāstijuši pašiem kankaniem.
Anyway, tā jau mūsu valstī sanāk, ka kaut kas tiek darīts tikai kad visi uzzina par problēmu. Vēl viens pierādijums. .htaccess redīģešana aizņem ~2 minūtes, šiem tas aizņēma pusi diennakts.
Un no tā, kā viņi tagad stāsta, ka kāds viņus ir uzlauzis, vemt gribās. Būtu bijis ko lauzt.
Виртулис, par to ”links paņemts no izdrukas, ko atved ar picu”- NOPIETNI? Tad tā tiešām ir ņirgāšanās un nolaidība augstākajā pakāpē.
Ja viss ir tā kā stāsti- tas tiešām ir vājprāts. Bez mediju intereses, iespējams, nekas nebūtu mainīts.
Vilhelm, Tu pats sazinājies ar picēriju un norādīji uz problēmu?
> Виртулис, par to ”links paņemts no izdrukas, ko atved ar picu”- NOPIETNI?
Nu jā. Ta jau tas darās – atveram pasūtijumu, File, Print. Lapas apakšā ir links ar pasūtijuma numuru. Jau no tā linka var, vienkārši mainot numuru, visus pasūtījumus nokačāt. Bet ja nodzēs faila nosaukumu, tad nu lūk ari sanāk tas, kas no sākuma parādījās man LJ (tagad izdzēsts), pēc tam arī twitterī. Tā arī bija visa “uzlaušana”.
Kristap- nē, kā jau norādīju. Bet iekš Twitter tas bija izplatījies pusdiennakti ātrāk kā es publicēju šo rakstu, laika sazināties bija atlikulikām arī citiem.
Plus, ja ticam Виртулис komentāram- tas neko nebūtu mainījis un viņi nav bijuši necik ieinteresēti.
Виртулис- nu jā. Medijiem vieglāk iestāstīt par hakeru un nelabvēļu uzbrukumiem, nekā klāstīt patiesību.
Man liekas, ka Tu pavisam neizproti kā sistēma darbojas un, ka picērijas darbinieki nenodarbojas ar IT sistēmu administrēšanu. Ja Tu atradi vainu un par to nenorādīji uzņēmumam (bet gan skrēji bļaustīties Internetos), tad tas neko labu neliecina par Tevi kā cilvēku. Ja ir smagi nolažojusi firma, kas IT jomā apkalpo picēriju, tad picērijai no tā nav jācieš. Ļoti iespējams, ka picērijas vadība par šo problēmu nemaz nebija informēta. Tāpēc ļoti iespējams, Tu esi līdzvainīgs pie tām problēmām, kas tagad draud vai ir sākušās picērijai. Malacis un tā turpināt!
Sliktakais visā šajā stāstā ir tas, ka pica viņiem tiešām ir laba. :(
> Man liekas, ka Tu pavisam neizproti kā sistēma darbojas un, ka picērijas darbinieki nenodarbojas ar IT sistēmu administrēšanu. Ja Tu atradi vainu un par to nenorādīji uzņēmumam (bet gan skrēji bļaustīties Internetos), tad tas neko labu neliecina par Tevi kā cilvēku.
Te jau var mūs, ka norādijām par to uzņēmuma operātoriem, nevis tehniskajam dienestam. Varbūt vajadzēja arī atbraukt pie viņiem un parādīt izdruku. Varēja arī naudu vēl piemaksāt, lai salabo.
Varbūt vienkārši šādi stāsti ir vajadzīgi, lai visi beidzot saprot, ka datu aizsārdzība nav tāds nieks un ka ja kas ir publiskots, lai kuru vaina tā nebūtu, ir jārīkojas asap.
krizdabz- ne es atradu vainu. vaina, ja ticam komentāros norādītajam, eksistēja jau ilgi un viņus (pašu picēriju, jā, nevis sisadminus) īpaši nesatrauca.
Atbildību par to, kas īsti nolažojis, viņi paši var arī dalīt. Informācija par problēmu viņiem bija.
