Slo-Tech - Kupovanje spolnih pripomočkov v tim. “sex shopih” je povezano z določeno družbeno stigmo. Ljudem je praviloma neprijetno stopiti v fizično trgovino in kupiti enega izmed bolj ali manj eksplicitnih artiklov. Po drugi strani pa lahko nakup kakršnega koli izdelka iz omenjene kategorije povsem enostavno in praviloma tudi bolj anonimno opravimo preko spleta. Klik ali dva in čez nekaj dni nam poštar v nevpadljivi embalaži dostavi naročeni izdelek na dom.
Ostanejo pa digitalne sledi. Ime in priimek kupca, njegov naslov (za dostavo), kontaktni podatki (telefonska številka, e-naslov) in bančna transakcija. Ter seveda kaj je oseba kupila in kdaj. In ti podatki so občutljivi.
sex-trgovina.si
Anonimni vir nas je pretekli teden opozoril na dve spletni strani (sex-trgovina.si in portia-erotica.com), ki obe uporabljata isto platformo (Wordpress), predvsem pa sta imeli obe enako napako v zasnovi spletne trgovine. Obe spletni strani sta namreč poleg nakupa omogočali tudi registracijo uporabnikov, kar sta sporočali z dobro vidnim gumbom:
V spletni trgovini smo si lahko ustvarili uporabniški račun
Po opravljeni registraciji pa se je zgodilo nekaj... nenavadnega.
Prijava na portal...
Takoj po prijavi na portal, se je namreč na vrhu spletne strani samodejno pojavila Wordpressova administratorska vrstica za dostop do Wordpress nadzorne plošče. Naj dodamo, da za registracijo celo ni bilo potrebno vpisati veljavnega e-poštnega naslova:
Stran je prikazala administratorsko vrstico za dostop do Wordpress nadzorne plošče.
V nadzorni plošči je bilo z nekaj klikanja moč najti dodatek WooCommerce v katerem je bilo mogoče pregledovati naročila in osebne podatke kupcev. Videti je bilo mogoče imena in naslove kupcev, kontaktne podatke (telefon, e-naslov) in seveda katere artikle so kupili, kdaj in po kakšni ceni.
Spletišče je razkrilo osebne podatke kupcev.
Glede na to, da je spletišče omogočalo administratorski dostop, bi se verjetno dalo spreminjati tudi nabor artiklov in predvsem njihove cene. Zlonamerni napadalec bi si lahko na tak način omislil celo kakšen popust...
portia-erotica.com
Enaka pomanjkljivost je bila tudi najdena na spletni trgovini portia-erotica.com. Potrebna je bila samo registracija in prijava v spletno trgovino ...
Najprej se je uporabnik registriral in prijavil:
Prijava na portal...
... in je že bilo mogoče pregledovanje naročil ...
Pregled naročil...
... ki so razkrivala tudi osebne podatke kupcev:
Primer naročila.
Ob tem je potrebno poudariti, da ni govora o vdiranju v sisteme ali o varnostnih ranljivostih v programski kodi. Šlo je zgolj in izključno za napako pri nastavitvah Wordpressa, kar kaže na malomarnost izvajalca, ki je postavil spletno stran.
Informacije o varnostnem incidentu smo prejšnji teden posredovali Informacijskemu pooblaščencu in na SI-CERT. Iz SI-CERT-a so nam nato sporočili, da so upravljavca spletne trgovine o zadevi obvestili, nekaj dni po tem pa še, da jih je upravljavec spletne strani obvestil, da so napako odpravili. Od predvčerajšnjim prijava na omenjeni spletni strani ni več mogoča.
Najbrž bo mnogim stisnilo prpo, tak da bi bilo dobro kakšen sod lubrikanta in par enema kitov na zalogo več nabavit. Jah, kriza je lahko tudi priložnost.
Gremo ugibat kakšen bo naslov v slovenskih novicah?
Pravilno, da obelodanijo Slovenčke ki so tako butasti, da kupujejo 10 do 15 krat precenjene produkte. Aja, so tako potrebni, da ne morejo tri tedne na Ali robo počakat.
