» »

EnaA in njihov katastrofalni sistem za odjavo od spam-a

EnaA in njihov katastrofalni sistem za odjavo od spam-a

«
1
2

Sergio ::

Danes sem od EnaA dobil e-mail, v katerem me nagovarjajo za nakup določenih znižanih izdelkov.

Na dnu sporočila stoji tudi tole:


Odjava
Prizadevamo si, da vam posredujemo zanimive in uporabne informacije. Če jih iz kakršnegakoli razloga ne želite več prejemati, se lahko odjavite na tej strani.
Vse podatke o naročnikih skrbno varujemo skladno s sprejeto politiko zasebnosti in zakonodajo. V skladu s 73. členom ZVOP-1 lahko kadarkoli zahtevate, da vaše osebne podatke prenehamo uporabljati za namene neposrednega trženja. Iz našega naslova lahko prejemate več e-izdaj. Vsako naročilo, soglasje za prejemanje naše e-pošte ali sodelovanje v nagradnih igrah obravnavamo posebej in smo zato razvili tudi zanesljivo in varno programsko rešitev, ki omogoča ustrezno obvladovanje vseh teh podatkov skozi daljše časovno obdobje. Ročni posegi v seznam naročnikov zaradi varovanja vaše zasebnosti niso možni, zato prosimo, da odjavo izvedete sledeč zgornjemu navodilu.

Prosimo, da upoštevate, da morate v primeru, da našo pošto v vaš e-nabiralnik prejemate preko posredovanja (redirekcija) z enega izmed vaših drugih e-naslovov, odjaviti tisti naslov, na katerega je naša pošta naslovljena. Zaradi specifičnosti poslovnega procesa in tehničnih omejitev je mogoče, da boste v 15 dneh od datuma vaše odjave še prejeli našo e-pošto, v primeru, da je bila e-pošta že poslana oziroma v fazi pošiljanja.


Vse fino in fajn, edino imam težavo: Na ta sporočila se NIKOLI nisem naročil, ta mejl sem tudi prvič dobil.

No, pa gremo v odjavo. Format URLja za odjavo od spama je sledeč:

http://www.enaa.com/odjavaEIzdajeMailin...

S preprostim klikom na sporočilo se odpre stran za dostop nastavitev pošiljanja elektronskih sporočil.

Stvar ne potrebuje gesla, ampak le elektronski naslov. V URL-ju ni bilo nobenega salta ali česarkoli podobnega.

To pomeni, da lahko enostavno poskusim z email naslovom, za katerega sumim, da je prijavljen v EnaA, in zvedel bom dvoje:

1) Ali ima ta uporabnik res račun na EnaA
2) Lahko ga naročim na ves možen EnaA spam

Varnostna luknja je ogromna. Ne morem verjeti, da si lahko tako "velika renomirana" štacuna kaj takega privošči.

Če to bere kakšen od EnaA adminov ali razvijalcev: Popravite napako, vzemite se v roke.
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.

5er--> ::

Pa če imaš v emailu +, odjava ne deluje.
Primer: janez.kranjski+enaaspam@gmail.com

MisterR ::

Sej tudi mimovrste shranjuje gesla v plaintext obliki. Dokler se nič ne zgodi...

OmegaBlue ::

Sej plaintext passwordi o tud ful zabavni če ga "pozabiš" ;)
Never attribute to malice that which can be adequately explained by stupidity.

Aljoša ::

Hvala za tole opozorilo.

Tilen ::

Sergio je izjavil:

Danes sem od EnaA dobil e-mail, v katerem me nagovarjajo za nakup določenih znižanih izdelkov.

Na dnu sporočila stoji tudi tole:


Odjava
Prizadevamo si, da vam posredujemo zanimive in uporabne informacije. Če jih iz kakršnegakoli razloga ne želite več prejemati, se lahko odjavite na tej strani.
Vse podatke o naročnikih skrbno varujemo skladno s sprejeto politiko zasebnosti in zakonodajo. V skladu s 73. členom ZVOP-1 lahko kadarkoli zahtevate, da vaše osebne podatke prenehamo uporabljati za namene neposrednega trženja. Iz našega naslova lahko prejemate več e-izdaj. Vsako naročilo, soglasje za prejemanje naše e-pošte ali sodelovanje v nagradnih igrah obravnavamo posebej in smo zato razvili tudi zanesljivo in varno programsko rešitev, ki omogoča ustrezno obvladovanje vseh teh podatkov skozi daljše časovno obdobje. Ročni posegi v seznam naročnikov zaradi varovanja vaše zasebnosti niso možni, zato prosimo, da odjavo izvedete sledeč zgornjemu navodilu.

