Kolejny wyciek danych użytkowników Wykop.pl
 Oceń wpis
   

Dwa słowa w kontekście kolejnego wycieku haseł danych użytkowników z Wykop.pl -- bo jak nazwać przekazanie danych o użytkownikach serwisowi pt. Nasza-Klasa, aby ten porównał sobie dane otrzymane od Wykopu z własną bazą?! (o sprawie fajnie pisze Piotr Konieczny, od niego też zajumałem obrazek).

Zastanawiam się czy ktoś tam w ogóle panuje nad bezpieczeństwem danych użytkowników i ma bladozielone pojęcie o ich ochronie.
wyciek danych z Wykop do Nasza KlasaNo bo jak: Wykop "dla poprawienia lepszości" przekazuje bazy danych użytkowników Naszej Klasie (a i pewnie Allegro też), NK zapewne "porównuje" dane otrzymane od Wykopu z rekordami (zestawia adresy, może loginy?), w sobie tylko znany sposób typuje 0,1% użytkowników, którym powinno się z urzędu zresetować hasło... po prostu powalające.

Vagla się zastanawia co z tym zrobi GIODO (BTW coś nam Pan GIODO ostatnio ucichł jakby, już nie będzie takich atrakcji? -- por. Złote myśli Pana GIODO i O stanowisku GIODO w sprawie zdjęć w portalu Nasza Klasa, a także podsumowujący to WSA do GIODO: stare zdjęcia to także dane osobowe), ja zaś z ulgą przypominam, że moich danych Nasza Klasa już nie przetwarza (por. Nasza Klasa: dane usunięte, profil dalej przetwarzany i Jak usunąć swoje dane z Naszej Klasy i nie dać się zwariować).

Czego sobie i Państwu życzę.

PS za Brutto -- i "Polityką prywatności" Wykop.pl:

Podczas rejestracji w serwisie wymagamy podania adresu email. Nie udostępniamy danych osobom trzecim, nie rozsyłamy treści reklamowych. Adresów używamy tylko i wyłącznie w celu powiadamiania użytkowników o istotnych zmianach w serwisie lub komunikatach technicznych. Pozostałe dane takie, jak imię, nazwisko, miejsce zamieszkania, czy numer GG nie są obowiązkowe. Tylko od Ciebie zależy, czy udostępnisz je innym użytkownikom.

PS 2: Nie każdy czyta komentarze, a ciekawych rzeczy możemy dowiedzieć się właśnie stamtąd. Otóż okazuje się, że stała Czytelniczka LA (pozdrawiam) otrzymała od NK podobną prośbę (o zmianę hasła), chociaż... nie ma i nigdy nie miała tam konta!
To już jest w ogóle zagadka, chociaż może i dowód na to, że nikt niczego nie porównywał -- tylko po prostu lecieli z automatu do listy adresów otrzymanych od Wykopu...

Komentarze (26)
Telefon z niespodzianką Felieton omawiający sytuację...

Komentarze

2009-09-19 18:49:27 | 82.210.157.* | Pan Zenek
Re: Kolejny wyciek danych użytkowników Wykop.pl [0]
Przy rejestracji najbezpeiczniej chyba podawać fałszywe dane. Oprócz "poważnych"
serwisów, typu allegro, paypal itp skomentuj
2009-09-19 19:29:54 | 78.30.69.* | k g
Re: Kolejny wyciek danych użytkowników Wykop.pl [18]
Wg. administracji wykopu porównywane były hashe adresów, czyli coś w klimacie:
a) wykop zahashował swoje adresy (te obecne w zajumanej bazie)
b) nk zahasowała swoje (~11M, mniam)
c) majstry z NK porównały hashe i załatwiły userów u których pasowało

Teoretycznie danych użytkowników wykopu nie przekazano. NK tym sposobem wie kto z ich
userów miał konto w wykopie.
Co nie zmienia faktu, że akcja jest żenująca. skomentuj
2009-09-19 21:05:22 | *.*.*.* | olgierd
Mało istotne w jaki sposób przekazali te dane. Mogli nawet wsadzić płytę CD do
tytanowej puszki i zabetonować. Skoro sposób "zabezpieczenia" (jakiś haszysz czy coś)
pozwala innej osobie na ich identyfikację, to oznacza, że spełniony jest warunek
umożliwienia identyfikacji z UoODO.