Pravilno, da obelodanijo Slovenčke ki so tako butasti, da kupujejo 10 do 15 krat precenjene produkte. Aja, so tako potrebni, da ne morejo tri tedne na Ali robo počakat.
tisti, ki kupujete kitajsko robo, ki skoduje zdravju in okolju ste zame 1000x bolj butasti
Pa saj to ni res..... človek bi pomislil, da se nekdo zajebava!
Pa kaj je z ljudmi narobe, da kar vsem uporabnikom 'ponudijo' administracijo? So Jype-a jemali preveč resno, ko je nakladal o tem, kako community vse porihta? Da bo kdo namesto njih zavihal rokave in stvar doteral do konca?
Kako to, da sami uporabniki trgovine niso ničesar opazili in sporočili upravljavcu? Ali so si raje štepali popuste?
Ali je oba portala postavljal isti izvajalec? Ta si tudi zasluži naziv "Stručko leta"...
@Aqua - kje pa ti misliš, da te štacune nabavljajo kramo? Stavim, da je 90+% "Made in China"
Pa saj to ni res..... človek bi pomislil, da se nekdo zajebava!
Pa kaj je z ljudmi narobe, da kar vsem uporabnikom 'ponudijo' administracijo? So Jype-a jemali preveč resno, ko je nakladal o tem, kako community vse porihta? Da bo kdo namesto njih zavihal rokave in stvar doteral do konca?
Kako to, da sami uporabniki trgovine niso ničesar opazili in sporočili upravljavcu? Ali so si raje štepali popuste?
Ali je oba portala postavljal isti izvajalec? Ta si tudi zasluži naziv "Stručko leta"...
@Aqua - kje pa ti misliš, da te štacune nabavljajo kramo? Stavim, da je 90+% "Made in China"
A ima isti Slo-techovec zdaj doma bazo podatkov o tem, kdo na obali ima HIV, kdo v Sloveniji naroča spolne pripomočke... Tule vidim veliko možnosti za monetarezacijo...
Pravilno, da obelodanijo Slovenčke ki so tako butasti, da kupujejo 10 do 15 krat precenjene produkte. Aja, so tako potrebni, da ne morejo tri tedne na Ali robo počakat.
tisti, ki kupujete kitajsko robo, ki skoduje zdravju in okolju ste zame 1000x bolj butasti
Se dobro, da ni 90 % takoc in tako iz kitajske ...
Pravilno, da obelodanijo Slovenčke ki so tako butasti, da kupujejo 10 do 15 krat precenjene produkte. Aja, so tako potrebni, da ne morejo tri tedne na Ali robo počakat.
3/4 te robe je itak delovno orodje in cena ni prav zelo važna. Amortizacija 2 tedna.
LC1000|Asrock-H470PG|i7-10700K|2x16GB|RTX-3080 EAGLE|W10Pro
new Nintendo 2DS & 3DS XL|Galaxy S24+
Pravilno, da obelodanijo Slovenčke ki so tako butasti, da kupujejo 10 do 15 krat precenjene produkte. Aja, so tako potrebni, da ne morejo tri tedne na Ali robo počakat.
Strupeno plastiko pa pustimo ob strani, ane?
Poglej in se nasmej: vicmaher.si
::
Nauk zgodbe: najcenejši izvajalec ni tudi najugodnejši.
"OZIROM NAS LAHKO TUDI PIKLIČIT" Ako neće ić prodaja sljadoljed, ćemo prodat seksartikelj po visok cena!
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
niso, podizvajalcu so plačali za izdelavo spletne strani, ne za varovanje osebnih podatkov.
Ne poznam dejanskega ozadja v firmi ampak, ce predpostavimo, da v podjetju nimajo znanja za postavitev spletne trgovine, so za to najeli podizvajalca. Torej, ker podizvajalec tu zgleda ne nosi odgovornosti, bi bil pravi postopek podjetja, da se vsaj en zaposleni nauci izdelave spletne trgovine, da bo preverjal podizvajalca?