Prosimo, da upoštevate, da morate v primeru, da našo pošto v vaš e-nabiralnik prejemate preko posredovanja (redirekcija) z enega izmed vaših drugih e-naslovov, odjaviti tisti naslov, na katerega je naša pošta naslovljena. Zaradi specifičnosti poslovnega procesa in tehničnih omejitev je mogoče, da boste v 15 dneh od datuma vaše odjave še prejeli našo e-pošto, v primeru, da je bila e-pošta že poslana oziroma v fazi pošiljanja.


Vse fino in fajn, edino imam težavo: Na ta sporočila se NIKOLI nisem naročil, ta mejl sem tudi prvič dobil.

No, pa gremo v odjavo. Format URLja za odjavo od spama je sledeč:

http://www.enaa.com/odjavaEIzdajeMailin...

S preprostim klikom na sporočilo se odpre stran za dostop nastavitev pošiljanja elektronskih sporočil.

Stvar ne potrebuje gesla, ampak le elektronski naslov. V URL-ju ni bilo nobenega salta ali česarkoli podobnega.

To pomeni, da lahko enostavno poskusim z email naslovom, za katerega sumim, da je prijavljen v EnaA, in zvedel bom dvoje:

1) Ali ima ta uporabnik res račun na EnaA
2) Lahko ga naročim na ves možen EnaA spam

Varnostna luknja je ogromna. Ne morem verjeti, da si lahko tako "velika renomirana" štacuna kaj takega privošči.

Če to bere kakšen od EnaA adminov ali razvijalcev: Popravite napako, vzemite se v roke.


Moje izkušnje z EnaA :


ENAA spam
ENAA spam2
ENAA spam3
ENAA razočaranje
ENAA razočaranje2 - slike
413120536c6f76656e696a612c20642e642e

Tilen ::

Prijavi Pooblaščencu, ker ostalo tako ali tako ignorirajo.

IP-RS

Prijava kršitve varstva osebnih podatkov (obrazec)

Izpolnjen obrazec pošlješ na gp.ip@ip-rs.si.
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

francek1 ::

V Gmailu jih daš na spam listo in rešeno...bo počasi tudi za vse ostale spam.
Kdor se je že rodil učen se lahko reži...

Mipe ::

Tilen je izjavil:

Prijavi Pooblaščencu, ker ostalo tako ali tako ignorirajo.

IP-RS

Prijava kršitve varstva osebnih podatkov (obrazec)

Izpolnjen obrazec pošlješ na gp.ip@ip-rs.si.

Dodaj ta email na EnaA spam :P

Aljoša ::

Na EnaA.com ničesar ne ignoriramo. Vesel bom, če se bo kdo od vas oglasil na naše kontaktne naslove ali pa na recimo crm@gambit.si, da smo bolj konkretni, tako da bomo lahko rešili njegovo težavo. Težavo z maili, ki ste jo tule objavili že rešujemo. O tem, ali kdo res dobiva spam in podobno, pa se ne morem tule pogovarjati, če niti ne vem za kateri e-naslov gre. Za vsak e-mail imamo točno evidentirano, kako in kdaj je prišel v naš seznam, tako da lahko damo konkretne odgovore in tudi zagovor samo, če vem za kateri e-naslov gre. Žal je pogosto tako, da marsikdo sodeluje v nagradni igri, potem pa na to "pozabi".
Upam, da ni preveč, če pričakujem, da v primeru, da je res prišlo do zlorabe, to čimprej javite na EnaA.com in nam s tem pomagate odkriti tistega, ki je zlorabo povzročil.

St235 ::

Nikar spet ne prodajaj megle. Pošiljat na crm@gambit.si je približno isto kot pošilljat na tramvaj komando v ljubljani. Been there, done that. Najprej dobiš par floskul, ko pa konkretna dejstva predstaviš pa niti odgovora več ni. Že podpisovanje z generičnim EnaA tim je posmeha vredno. Pa saj smo to že mel na točno tem forumu.

Zgodovina sprememb…

  • spremenil: St235 ()

satfinder ::

Na EnaA.com imam account.
Pred kratkim sem kupil SODIMM DDR3 RAMe
[3 * 2GB], ...

