Money.pl dziwiło się parę tygodni temu, że Polska jest w europejskiej czołówce jeśli chodzi o liczbę kradzieży tożsamości. Z badania przeprowadzonego przez TNS OBOP wynika, że aż 7% Polaków padło ofiarą takiej kradzieży – i jest to wynik ponad dwukrotnie wyższy niż w rozwiniętych państwach europejskich. Mnie to nie zaskakuje, zadziwiają mnie za to za każdym razem procedury dotyczące danych osobowych w różnych firmach, z którymi każdy na co dzień ma do czynienia.

Nie wnikam już w metodologię badania OBOP, która prawdopodobnie wyklucza możliwość porównywania wyników z resztą Europy. Zupełnie nie czepiam się tych 7% – to równie dobrze mogłoby być 5% czy 10%. Nawet 5% to niepokojąco dużo. Zatrważające jest jednak to, jaką świadomość ma przeciętny Kowalski w temacie zarządzania swoimi danymi, a jeszcze bardziej – jakich nawyków uczą go korporacje, do których ów Kowalski z reguły ma zaufanie. czytaj dalej »

W Merlin.pl, jednym z największych i najstarszych polskich sklepów internetowych, można bez żadnej autoryzacji dostać się do panelu administracyjnego, pozwalającego na zarządzanie promocjami. Poniżej zdjęcie, z oczywistych względów ukryłem adres panelu. Informację o problemie wysłałem do BOK i działu bezpieczeństwa Merlina.

Tagline sklepu brzmi “sklep z wyobraźnią”, najwyraźniej nieco tej wyobraźni zabrakło komuś w IT Merlina. Podziękowania dla mojego źródła za podesłanie informacji (przypominam też o stronie cynk).

Uaktualnienie: Wiele osób pytało dlaczego ten tekst pojawił się w RSS po czym natychmiast zniknął z bloga. Dostałem link do tego panelu jako /admin’ – z apostrofem na końcu. Sprawdziłem, że samo /admin nie działa i uznałem, że adres jest na tyle bezpieczny, że można opublikować screen. Okazało się (dzięki grzegor), że do panelu można dostać się przez /admincokolwiek. Dlatego zdjąłem tekst z bloga i poczekałem aż Merlin naprawi problem – mimo iż panel wydawał się być raczej niegroźny, nie było moją intencją upublicznianie dostępu do niego. Tym większy wstyd dla IT Merlina, że panel dostępny był w taki sposób, pod dowolnymi adresami zaczynającymi się na “admin”.

W chwili obecnej dostęp do panelu jest już zabezpieczony, więc przywracam tekst. W niedzielę nikt w Merlinie nikt nie zareagował i prawdopodobnie nawet nie odbiera poczty (mimo osobnego adresu mail przeznaczonego na kwestie bezpieczeństwa), problem naprawiono dopiero w poniedziałek około ósmej rano.

Uaktualnienie: Otrzymałem przed chwilą od Merlina szerszy komentarz do całej sytuacji: czytaj dalej »

PayPal, chyba najbardziej znany pośrednik płatności w internecie, od dziesięciu dni ma w swoich formularzach błąd uniemożliwiający przeprowadzenie niektórych typów transakcji. Błąd jest z rodzaju tych banalnych – w formularzu rejestracji nowego użytkownika, który próbuje kupić subskrypcję jakiejś usługi (płatność cykliczna), nie można wybrać innego kraju niż domyślny. Po wybraniu dowolnego innego kraju formularz przeładowuje się (po to, żeby pokazać nową listę wyboru regionu/stanu/województwa), ale zamiast nowo wybranej pozycji powraca do stanu początkowego, czyli domyślnego kraju. Czyli kupujący spoza USA nie są w stanie dokonać transakcji (ew. spoza kraju, w którym ulokowany jest sprzedawca – nie jestem pewien jaki kraj jest wyświetlany domyślnie). czytaj dalej »

Największy koreański serwis aukcyjny, Auction.co.kr padł ofiarą największego włamania w historii koreańskiego e-commerce. W lutym niezidentyfikowany do dzisiaj haker wszedł w posiadanie danych dotyczących ponad 10 milionów osób spośród 18 milionów użytkowników serwisu. Wśród wykradzionych danych były nazwiska i adresy użytkowników, numery telefonów, a w części przypadków również numery kont bankowych i kart kredytowych. czytaj dalej »

Od dwóch dni polskie serwisy internetowe donoszą o zmasowanej akcji przesyłania do użytkowników polskich serwisów społecznościowych fałszywych maili podszywających się pod witryny tych serwisów. Dwa dni temu donoszono o fałszywych mailach podszywających się pod Fotka.pl, wczoraj to samo spotkało Naszą-klasę. Dziś za to rozpoczęła się nowa, potężna fala spamowania, którą łączyłbym z atakowaniem użytkowników społecznościówek w ostatnich dniach. czytaj dalej »

Tumblr to popularny serwis pozwalający na multimedialne miniblogowanie. Na Hacker News znalazłem świeżą, bo pochodzącą sprzed kilku minut (teraz będzie już kilka więcej) informację o tym, jak bardzo niezabezpieczony jest ich system (celowo nie podaję głębokiego linka do źródła zanim tego nie załatają). W bardzo prosty sposób każdy użytkownik może dostać się do mechanizmu administracyjnego witryny a w nim na przykład zmienić hasło dowolnego użytkownika. czytaj dalej »

Dosłownie chwilę po tym jak napisałem o jednej z największych sieci komputerów zombie w Polsce w kontekście nauczania bezpieczeństwa w internecie w szkołach, trafiłem na artykuł o konferencji RSA 2008, na której przedstawiciel Department of Homeland Security mówił o tym, jak poważnie amerykański rząd traktuje zagrożenia jakie niosą ze sobą sieci zombie.

Sieci komputerów zombie są złożone z setek tysięcy zainfekowanych wirusami komputerów i wykorzystywane głównie do rozsyłania spamu i kradzieży danych kart kredytowych, ale również do ataków typu DDoS (Distributed Denial of Service). czytaj dalej »

Wraz ze wzrostem popularności OpenID i zapowiedziami kolejnych serwisów o planach jego wdrożenia, coraz więcej osób zastanawia się nad bezpieczeństwem takiego rozwiązania. Pytań rodzi się wiele i chyba nie wszystkie z nich doczekały się satysfakcjonujących odpowiedzi. Kiedy myślę o OpenID w kontekście bezpieczeństwa, przychodzą mi do głowy następujące tematy. czytaj dalej »