Btw...ali postavitev spletne trgovine ne vsebuje zascite podatkov?
___________________________________________________
gance hale ale cuzamen
nope, rabijo samo enega zaposlenega, ki se logira v trgovino in vidi kako zadeva funkcionira preden gredo live.
odgovornost za zaščito osebnih podatkov nosi tisti, ki podatke zbira in z njimi upravlja. To pa je trgovina in ne programer, ki je delal spletno stran. Tako odogvornost do strank (pa tudi kazensko za kršitve varstva osebnih podatkov) nedvomno nosi trgovina. Se pa lahko potem trgovina in programer do nezavesti prepucavata zakaj je bilo slabo narejeno.
Trgovina ma v povprečju 2 naročili na mesec (predzadnja slika) ... jaki biznis, itak bodo zaprli
Verjetno so postavili z minimalnimi stroški, pa če kaj prodajo super, če pa ne, pa pač ne. Tekočih stroškov praktično ni, začetni strošek je bil minimalen, vse kar je biznisa je čisti bonus.
Mimogrede, je bilo pa med kupci slučajno videti vsaj eno malo bolj znano osebnost...
Ob tem je potrebno poudariti, da ni govora o vdiranju v sisteme ali o varnostnih ranljivostih v programski kodi. Šlo je zgolj in izključno za napako pri nastavitvah Wordpressa, kar kaže na malomarnost izvajalca, ki je postavil spletno stran.
Tole ni čisto res. Prekršek/XY druge osebe tebe ne odveže krivde za tvoj prekršek. Zgoraj opisano početje (registracija, brskanje po nastavitvah strani, ...) je samo po sebi prekršek. Da to nebi smelo biti mogoče, nikomur ne da odveze.
Točno enako, kot če vhodna vrata v stanovanje pustim na široko odprta. To ne pomeni, da je moje stanovanje nenadoma postalo samopostrežna trgovina. Vsako, ki stopi skozi ta odprta vrata, je kriv vdora.
"Denis Šift s.p." Zelo globoko, če bi delali psihoanalizo, bi verjetno našli povezavo z imenom Denis in prodajanjem umetnih Penisov. Morda je tako obremenjen z njimi, da ni uspel misliti še na varnost strani
Jaka odprava napake, če se ne moreš prijaviti v spletno trgovino. Bogvedi, kaj so rekli kupcem (ki vsi nestrpni želijo naročat), zakaj tega ne morejo.
Če bi se malo potrudila razumet novico bi videla, da lahko kupuješ brez da se prijaviš. Klik na izdelek, vnos podatkov in plačaš. Ne rabiš biti prijavljen.
In očitno se nihče ni prijavljal... dokler se enkrat nekdo ni.
Ahahahaha, pa še v prejšnjih novicah ste govorili, da se samo še manjka, da se razkrijejo imena in priimki kupcev sex shopov... par dni za tem pa tole :D
Pa, da ne bo spet kdo pameten kakšno hekanje je to, pa kako je to neetično. Tole je dobesedno funkcionalnost, ki so jo ponudili na spletni strani pri čisto pričakovani uporabi.
Sem pa mnenja, da za tole pa more odgovarjati pa tudi izvajalec projekta, ker to je pa površnost čez vse meje. Pri nobenem projektu ne more izvajalec naročniku reči to je narejeno kot je treba, sem tudi preveril in stvari delujejo. Ko pa se naredi takale površnost pa zvaliti krivdo na naročnika v smislu, češ saj bi vi morali tudi do konca preveriti... Krivdo nosita oba.
Jaka odprava napake, če se ne moreš prijaviti v spletno trgovino. Bogvedi, kaj so rekli kupcem (ki vsi nestrpni želijo naročat), zakaj tega ne morejo.
Če bi se malo potrudila razumet novico bi videla, da lahko kupuješ brez da se prijaviš. Klik na izdelek, vnos podatkov in plačaš. Ne rabiš biti prijavljen.
In očitno se nihče ni prijavljal... dokler se enkrat nekdo ni.