Ciekawe spostrzeżenie ma też Marcin Jagodziński:
http://brutto.tumblr.com/post/191631759/podczas-rejestracji-w-serwisie-wymagamy-podan
ia. W sumie dobre: uzupełnię tekst o tę wzmiankę. skomentuj
2009-09-19 21:13:03 | 78.30.69.* | k g
Właśnie "trochę", z technicznego punktu widzenia, istotne jest. Trochę, bo nawet mimo
tego, że nie przekazali danych w formie surowej (tj. adresy mailowe czystym tekstem)
to i tak NK jest w stanie stwierdzić który z ich użytkowników użył tego samego adresu
w rejestracji u nich i na wykopie (na podstawie wcześniej wspomnianego hasha). Czyli
adresy których NK wcześniej nie znała są "bezpieczne", tj. nadal ich nie zna.
Natomiast te, które znała wcześniej dostały kolejnego "taga" -- mają konto na
Wykopie.
Jak to wygląda z punktu widzenia GIODO -- nie wiem. Ale chętnie się dowiem. Tutaj
panowie z Wykopu twierdzą, że w tej kwestii jest super ;) ->
http://www.wykop.pl/blog/post/57 skomentuj
2009-09-19 21:22:15 | *.*.*.* | olgierd
Informacja, że "gościu, który korzysta z konta ziutek@fiutek.com.pl ma konto na
Wykopie i u nas też" w sumie jest daną osobową. To, że teoretycznie tylko admini W i
NK mają narzędzia do odcyfrowania tych danych nic nie zmienia.
Samo hasło daną nie jest, aczkolwiek dzięki hasłu jakieś dane można poznać.

To nie jest tak, że wyciek jest tylko wówczas, kiedy ktoś znajdzie papiery na
śmietniku albo płytę w toalecie. Wyciek jest także wówczas, kiedy np. bank prześle
bankowi namiary na mnie "zobacz czy macie tego faceta w bazie". Nawet, jeśli zrobi to
w hiperbezpieczny sposób. skomentuj
2009-09-20 00:12:52 | 83.4.78.* | anonimka
Warto zastanowić się jeszcze nad jednym. Każda firma dwa os wój własny interes.
Interesm NK na pewno było ustalenie skompromitowanych profili swoich użytkowników.
lepiej dla NK było porozumieć się z wykopem i zmienic hasła, niż poczekac ze 2
tygodnie i zdobyć krążącą np w sieci bazę wykopu i dokonać tej samej operacji.

Ciekawa też jestem, czy na tej całej operacji klienci NK i wykopu stracili coś czy
raczej zyskali? Czy komuś stało się coś złego? skomentuj
2009-09-20 01:17:07 | 83.18.102.* | buczek2007
A moze ktos wystapi do wykopu z prosba o informacje kto przetwarza dane, w jakim celu
i komu byly udostepniane. Na podstawie UoODO kazdy ma do tego prawo :). Ciekawe czy
odnotuja fakt przekazania danych do NK. skomentuj
2009-09-20 09:23:27 | *.*.*.* | olgierd
Anonimko, zawsze w takich przypadkach można powiedzieć, że nic się nikomu nie stało.
Nawet jeśli bank prześle dane klientów innemu bankowi -- no co się stało?

Jednak prywatność oznacza m.in. właśnie to, że to ja mogę decydować o tym kto wie, że
bawię się w taki Wykop. Jeśli usługodawca umożliwia innemu serwisowi na powiązanie
danych o użytkowniku, to już jest jej naruszenie.
To jak z Fejsbókiem, który jakiś czas temu wrzucił opcję pt. "niech wszyscy wiedzą
gdzie i co kupują nasi użytkownicy". Niby nikomu nic się nie stało.

Np. ja, powiedzmy, że lubię pooglądać strony XXX, ale bardzo się tego wstydzę. I nie
chcę, by ktoś o tym wiedział. Tymczasem admin takiej strony przesyła dane o logowaniu
komuś innemu, de facto umożliwiając identyfikację użytkowników.