Spama od njih ne dobivam nič.

Je pa res, da ne sodelujem pri nobenih
nagradnih igrah, ...

Pri odpiranju account-a sem odkljukal,
da ne zelim prejemat nobenih obvestil ...,
oz. novic o ugodnih ponudbah, ...

Ponavadi kupujem na Ebay.de, preko Idealo.de,
Geizhals.at, ... Primerjam cene s SI ponudbo,
skalkuliram, in se odločim za nakup ...

Do zdaj [velja zame] so bila vsa narocila
iz EnaA.com, Mimovrste.com, ... sprovedena
b.p.

Tudi resevanje kake reklamacije kdaj,
je slo skozi b.p.

Me je pa npr. pred leti oreng "spamala" Secunia,
to pa zato, ker nisem odkljukal, da ne zelim
prejemat od njih novic ... -)
Korak do konca in Naprej :).

Zgodovina sprememb…

  • spremenilo: satfinder ()

jurkjurk ::

MisterR je izjavil:

Sej tudi mimovrste shranjuje gesla v plaintext obliki. Dokler se nič ne zgodi...


To pa ni res, ti lahko s prve roke povem ker mam razvoj nacez na mimovrste :)

MisterR ::

Ne spomnim se koliko časa nazaj si na mail dobil plaintext ob uporabi pozabljeno geslo, zdaj dobiš link =)

techfreak :) ::

Dobil si novo geslo, ne staro. Prednost pri linku je samo v tem, da obvezno zamenjaš geslo.

N4g4c3N ::

MisterR je izjavil:

Sej tudi mimovrste shranjuje gesla v plaintext obliki. Dokler se nič ne zgodi...


Tudi študentski servis jih shranjuje v plaintext (oz. mogoče zdaj ne več). Par let nazaj sem pozabil geslo in so mi na sms veselo poslali obstoječe geslo. Kar srh me spreleti ko pomislim kateri podatki so v njihovi bazi (bančni računi, davčne, EMŠO...) in da grejo tako stvar pisat taki nesposobneži...

Tilen ::

Aljoša, že najmanj 5 dni ste obveščeni o napaki. A moramo res prijaviti pooblaščenki, da se zmigate?
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

techfreak :) ::

Sicer je minilo šele 5 dni in ta napaka je manjša ranljivost, ki vpliva samo na prejemanje novic. Mene bi bolj skrbela XSS ranljivost v obliki http://www.enaa.com/odjavaEIzdajeMailin... (sicer ne dela v novejših brskalnikih).

Tilen ::

Techfreak, gre za neustrezno varovanje osebnih podatkov.
413120536c6f76656e696a612c20642e642e

Gandalfar ::

O lol. Tole pa dobro deluje. Nakljucen email, v stiku ime.priimek@gmail.com od soseda in ga kar naenkrat na spam prijavis :)

Tilen ::

http://www.enaa.com/odjavaEIzdajeMailin...

Takole. Prostovoljec lahko Aljoši nastavi reminder za odpravo nepravilnosti.
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

Reycis ::

Jaz ne vidim ničesar protizakonitega v temu, da se je iz novic možno odjavit brez prijave. Če pa ti ne veš na kater email naslov ti je prišel mail pa to ni problem Enaa.

techfreak :) ::

Problem je v tem, da te lahko kdorkoli prijavlja/odjavlja.

Reycis ::

Jaz vidim je možno le, da te kdorkoli odjavlja. Še vedno ne vidim kaj je tu nezakonitega in za informacijskega pooblaščenca.

Gandalfar ::

Majk: na linku, ki ga je pastal Tilen lahko kliknes tudi prijavi.

Reycis ::

Ja in potem dobiš po mailu link za potrditev za prijavo.

Gandalfar ::

Ni videt, vsaj jaz ga nisem dobil, ko sem za en svoj account to preizkusal.

Reycis ::

Ja v bistvu ga res ni in to je napaka. Poleg tega pa se da ugibat emaile, ki so prijavljeni na enaa. Res poredni enaa. Ampak sama stran še vedno ni sporna in bi bila uredu, če bi po mailu prišla potrditev za prijavo in odjavo.

Gandalfar ::

Ja super, glih hocem vidt 200 mailov na dan od sosedovga mulca. Hkrati mi se pa zdi sporno, da lahko kdorkoli vidi, ce sem ze kupoval pri enaa.