”CanCan par to bija informēti apm. stundu pirms informācija nokļuva internetā un neko netaisijās darīt.”
”BTW links paņemts no izdrukas, ko atved ar picu. Esmu pārliecināts, ka citi šo 4 gadu laikā arī ir to skatijušies, bet nav nevienam pastāstijuši. Iespējams pat arī ir stāstijuši pašiem kankaniem.”
Tas, ka viņi šobrīd medijiem stāsta, ka viņus kāds uzlauzis/datus izplatījuši nelabvēļi kaut ko labu liecina par viņiem kā picēriju?
Nu lūk! Виртулис arī atbildēja uz Bytec jautājumu:
“P.S.
Kāpēc neviens pirms manis nebija informējis CanCan par šo problēmu?”
ar
“Cilvēkam, kas viņiem zvanija, teica, ka “ja kas notiks, zināsim, kas bija vainīgs”.”
Agrāk arī mēdzu paziņot par dažādu lapu caurumiem to īpašniekiem, taču lielākajā daļā gadījumu saskāros ar to pašu: “ja kas notiks, zināsim, kas bija vainīgs”.
Ja ir tā, ka adrese tiek izdrukāta, respektīvi rēķinā vai pasūtījuma formā, kas vēlāk tiek iedota arī klientam. Tad atvainojiet, un itsevišķi krizdabz, šoreiz tā tiešām ir nolaidība.
Es neticu, ka neviens nezvanīja un neteica, ka viss ir publiski. Ja tā ir, tad tā ir picērijas darbinieku nolaidība/neizglītotība, ka nespēj informēt vadību, kas attiecīgi var rīkoties (ja nerīkotas, tad atgriežamies pie nolaidības!)
Tā ir nolaidība visos galos, gan it (web izstrādātāju), gan operatoru, gan arī vadības.
Mans viedoklis – vainīga ir picērija jebkurā gadījumā.
Vai nu viņi zināja un neko nedarīja vai arī nezināja, bet tātad bija nolīgti nekompetenti IT darbinieki.
te laikam dazji jauc atbildiibas sveeras- par savu maajas lapu tieshi ir atbildiigi taa iipashnieki, nevis kkaadi lapas fiziskie vai satura admini, vinju atbildiibu var nostiprinaat liigumaa, bet shaa vai taa uz tiesu buus jaaiet weba iipasniekiem nevis meitenei,no cita kantora, kas ir likusi/atjaunojusi datus. Itsevishkji ja lapaa diek glabaati sensitiivi dati, tad firmai(web iipasniekiem) ir iespeeja, veikt dazjaada veida auditus, lai noskaidrotu caurumus un iespeejamaas probleemas, kas buutu jaadod uztureetaajiem aizlaapiit. pagaidaam viss
Virtuli, ai nu atzīsti, ka tev vienkārši sagribējās popularitāti.
Pilnīgs bullshits ir tava rīcība. Ja picērija nebūtu noreaģējusi uz tavu aizrādījumu, tad varētu celt trobeli, bet uzreiz sākt bļaustīties ir amorāli. Nenovēlu tev piedzīvot kaut ko līdzīgu. No kā tu esi absolūti nepasargāts. Padomā par to.
Beton, bet tu vispār varetu iedzert indi un nosprāgt ar savu slimo galvu.
> Virtuli, ai nu atzīsti, ka tev vienkārši sagribējās popularitāti.
Pagaidām šī ir vienīgā vieta, kur es par to uzrakstiju. (Izņemot LJ)
Ja tu nesaprati, tad picerija arī nenoreaģēja. Jo noreaģēja tad, kad kāds jau no rīta sazvanīja vadību.
Un es jau nebiju tas, kas sāka bļaustīties un pastāstija LTV un DVI.
Man vajag datu baazi. Ko juus te njematies. Nopubliceejiet datubaazi!!!
Pie DVI domājams pirmie vērsās Kas Jauns, bet tas jebkurā gadījumā bija laika jautājums.
uzeedam picinju un nomierinamies, zaķēni ;)