Wykop mógł poinformować -- nawet publicznie (ale tego nie zrobił "dla dobra śledztwa"
;-) -- że sposób zabezpieczenia danych był słaby, więc stało się co się stało. A
wówczas NK mogła i pewnie nawet powinna zaostrzyć kryteria bezpieczeństwa haseł. skomentuj
2009-09-20 10:19:50 | *.*.*.* | e_w_a
Nie uległam trendowi i nigdy nie założyłam konta na Naszej-Klasie! Okazało się
jednak, że Nasza-Klasa z niejasnych dla mnie przyczyn napisała do mnie irytującego
maila (z literówką w pierwszym zdaniu: '' udostepionych''). Już teraz wszystko jasne
- ale mnie ten Wykop.pl wkopał! A klasowiacy będą spamować, żebym zmieniała hasło w
profilu, którego nie posiadam i nigdy nie posiadałam!

Mail taki jak wyżej:

Szanowny Użytkowniku,

Z informacji przez nas posiadanych, a udostepionych nam na podstawie
porozumienia przez serwis Wykop.pl wynika, że dane dotyczące korzystania z
Pani/Pana konta w portalu mogły wpaść w niepowołane ręce. Choć nie istnieje
bezpośrednie zagrożenie utraty dostępu do Pani/Pana konta to w trosce o
bezpieczeństwo Pana/Pani danych nasz zespół zmienił hasło dostępu do
Pana/Pani profilu w portalu Nasza-klasa.pl.

W celu odzyskania hasła proszę wejść na stronę główną serwisu
Nasza-klasa.pl i skorzystać z opcji "Nie pamiętasz hasła?".
Następnie prosimy postępować zgodnie z instrukcjami dotyczącymi
odzyskania hasła.

Sugerujemy, aby Pani/Pana nowe hasło było inne niż dotychczasowe, co wpłynie
na zwiększenie bezpieczeństwa Pani/Pana konta.

W przypadku wystąpienia jakichkolwiek trudności prosimy kontaktować się z
Działem Obsługi Użytkownika wyłącznie za pomocą formularza kontaktowego
dostępnego na stronie: http://nasza-klasa.pl/support.

Dziękujemy
Zespół Portalu Nasza-klasa.pl skomentuj
2009-09-20 10:43:14 | 83.4.79.* | anonimka
Olgierd, trudno jest mi się z Tobą zgodzić i zapewne nie znajdziemy wspólnego języka,
bo:

> Jednak prywatność oznacza m.in. właśnie to, że to ja mogę decydować o tym kto wie,
że
> bawię się w taki Wykop. Jeśli usługodawca umożliwia innemu serwisowi na powiązanie
> danych o użytkowniku, to już jest jej naruszenie.
> To jak z Fejsbókiem, który jakiś czas temu wrzucił opcję pt. "niech wszyscy wiedzą
> gdzie i co kupują nasi użytkownicy". Niby nikomu nic się nie stało.


Olgierd, z góry zakłądasz, że NK musi powiązać (systemowo taką informację i ją
przetwarzać). Jeśli jednak umowa o powierzeniu danych nie przwidywała takiej
mozliwości, a cel przekazania danych był jasno i wyraźnie określony, to NK nie ma
prawa wykonać takiej operacji, o której piszesz. Innymi słowy "powiązanie danych" to
Twój domysł niepoparty żadnym dowodem i zakładający z góry złą wolę NK.


> Np. ja, powiedzmy, że lubię pooglądać strony XXX, ale bardzo się tego wstydzę. I
nie
> chcę, by ktoś o tym wiedział. Tymczasem admin takiej strony przesyła dane o
logowaniu
> komuś innemu, de facto umożliwiając identyfikację użytkowników.


Taka sytuacja nie miała miejsca w omawianym przypadku. Znów roztaczasz nad zdarzeniem
czarne scenariusze i teorie spiskowe.


> Wykop mógł poinformować -- nawet publicznie (ale tego nie zrobił "dla dobra
śledztwa"
> ;-) -- że sposób zabezpieczenia danych był słaby, więc stało się co się stało. A
> wówczas NK mogła i pewnie nawet powinna zaostrzyć kryteria bezpieczeństwa haseł.