Zgodovina sprememb…

Tilen ::

Aljoša? A se hecate?
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

techfreak :) ::

Pozdravljeni
Prejeli smo obvestilo, da ste pozabili podatke za vstop v e-trgovino EnaA trgovski center.


E-naslov: #moj email#
Geslo: #moje pozabljeno geslo#


Lep pozdrav,
www.enaA.com

;((

Toliko govora o uporabi salta pri hashanju gesel v zadnjih letih, pri EnaA se jim pa zdi smiselno shranjevati gesla v plain text obliki.

Citat iz EnaA:
V Gambit trade zagotavljamo znanje, storitve in informacijsko opremo za učinkovito, zanesljivo in varno poslovanje v globalni ekonomiji.

Malo dvomim v varno poslovanje, če ne uporabljajo stvari, ki so že nekaj let standard v vsakem spletnem frameworku ter v vseh knjižnicah za delo z uporabniki.

matej_jack ::

Pa res 8-O
Vidim, da lepo skrbijo za moje podatke :D

drola ::

francek1 je izjavil:

V Gmailu jih daš na spam listo in rešeno...bo počasi tudi za vse ostale spam.


Jaz tudi prakticiram to za čisto vse maile, ki pridejo v inbox od pošiljateljev, ki niso dobili naslova od mene.
https://drola.si

Aljoša ::

Zanimiva debata. Malo sem se odklopil na dopustu, pa so me sodelavci pričakali z "tale forum si pa obvezno poglej". Ja, slo-techovci ste nam v 13 letih delovanja enaA.com že večkrat pomagali. Praktično v vseh uspešnih primerih sodelovanja se je debata, ki je bila odprta na slo-tech forumu prenesla na mail crm@gambit.si (no ja, prej so bili to tudi drugi naslovi, vključno z mojim osebnim) in potem pogosto še v osebni kontakt, včasih tudi v oddajo naročila za kakšno storitev, svetovanje, test, .... A če se ne motim med tistimi, s katerimi smo sodelovali ni nikogar izmed teh, ki razpravljate na tej strani. Lakotnik29 sicer piše: "Nikar spet ne prodajaj megle. Pošiljat na crm@gambit.si je približno isto kot pošilljat na tramvaj komando v ljubljani. Been there, done that. Najprej dobiš par floskul, ko pa konkretna dejstva predstaviš pa niti odgovora več ni. Že podpisovanje z generičnim EnaA tim je posmeha vredno. Pa saj smo to že mel na točno tem forumu." Nekateri, ki so nam kaj primernega posredovali, vedo, da to ne drži. Ampak seveda, tisti se o tem ne pogovarjajo v tej debati.
Naj povem, kaj mene moti v tej dabati. Sergio je opozoril na to, da lahko z zamenjavo e-naslova v url-ju, ki ga prejmejo naročniki naših e-izdaj, preverite ali spremenite podatke še za kakšen drug naslov. Ali je zato moral url javno objaviti in nevarnost povečati? Po moje ne! Od nekoga, ki se resno ukvarja z varnostjo na internetu, kaj takega ne pričakujem. Če bi bila njegova želja le to, da na EnaA.com zadevo odpravimo bi lahko zadevo objavil drugače, ali pa se obrnil direktno na nas.
Vsekakor pa smo objavo vzeli resno. Niti dve uri kasneje so se name obrnili sodelavci iz razvoja, povedali, kaj se dogaja ter da bo potrebno narediti popravek. Še vedno nista minili niti dve uri od objave, ko sem se za opozorilo zahvalil.
Tri dni kasneje se v debato vključi Tilen in pove, da vse lepo in prav, ampak on dobiva sporočila, na katera se ni nikoli naročil. Spet zelo hitro, torej prej kot v treh urah, objavim odgovor, povem, da slo-techovce zagotovo ne ignoriramo in Tilna ter ostale povabim, da pošljejo več info na crm@gambit.si. Tilen do danes vprašanja, kako je prišel na listo prejemnikov naših e-izdaj na crm@gambit.si ni poslal. Spomnil pa se je na informacijskega pooblaščenca.
Tilen potem dva dni kasneje spet sproži debato, ali naj se mi vključi reminder. Še nekaj dni kasneje me sprašuje, ali se hecam(Glede na to, da me vika, predvidevam, da ve, kdo sem, jaz žal ne vem, kdo je on). O čemu se hecam, kakšen reminder. Dve uri po prejemu smo objavili zahvalo za opozorilo, iz česar jasno izhaja, da zadevo rešujemo.
Torej, res me zanima, zakaj menite, da s prijavo informacijskemu pooblaščencu in objavo url naslova, ki omogoča zlorabo podatkov (pazite: omogoča!), kakorkoli pomagate enaA.com? Mislite, da je potreben pristisk na nas zato, da je stvar malo bolj adrenalinska ali samo zato, da se bomo sploh premaknili. Ali naj verjamem mojim razvijalcem, ki jih poznam, nadzornikom, ki skladno z ISO standardi skrbijo za nadzor nad našo informacijsko varnostjo ali Tilnu, ki ga ne poznam? Ali pričakujete, da bomo na teh straneh javno razglašali, kako skrbimo za varnost, katere rešitve uporabljamo, kje imamo luknje, .... Oprostite, varnost jemljemo precej bolj resno! Tudi zato, ker za varnost vaših podatkov odgovarjamo mi.
Mogoče se bo komu zdelo, da ta Aljoša spet ni odgovoril in da kar piše neke floskule.

