Co s nezabezpečeným eshopem?

21. 3. 2014 19:51:04

Zdravím všechny webtržníky,

poprosil bych o vaše názory k určité situaci:

Dejme tomu, že budete mít náhodou přístup k veškerým datům v databázi jednoho z naších největších eshopů specializující se na určitý druh zboží. Nejen seznamy zboží, ale prostě veškerá data - objednávky, platby, affil, slevové kódy, přihlašovací údaje několika tisíc uživatelů i s hesly v plain textu, jejich adresy, emaily, telefony, čísla účtu a podobně.

Dejme tomu, že v dobré víře pošlete email s touto informací a popisem jak tomuto úniku do budoucna zabránit a daný eshop nijak nereaguje. Žádná odpověď, prostě mrtvý brouk.

Jak by jste dál postupovali? ČOI? Policie? !reklama?

21. 3. 2014 19:51:04

https://webtrh.cz/diskuse/co-s-nezabezpecenym-eshopem/#reply1008257

JKHouba

(1 hodnocení)

21. 3. 2014 20:04:19

Asi bych se v tom dál nešťoural, jednou se jim to nemusí vyplatit. Když nemají zájem, tak bych je nechal a sám se tomu shopu vyhnul.

21. 3. 2014 20:04:19

https://webtrh.cz/diskuse/co-s-nezabezpecenym-eshopem/#reply1008256

Lukáš Jurygáček

(26 hodnocení)

21. 3. 2014 20:04:44

Dál nic. To je jejich věc, zda to opraví nebo ne, oni v budoucnu ponesou následky. Maximálně jim znova popište chybu a dál bych to neřešil.

21. 3. 2014 20:04:44

https://webtrh.cz/diskuse/co-s-nezabezpecenym-eshopem/#reply1008255

Registrace

(1 hodnocení)

21. 3. 2014 20:06:09

Upozornil jsi na to? Ano. Pokud s tím nic nedělají, je to jejich problém. Ty můžeš mít svědomí čisté

21. 3. 2014 20:06:09

https://webtrh.cz/diskuse/co-s-nezabezpecenym-eshopem/#reply1008254

Michal Pešat

(2 hodnocení)

21. 3. 2014 20:06:43

pokud je to mimozemský obchod, okamžitě bych to nahlásil, kde se dá, na policii, na uoou atd. protože s nimi mám podobnou zkušenost a pokud zjistí, že jsi na tu chybu přišel, tak na tebe ještě podají TO, víc to nebudu rozepisovat, prostě je v tom vymáchej dřív, než to udělají oni tobě :)

21. 3. 2014 20:06:43

https://webtrh.cz/diskuse/co-s-nezabezpecenym-eshopem/#reply1008253

Lukenzi

21. 3. 2014 20:30:50

Napsal obchodniuspech;1070574
pokud je to mimozemský obchod, okamžitě bych to nahlásil, kde se dá, na policii, na uoou atd. protože s nimi mám podobnou zkušenost a pokud zjistí, že jsi na tu chybu přišel, tak na tebe ještě podají TO, víc to nebudu rozepisovat, prostě je v tom vymáchej dřív, než to udělají oni tobě :)

je to český shop a vím taky mám už podobné zkušenosti :)

Napsal Registrace;1070572
Upozornil jsi na to? Ano. Pokud s tím nic nedělají, je to jejich problém. Ty můžeš mít svědomí čisté

A co těch skoro 10K uživatelů? K těm datům se s největší pravděpodobností brzo dostane někdo jiný, tohle už o svědomí je.

A co když se vám nelíbí, že podobně na tom je i spousta dalších eshopů kde třeba denně nakupujete? Má smysl mlčet a dělat mrtvého brouka taky? Není lepší něco s tím začít dělat?

21. 3. 2014 20:30:50

https://webtrh.cz/diskuse/co-s-nezabezpecenym-eshopem/#reply1008252

Miroslav Pavelek

(1 hodnocení)

21. 3. 2014 20:37:40

napsal bych e-shopu, týden bych počkal, jestli žádná změna tak bych je asi udal :)

a proč? protože 10k uživatelů má "veřejně" dostupné informace a ani o tom neví :)

21. 3. 2014 20:37:40

https://webtrh.cz/diskuse/co-s-nezabezpecenym-eshopem/#reply1008251

Ja340

21. 3. 2014 20:59:11

+A o co jako jde? u mě každý kdo chce tak zná jméno, adresu,telefon , emali, rodné číslo a číslo účtu. Ještě chybí kopie občanky a už mají legálně vše.