Olgierd, o czym Ty móiwsz? Z powody wycieku danych na wykopie, których liczba (w
adresach e-mail zidentyfikowanych na NK) stanowiła 0,01% wszystkich Użytkowników NK
co miała zrobić NK, by chronić (tak cenioną przez Ciebie) prywatność swoich
użytkowników? Zmienić hasła dostępu dla 30 milionów profili? Podczas gdy mozna to
było zrobić dla 10 czy 20 tysięcy?

Oczywiscie ani wykop ani NK mogli nic nie robić, by leczyć skutki. Tylko pomyśl o
tych kilkunastu tysiącach użytkowników NK, których prywatnosć została naruszona, bo
ktoś opublikował skopromitowane e-maile i hasła, ktorych spora część jest także w
NK.

Olgierd, odpowiedz sobie na pytanie, czy dokonanie tzw włamań na konta powiedzmy
2.000 użytkownikó to dużo czy mało? Co pwinny zrobić osoby, którym włamano się na
konta? Złożyć zawiadomienia o popełnieniu przestępstwa? Wiadomo, że każda sprawa
toczyłaby sie odrębne - 2.000 postępowań przygotowawczych, ciekawe jakie to koszty i
kto za tpo zapłaci? Bo według mnie Ty, ja pan, pani i państwo takze.

Ja rozumiem, ze wszyscy widzicie terie spiskowe ale czasem wystarczy odrobina
zdrowego rozsądku. Jest GIODO jako organ kontrolny. Podobno sprawa przekazania danych
została im zgłoszona. Niech GIODO dokona kontroli procesu i sposobu realizacji umowy
przekazania danych, tym samym rowieje wszelkie teorie spiskowe. skomentuj
2009-09-20 15:22:12 | *.*.*.* | olgierd
Anonimko, tak naprawdę niczego nie zakładam: mówię tylko o tym, że Wykop nie miał
prawa przekazać NK informacji o swoich użytkownikach, ich adresach, jakichkolwiek
namiarów na hasła.

Przedwczoraj dostał je tak szacowny serwis jak Nasza Klasa, wczoraj może jakiś bank,
dziś wyślą bazę danych policji a jutro sprzedadzą je spamerowi.
W wszystko w świetle owej deklaracji w polityce prywatności wygląda ŚMIESZNIE.

I masz rację, informacja od Ewy dowodzi, że NK niczego z niczym nie wiązała.
Spamowała otrzymane od Wykopu adresy pocztowe jak leci.

I to nie jest teoria spiskowa, to jest teoria o tym jak dwa serwisy internetowe
podsyłają sobie dane o swoich użytkownikach. A jeden z nich na tej podstawie spamuje
jak popadnie -- nawet niekoniecznie użytkowników ;-)

To tak najprościej rzecz ujmując, bez zabawy w dywagacje nt. umowy o powierzeniu
przetwarzania danych osobowych (która nie mogłaby stanowić podstawy do wysyłania
czegokolwiek przez NK). Skądinąd jestem ciekaw jak wygląda dokumentacja dot. tego
przekazania danych.... ;-)))) skomentuj
2009-09-20 16:01:45 | 83.4.79.* | anonimka
> Anonimko, tak naprawdę niczego nie zakładam: mówię tylko o tym, że Wykop nie miał
> prawa przekazać NK informacji o swoich użytkownikach, ich adresach, jakichkolwiek
> namiarów na hasła.

przekazanie hashy nie jest tożsame z przekazaniem adresów e-mail ani haseł


> I masz rację, informacja od Ewy dowodzi, że NK niczego z niczym nie wiązała.
> Spamowała otrzymane od Wykopu adresy pocztowe jak leci.