Gandalfar ::

Aljosa: link iz 15. julija: https://slo-tech.com/forum/t525981/p363...

Se vedno deluje.
Še vedno nista minili niti dve uri od objave, ko sem se za opozorilo zahvalil.

Tole je sicer fajn ampak lukne niste popravili.

Hkrati tudi ne vidim odgovora s katerim utemeljujete shranjevanje nasih gesel v clear-text nacinu?

ISO standardi skrbijo za nadzor nad našo informacijsko varnostjo

Iso standard definira samo postopke glede varnostne politike. Ne pomeni da dejansko implementirate najboljse standarde varnosti.

Zgodovina sprememb…

Tilen ::

@Aljoša

Zaposleni ste obveščeni in vaša odgovornost do naših osebnih podatkov je, da jih zaščitite. Nehajte nas že preusmerjat na crm@gambit.si, ker očitno le prelagate delo in odgovornost. Aljoša, Če prav razumem vaš odgovor, ste v crm@gambit.si psevdonimu ravno vi, tako da mi je vaše početje še toliko manj razumljivo. Če se vam gre le za KPI, si pa sami pošljite mail z linkom do te debate in je stvar rešena. Sami potrjujete, da niste samo vi obveščeni o tej napaki temveč tudi vaši sodelavci, kateri so vam po prihodu z oddiha prijazno posredovali povezavo, s katero ste bili seznanjeni že pred vašim odhodom.
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

Aljoša ::

Gandalfar, nismo še popravili ne enega ne drugega. A url popravljamo (pri čemer so poleti razvijalci tudi na dopustih in to traja dalj, nevarnost pa ni tako velika, da bi jo postavili na prvo mesto) in bo popravljen do konca avgusta.
Gesla so druga zgodba. Na tem mestu lahko napišem le, da jih ne shranjujemo v clear-text načinu. Gre za starejši, nerazširjen sistem, ki zagotovo ni najboljši standard varnosti, je pa dovolj varen. Vsaj mi menimo tako in mi za to odgovarjamo. Oziroma, jaz verjamem razvojnikom, odgovarjamo pa tako in tako vodstvo ter lastniki podjetja. Kdaj bomo šli naprej? Ob prvi primerni priložnosti.

Gandalfar ::

> Na tem mestu lahko napišem le, da jih ne shranjujemo v clear-text načinu

To je laž. Ko mi pozabljeno geslo pošljete na email je tam vidno v clear-text. Kar pomeni da ga pri sebi hranite v obliki, ki omogoča povratni hashing in ne samo enosmernega, ki je osnova v industriji.

To pomeni, da kdorkoli pride do vaše baze in karkšnegakoli ključa že, dobi kar vsa gesla servirana na pladnju. Niti jih ne rabi crackat.

Kdorkoli vam razlaga osnove vaše varnosti pri geslih vas nateguje.