Ne tečnari, sem pač spregledala ta detajl. Je pa skozi moje oči, to potem samo to, da so ljudje res osli, ki s svojimi podatki ravnajo povsem neodgovorno. Ker se ni treba prijaviti, so še 10x bolj anonimni, a ne. In bližnje sosedstvo ne bo izvedelo, da nakupujejo v seksšopih. Ker tudi po paket gredo v paketomat. Bumbarji.
Točno enako, kot če vhodna vrata v stanovanje pustim na široko odprta. To ne pomeni, da je moje stanovanje nenadoma postalo samopostrežna trgovina. Vsako, ki stopi skozi ta odprta vrata, je kriv vdora.
Nehajte s temi idiotskimi primerjavami z okni in vrati in podobnim sranjem. Niti slučajno ni enako, niti malo!
Prva napaka je že to, da omenjaš stanovanje, ki že v štartu ni namenjeno, da ga obiskuje splošna javnost (spletna stran pa je ravno temu namenjena). Bolj huda napaka pa je, da govorimo tukaj o informacijah in ni nobene povezave s fizičnimi zgradbami, avti in podobnim. Preprosto se ne da delati analogij z drugimi zadevami.
Slo-tech. Tole je kar dober razlog za ustanovitev SINDIKATA.
Potrebno je postavit pravila igre. Izvajalci, ki tako šalabajzasto postavljajo strani nas vse mečejo v slabo luč. Potrebno je postavit STANDARDE in minimalne cene.
Uglavnem nekaj podobnega kot imajo zdravniki, odvetniki itd. pa ker začenjamo z nič lahko mogoče naredimo zadeve proper.
joj, človek niti nima dosti prometa... a ni woocommerce dodatek 50 eur/mesec.... pa še tale podjetnik je s.p. glede na promet in stroške si dela veliko izgubo....
joj, človek niti nima dosti prometa... a ni woocommerce dodatek 50 eur/mesec.... pa še tale podjetnik je s.p. glede na promet in stroške si dela veliko izgubo....
a uporablja kdo izmed vas woocommerce?
V osnovi je Woocommerce zastonj (plačljivi so dodatki in podpora), verjetno je ta verzija zadoščala za prodajo dildotov.
Je naročnik dolžan odgovarjat za takšno šlamparijo? Saj jaz kot naročnik naročam storitev ravno zato, ker ne vem kako se stvari streže.
Stvar pogodbe med naročnikom in izvajalcem. Zadeva je povsem v sferi obligacijskega prava. Medtem ko je odgovornost naročnika (trgovine) glede varovanja osebnih podatkov stvar tudi kazenskega prava.
joj, človek niti nima dosti prometa... a ni woocommerce dodatek 50 eur/mesec.... pa še tale podjetnik je s.p. glede na promet in stroške si dela veliko izgubo....
"Denis Šift s.p." Zelo globoko, če bi delali psihoanalizo, bi verjetno našli povezavo z imenom Denis in prodajanjem umetnih Penisov. Morda je tako obremenjen z njimi, da ni uspel misliti še na varnost strani
Še dobro, da se ne piše Šaft (Shaft)...
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Mimogrede, je bilo pa med kupci slučajno videti vsaj eno malo bolj znano osebnost...
Kako pa ti to veš? Če si brskal po tujih podatkih, vsekakor nisi nobene vrste etični heker.
Na prvem screenschootu, ki sem ga dobil od svojega vira, se je videlo. Seveda sem to zabrisal in tudi ne mislim povedati kdo je bila ta oseba. Še vedno namreč živimo v družbi, kjer so te reči (neupravičeno) stigmatizirane.
Še vedno namreč živimo v družbi, kjer so te reči (neupravičeno) stigmatizirane.
To sicer ne drži in meni ni nič težko potrditi, da so tisti, ki se oklepajo rasističnih prepričanj, najbolj obsedeni z velikostjo penisov, začuda jim je pa tudi najbolj nerodno kupiti podaljšek.
Jah, kriza je lahko tudi priložnost.