Informacja od ewy dowodzi tylko tego, że dostała ona maila od NK, a adres e-mail
przypisany do NK musiał być także w wykopie. Informacja od ewy nie rozstrzyga takich
kwestii jak np, słaba pamieć ewy :)


> Skądinąd jestem ciekaw jak wygląda dokumentacja dot. tego przekazania danych....
;-))))

Wykop twierdzi, że o wszystkim powiadomił GIODO. Można zatem załozyć, że kopia tego
dokumentu stanowiła załącznik pisma do GIODO. Olgierd, nic nie stoi na przeszkodzie
abyś wystąpił do GIODO z prośbą o udostępnienie tego dokumentu. Wydaje mi się, że
jest on jawny, a zatem moze zostać udostępniony na żądanie. skomentuj
2009-09-20 16:15:20 | *.*.*.* | olgierd
Jeśli ten haszysz pozwala na zidentyfikowanie (poprzez porównanie danych) osób, to
uważam, że jest.
W dobrą pamięć Ewy -- że się nie rejestrowała w NK -- akurat wierzę. skomentuj
2009-09-20 16:31:45 | 83.4.79.* | anonimka
> W dobrą pamięć Ewy -- że się nie rejestrowała w NK -- akurat wierzę

Może i sie nie rejestrowała ale co robiłby jej e-mail w bazie NK? Osoba trzecia,
mająca dostęp do jej adresu e-mail zarejestrowała tam jakis profil? Ja bym to
sprawdziła..... skomentuj
2009-09-20 16:48:13 | *.*.*.* | olgierd
To wyobraź sobie nieco inny scenariusz:

- Wykop przesyła NK listę użytkowników (adresów), którzy wybrali "kiepskie" hasła
- NK jak leci wysyła do nich wiadomość o konieczności zmiany hasła (nie badając nawet
jak to hasło wygląda)

To już zakrawałoby na kompletną grandę. skomentuj
2009-09-20 17:33:54 | 89.78.210.* | grafff
Jeśli uznać że złamanie polityki prywatności jest umotywowane "dobrem pacjenta", to
pytanie brzmi dlaczego hashe adresów trafiły tylko do naszej-klasy. Dla "dobra
użytkowników" ich adresy powinny zostać rozesłane do wszystkich serwisów w których
logowanie następuje poprzez podanie adresu e-mail. W innym wypadku działanie jest
wybiórcze i nieskuteczne. skomentuj
2009-09-20 21:30:45 | 78.30.69.* | k g
Re: Kolejny wyciek danych użytkowników Wykop.pl [0]
Olgierd, z tym haszyszem to trochę przesadzasz. Chyba nie chcesz, żeby panowie w
niebieskim wpadli i zapytali skąd wiesz co to, masz to, i jak palisz? ;)
Trochę dyskrecji, zią! skomentuj
2009-09-21 01:09:23 | 81.190.145.* | jatylkonachwile
Ewa najlepiej zrobi jak sprobuje odzyskac haslo na n-k podajac swoj mail i rok
urodzenia (taki wymog tam jest) i na jej adres powinno przyjsc przypomnienie.
Zaloguje sie i bedzie wiedziala co za profil w tym miejscu figuruje. No chyba ze data
urodzenia sie nie będzie zgadzała.
Jest jeszcze taka ewentualność że ktoś kiedyś rejestrując się na N-K podał adres
e-mail i popełnił w tym miejscu literówkę w swoim adresie i efektem był adres Ewy.

Odnośnie całej rozmowy. Wykop twierdzi ze o wszystkim powiadomił GIODO. "Na podstawie
umowy zawartej między NK a Wykopem, o której zgodnie z prawem poinformowaliśmy
GIODO"
Więc jeżeli ja zgłoszę policji że planuję napad na bank to wszystko będzie zgodnie z
prawem i uniknę odpowiedzialności? Wiem, wyolbrzymiam, ale tak mniej wiecej brzmi to
zdanie. "Wszystko OK bo sie umowilismy i poinformowalismy."
Staram się zrozumieć motywy działania wykopu i n-k ale nie mogę się pogodzić z tym że
baza użytkowników może sobie błądzić pomiędzy serwisami wbrew regulaminowi czyli
umowie z userami. Diabli wiedza skad jutro przyjdzie mail ze "haslo zostalo
zresetowane w trosce o bezpieczenstwo".
Olgierd, masz paru zarejestrowanych uzytkownikow wiec mozesz zglosic sie do wykopu
zeby podeslali Ci baze danych do porownania. Tez chcesz przeciez zadbac o
bezpieczenstwo ;)
Dlaczego tylko n-k ma dostac baze? :> skomentuj
2009-09-21 08:44:35 | *.*.*.* | olgierd
Raczej zaraz napiszę, że nikt już nie będzie nic komentował, jeśli nie wpłaci
konkretnej kwoty na moje konto bankowe ;-) skomentuj
2009-09-21 15:26:10 | *.*.*.* | e_w_a
Ewa za radą jatylkonachwile sprawdziła jak to jest z (nie)moim profilem przypisanym
do maila i data urodzenia się nie zgadza, czyli mój mail egzystuje w bazie naszej
klasy, a ja nie wiem nawet skąd się tam wziął! skomentuj
2009-09-21 15:33:13 | *.*.*.* | olgierd
Zgodnie z art. 32 UoODO masz m.in. prawo do:

- uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w
takim zbiorze,
- uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz
podania w powszechnie zrozumiałej formie treści tych danych,
- uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że
administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy
państwowej, służbowej lub zawodowej,

a także do informacji (art. 33) nt. tego:
- jakie dane osobowe zawiera zbiór,
- w jaki sposób zebrano dane,
- w jakim celu i zakresie dane są przetwarzane,
- w jakim zakresie oraz komu dane zostały udostępnione.

Jeśli bowiem twierdzisz, że NK nie miała możliwości przetwarzać Twoich danych, to
powinni objaśnić w jaki sposób pozyskali te informacje. skomentuj
2009-09-22 08:07:48 | 78.8.81.* | olszewsky
Re: Kolejny wyciek danych użytkowników Wykop.pl [4]
Ja i moja żona mieliśmy lepiej... Skasowali nam hasła i nawet nas o tym nie
poinformowali !! Chcieliśmy zalogować się w sobotę i ZONK. Myślałem, że coś im padło
lecz po kilku dniach dowiedziałem się o tej akcji. Samowolka po prostu.... skomentuj
2009-09-22 12:36:00 | *.*.*.* | olgierd
Ja bym -- bez informowania -- przestał korzystać z takich usług ;-) skomentuj
2009-09-23 09:51:09 | 217.116.100.* | anonimka
e_w_a_:
- potwierdza sie moja teoria dlaczego mogłaś dostac e-mail od NK. Pozwolę sobie na
kolejną wróżbę - ktoś nieuprawniony miał dostęp do Twojego adresu e-mail (znał
hasło), dzięki temu mógł założyć konto w NK i aktywować link, który przy rejestracji
musiałó przyjść na Twoją skrzynkę.

olszewsky:
A skąd wiadomo że NK zmieniła Wam hasła? Może po prostu ktoś Wam się "włamał" na
konta w NK i nie ma to żadnego związku ze sprawa "wykop - NK". skomentuj
2009-09-23 10:18:16 | *.*.*.* | olgierd
albo moja ;-) że przyspamowali wszystkie adresy, które dostali od Wykopu ;-) skomentuj
2009-09-23 21:07:58 | *.*.*.* | spex
A może ktoś próbował phishingować userów NK? skomentuj

bezczelna reklama:

Firma Prawnicza Lege Artis
www.LegeArtis.org

O mnie
Olgierd Rudak
Jesteś na stronie czasopisma internetowego "Lege Artis", które ukazywało się od 17 listopada 2006 r. do 16 maja 2014 r.
Najnowsze komentarze
2017-10-13 06:09
Gina Acampora:
O ochronie wizerunku złodziei
Nazywam się Gina Acampora i rozmawiam dzisiaj jako najszczęśliwszy człowiek na całym dzikim[...]
2017-10-10 01:40
jance:
Uważajcie na oszustów sprzedających samochody z UK
Witam wszystkich, Nazywam się Ketesha Frank, jestem z Alabama, Stanów Zjednoczonych, jestem tu,[...]
2017-10-05 19:48
ArturZpl:
Rekordowe odszkodowanie za spam
Teraz to też my będziemy mogli starać się o odszkodowanie. Szukając informacji na ten temat -[...]
2017-10-02 10:03
CARO CATO:
Uważajcie na oszustów sprzedających samochody z UK
¿Necesita dinero para iniciar un negocio propio ...? ¿Necesita dinero también pagar[...]
2017-09-04 13:15
Walls:
Uważajcie na oszustów sprzedających samochody z UK
Dobry dzień,   Jesteśmy prawowitym, renomowanym rządowym pożyczkodawcą. Jesteśmy firma[...]