Aljoša ::

Še enkrat se zahvaljujem vsem, ki ste opozorili na področja varnosti, ki jih moramo izboljšati. Torej, opozorilo glede url je že v izvedbi, glede drugega (shranjevanje gesel) lahko napišem le to, kar sem odgovoril Gandalfarju. Mogoče to komu ni všeč in se mu ne zdi najboljša rešitev, a s tem tole debato na slo-tech zaključujemo, ker bi kakršnikoli dodatni odgovori in pojasnila z naše strani v zvezi s tema dvema točkama le zniževali varnost.
Če bo kdo imel kakšno novo opozorilo, bomo z veseljem prisluhnili tu ali na kakšnem drugem forumu, pa tudi na famoznem crm@gambit.si ne bomo gluhi.
Še to: glede teh dveh točk, bomo takoj, ko bomo ponudili novo rešitev, to objavili tudi tu. Tilen bo tako lahko izračunal kako počasni smo :)

Ziga Dolhar ::

Aljoša: na varnostno pomanjkljivost glede shranjevanja gesel sem vas sam opozoril 18. junija 2012 preko vašega kontaktnega obrazca. Resda v obliki vprašanja, "nudge nudge poke poke".

Potrdili ste uporabo reverzibilnega (dvosmernega) kodirnega algoritma, ki že po definiciji ne more zagotavljati vsaj osnovne varnosti.

Mislim da sta dva meseca dovolj časa za odpravo napak.
https://dolhar.si/

Magic1 ::

Dva meseca ni niti primbližno zadosti, če to sploh ne jemljejo kot napako!
Magic

BlueRunner ::

Psst. Vse je po ISO. Samo ne ve se kaj tocno, po katerem ISO in v kaksnem obsegu.

Aljoša ::

No pa začnimo spet od začetka. Če ste profesionalci, kot se tukaj predstavljate, potem veste, da javni forum ni najbolj primeren prostor za debate o varnosti. Zadeve smo vzeli na znanje in ko bodo moji razvijalci zadeve spremenili, bom to tule objavil. Velja? Potem pa pokajte štoe o tem, kako počasni smo. A do tedaj bi bilo lepo, če bi mojim razvijalcem dali mir, mar ne! Žiga Dolhar, ja, razumemo, da se vam in še komu sistem ne zdi dovolj varen. In vemo, da obstajajo boljši. Magic1, BlueRunner, hvala za malce pikrega humorja. Če sta odlična tudi v slovenščini, potem bosta iz predhodnih odgovorov razbrala, da napake jemljemo dovolj resno. Gandalfar, laže pa ne ciciban! Težava z neposrednim geslom ni toliko zunanja zaščita podatkov pred vdorom, temveč interna. In na to smo pomislili že pred 13 leti, ko smo začenjali.

NeMeTko ::

@Aljoša - kot jaz razumem problem, ga tvoji razvijalci ne bodo mogli rešiti v enem dnevu, dveh, pa najbrž tudi ne v enem tednu (vsaj ne dokončno), ker se gre za globlji problem, ki je posledica same zasnove sistema.

Kljub temu, pa se mu zdi (ali pa ravno zaradi tega), da bi morali določeno problematično funkcionalnost začasno preprosto izključiti, dokler ne najdete ustrezne rešitve in odpravite težavo. V vmesnem času pa najti alternativni način (magar na roke), s katerim bi nadomestili izključeno funkcionalnost.

Če mi pipa v kopalnici pušča, bom zaprl ventil pred pipo in počakal, da pride mojster in zamenja ventil. Pri vas pa puščate pipo kapljati!

Ne gre se za to, ali se trudite ali ne. Verjamem da se trudite, vendar pristop ni pravi, če se gre za problem varnosti.

Zgodovina sprememb…

  • spremenil: NeMeTko ()

BlueRunner ::

Aljoša je izjavil:

Magic1, BlueRunner, hvala za malce pikrega humorja.

Naj bo humor, ce zelis.

Vendar... obstajajo "nadzorniki" katerih postopki so s strani neodvisne organizacije verificirani in taksni, kateri zase (brez dokaza) trdijo, da "so skladni". Zame je sklicevanje na "skladno z ISO" navadna sala, dokler ne predlozim tako certifikata, kot tudi obsega na katerega se certifikat nanasa.

ISO standarda nisi navedel.
Za certifikat na prvi pogled ni opaziti, da ga bi imeli.
Nikjer ni razvidno koliksen je obseg, ki ga morebiten certifikat potrjuje.

Ce celoten stavek z "skladno z ISO standardi" ostane brez konkretizacije (oziroma odgovorov na moj piker humor), potem je to samo trkanje po prseh in brez prave substance, potem se zagotovo lahko vprasam kaj od preostalih navedb je morda tudi samo trkanje po prseh, brez substance.

Pa tudi brez certifikata... poglej o cemu govori tisti ISO standard, ki ga je morda kdo imel v mislih, ko je govoril o "informacijski varnosti."

Da, Gambit Trade in EnaA sta podjetje in blagovna znamka katera je enostavno ne marati. Ampak v teh tvojih "preteklih 13 letih" je podjetje naredilo nekaj lapsusov, ki so marsikomu pustili slab okus v ustih in obcutek, da fantje in punce tam ne zagledate pravocasno "velike slike" (kar ni ravno velik greh - nihce je ne), obnasate pa se, kakor da jo (kar pa je slaba navada).

Zgodovina sprememb…

Tilen ::

Gambit ima zagotovo v celoti implementiran vsaj ISO 27001. >:D
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

techfreak :) ::

Težava z neposrednim geslom ni toliko zunanja zaščita podatkov pred vdorom, temveč interna. In na to smo pomislili že pred 13 leti, ko smo začenjali.

Premalo ste premišljevali. Znano je dejstvo, da večina uporabnikov uporablja enaka ali pa vsaj podobna gesla za vse/večino spletnih strani. Če bi se zgodil vdor v vaš sistem, bi lahko napadalec pridobil dostop do številnih drugih spletnih strani, ki jih vaši uporabniki uporabljajo.

Sicer pa če se ravnate po varnostnih načelih izpred 13 let, potem so gesla v plain text obliki še najmanjša stvar, ki vas mora skrbeti.

Lepo, da se vsaj trudite popraviti, vendar je vprašanje zakaj se niste že sami lotili popravljanja, preden so napake prišle v javnost?

St235 ::

Torej, res me zanima, zakaj menite, da s prijavo informacijskemu pooblaščencu in objavo url naslova, ki omogoča zlorabo podatkov (pazite: omogoča!), kakorkoli pomagate enaA.com?


Od kje tebi ideja oziroma zabloda, da je kdorkoli vam karkoli dolžan pomagat? V dveh mesecih niste sposobni zakrpat ogromne varnostne luknje, zraven pa še nabijate o ISO standardih. Mislim, da sem več kot dobro zadel to da se preko crm@gmabit.com dlje kot do puhlih floskul ne da prit. Drugače namreč tega, da ne samo ne odpravite varnostnih lukenj ampak jih celo zagovarjate ne znam razložit.

Namen izpostavljanja napak v vašem sistemu pa je v prvi vrsti to, da se uporabnike opozori na absurdne varnostne luknje, katastrofalen odnos do uporabnikov in splošno aroganco, ki smo jo deležni tudi na tem forumu. Za kakovost svojih storitev in odpravljanje varnostnih lukenj pa ste v prvem planu odgovorni sami. Vam pa z veseljem zagotovimo tudi podporo IP, če drugače ne bo šlo.

NeMeTko ::

Z ISO standardi je podobno kot z vozniškim izpitom: to, da ga imaš, še ne pomeni, da si dober voznik!

Imaš podjetja, ki nimajo ISO, pa imajo stvari pošlihtane v nulo - ker so praktiki.
Imaš podjetja, ki imajo ISO, pa je kljub temu vse v razsulu - ker so teoretiki.

Varnostni ISO standardi so zgolj teorija, s katero se določi, kdo naj bi bil za kaj odgovoren, kdo komu poroča, obvešča, itd.
NIKJER v ISO pa ni zapisano, kakšne praktične rešitve določenega konkretnega problema se bo uporabilo - ker to NI stvar ISO standardov.

Kaj ti nuca, če si v okviru ISO določil dežurnega krivca, če ta ni sposoben rešiti TEHNIČNI problem?

Kljub temu, pa bi pravilno implementirani ISO v podjetju moral imeti za posledico TAKOJŠNJO blokado problematičnih servisov.

Podobno, kot če se pelješ z avtom, pa ti prične svetiti lučka za olje. Ustaviš, preveriš kaj je vzrok, doliješ olje in šele nato pelješ dalje. Osnovna pravila vsakdana, ki bi jih moral vsak informatik upoštevati tudi pri svojem delu.

Res ne vem, kaj bi enaa.com stalo, da bi začasno ukinili možnost avtomatiziranega prijavljanja in odjavljanja na reklamno pošto. Enako velja za pozabljena gesla - tudi to funkcijo se da začasno onemogočiti in jo rešiti z neko alternativno metodo.
Sam core business zaradi tega nebi bistveno trpel - vsaj ne toliko, kolikor trpi sam ugled podjetja zaradi napačnega pristopa.

Ne vem, ali boste čakali toliko časa, da vam bo kakšen hacker dokazal, da se da vaše dobro znane pomanjkljivosti zlorabiti v velikem slogu? Boste izzivali srečo toliko časa, da boste na koncu morali tudi core business zaustaviti?

Po moje se manjka nek inšpektor, ki bi izvajal nadzor nad temi rečmi in bi imel pravico odrediti takojšnjo zaustavitev spletne trgovine, če so ugotovljene bistvene varnostne pomanjkljivosti.

BlueRunner ::

NeMeTko je izjavil:

Z ISO standardi je podobno kot z vozniškim izpitom: to, da ga imaš, še ne pomeni, da si dober voznik!

Z njimi je tudi tako, da dokler ne poves kateremu sledis in pokazes certifikat, je to lahko karkoli. Ugibanje, da bi morda lahko slo za 27001, je se vedno samo ugibanje. Ce so pravi mojstri bodo pokazali certifikat.

Ce se slucajno izkaze, da se nekdo izmisljuje za tako enostavno in hkrati pomembno stvar in se (po domace receno) preserava s kraticami, potem se res lahko vprasam o cemu se tudi preserava.

NeMeTko je izjavil:

Kaj ti nuca, če si v okviru ISO določil dežurnega krivca, če ta ni sposoben rešiti TEHNIČNI problem?

ISO standarda za dolocanje krivcev ni. Ravno tako "dezurni krivec" v splosnem ne rabi resevati tehnicnih problemov.

NeMeTko je izjavil:

Kljub temu, pa bi pravilno implementirani ISO v podjetju moral imeti za posledico TAKOJŠNJO blokado problematičnih servisov.

Neumnost. Lahko imas zavarovalno polico, ki krije morebitno skodo, ce se tveganje uresnici.

NeMeTko je izjavil:

Res ne vem, kaj bi enaa.com stalo, da bi začasno ukinili možnost avtomatiziranega prijavljanja in odjavljanja na reklamno pošto.

1) Ne bi pomagalo.
2) Ce se v procesu zanasajo izkljucno na avtomatizirano odjavljanje, potem bi zgolj blokada tega procesa pomenila takojsen prekrsek.

NeMeTko je izjavil:

Sam core business zaradi tega nebi bistveno trpel - vsaj ne toliko, kolikor trpi sam ugled podjetja zaradi napačnega pristopa.

Ce recem na slepo, poslovanje EnaA.com zaradi tega ne trpi. Laiki nimajo pojma, nadzorni organi so edini, ki jih potencialno lahko po prstih. S-T in v splosnem strokovna javnost so samo obcasen nebodigatreba, ki pa obicajno nima kaksnih posledic na poslovanje.

NeMeTko je izjavil:

Ne vem, ali boste čakali toliko časa, da vam bo kakšen hacker dokazal, da se da vaše dobro znane pomanjkljivosti zlorabiti v velikem slogu? Boste izzivali srečo toliko časa, da boste na koncu morali tudi core business zaustaviti?

Odgovor za tiste, ki izkoriscajo "stanje na trgu" je (zal) se vec regulative - v tem primeru obvezno porocanje o vdorih (mandatory breach notification).

NeMeTko je izjavil:

Po moje se manjka nek inšpektor, ki bi izvajal nadzor nad temi rečmi in bi imel pravico odrediti takojšnjo zaustavitev spletne trgovine, če so ugotovljene bistvene varnostne pomanjkljivosti.

Ce je ogrozena varnost osebnih podatkov, je pravi naslov IP-RS. Glede na to, da je Aljosa negodoval nad prijavo inspektorju, ki mora ugotoviti dejansko stanje, si lahko mislim, da ta pisarna ocitno miga in jim povzroca dovolj stroskov, da so vsaj malo motivirani, da se v prihodnje izognejo njihovim uradnim zahtevam za pojasnila ali celo obiskom.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Enaa + računalnik brez OS (strani: 1 2 3 )

Oddelek: Operacijski sistemi
10615971 (11013) Zvezdica27
»

EnaA.com email naslovi pridejo spammerjem v roke

Oddelek: Kaj kupiti
71657 (1524) Furbo
»

Enaa.com podaljšek

Oddelek: Loža
419424 (8319) Šimpanz
»

Varnost nekaterih spletnih trgovin

Oddelek: Omrežja in internet
443088 (2008) BigWhale

Več podobnih tem