21. 3. 2014 20:59:11

https://webtrh.cz/diskuse/co-s-nezabezpecenym-eshopem/#reply1008250

pavelhus

21. 3. 2014 21:34:31

Já: To je naprostá pravda. :-) Všichni varují před zneužitím osobních údajů apod., ale stačí aby člověk podnikal a všichni o tobě zjistí skoro vše. Další super věcí je identifikace podle rodného čísla, když hovoříte s bankou po telefonu. A už vůbec nebudu řešit, že v dnešní době si banky předávají neskutečný množství informací o klientech. Navíc k tomu stačí jeden dobrý známý v bance kde máte účet někoho, kdo o vás chce zjistit jestli a jakou máte hypotéku, půjčky, kolik platíte apod. :-)

21. 3. 2014 21:34:31

https://webtrh.cz/diskuse/co-s-nezabezpecenym-eshopem/#reply1008249

Kovboj

(13 hodnocení)

21. 3. 2014 21:48:20

Když uvidím že soused nezamyká auto, tak co mám dělat jiného kromě toho že mu to řeknu? Mám to oznámit policii, dát to do televize nebo mu to auto "z výchovných důvodů" ukrást? Podle mě ne. Je to jeho riziko.

Otázkou je co znamená "napsal jsem jim a dělají mrtvého brouka". Ten email mohl dojít na stůl nějaké sekretářce, která vůbec nepochopila co píšeš. Zkus najít někoho, kdo je za eshop skutečně zodpovědný a bude chápat o jakém riziku mluvíš.

Jinak by mě opravdu zajímalo o jakém obchodu píšeš. Protože mi vůbec nejde dohromady "jeden z největších eshopů" ve svém oboru a přitom JEN necelých 10 tisíc uživatelů. Pokud to není eshop fungující rok nebo dva tak mi to přijde spíš na nějakou menší speciálku.

21. 3. 2014 21:48:20

https://webtrh.cz/diskuse/co-s-nezabezpecenym-eshopem/#reply1008248

drago

(73 hodnocení)

22. 3. 2014 10:03:48

Pokud to neopraví kontaktuj CSIRT (http://csirt.cz/) budou vědět co dál.

22. 3. 2014 10:03:48

https://webtrh.cz/diskuse/co-s-nezabezpecenym-eshopem/#reply1008247

Lukenzi

22. 3. 2014 10:30:36

S těmi osobními údaji s vámi určitě souhlasím, v dnešní době toho lidé vyžvaní na počkání opravdu strašně hodně, ale na druhou stranu je třeba si uvědomit, že né každý je ovce které nezáleží na tom co všechno se o ní válí někde na internetu nebo která komukoliv o sobě řekne cokoliv. Jsou prostě lidé, kteří si určité informace chrání protože k tomu mají určitý důvod, mimoto nevím jestli jste to postřehli, ale existují i zákony které tyto data chrání.

Krom toho bych doporučil přečíst původní post znovu, protože pochybuji o tom, že by se vám líbilo kdyby někde veřejně ležely informace o tom, kdy jste si a za kolik co koupili, kam byla zásilka doručena a jakým způsobem jste platili.

Jinak na to, že se někde uchovávají vaše hesla v čitelné podobě, říct "A o co jako jde?" o něčem svědčí, zvlášt pokud zhruba 4 z 10 hesel lze použít i na zadaný emailový účet. To není o tom, že někde se válí informace, to je o tom že je ještě nikdo správně nevyužil. Z vaší reakce lze usoudit, že nemáte ani tušení jak se podobné informace využít dají, takže bych prosil o zdrženlivost v dalších reakcích a přeji hodně štěstí do budoucna, obzvlášt pokud používáte například elektronické bankovnictví nebo pokud platíte pomocí některých z platebních bran...

Ještě jednou jsem poslal email na kontakt uvedený v eshopu, druhý na email uvedený ve whois u domény a jestli se nikdo neozve tak to budu řešit dál. Arogance, ignorace a hloupost má taky své určité hranice.

Jméno eshopu určitě neřeknu :) Každopádně jak jsem psal, je to asi největší český eshop specializující se na určitý druh zboží (tedy né největší obecně). Nechce se mi v tom štourat, ale obrat má docela hezký... :)

Použít kluky z CSIRTu mě vůbec nenapadlo, díky :)

22. 3. 2014 10:30:36

https://webtrh.cz/diskuse/co-s-nezabezpecenym-eshopem/#reply1008246

Jakub Hamala

(23 hodnocení)

22. 3. 2014 10:50:12

Kovboj: Srovnání s autem je mimo. Tím, že mu někdo ukradne rádio nebo nebo celé auto nezpůsobí škodu dalším 10 000 lidem.

22. 3. 2014 10:50:12

https://webtrh.cz/diskuse/co-s-nezabezpecenym-eshopem/#reply1008245

zlutejbanan

22. 3. 2014 19:01:38

To, že má nějaký systém v sobě chybu díky které se můžeš dostat k citlivým datům není nic protizákonného.

Jediná osoba která se něčeho dopouští jsi pouze ty a ty pak následně poneseš následky trestního stíhání protože si nevyužíval věc (eshop) běžným způsobem a po odhalení bezpečnostního problému si získal přístup k citlivým datům kde může být oprávněné podezření z toho, že sis tato data stáhl.

22. 3. 2014 19:01:38

https://webtrh.cz/diskuse/co-s-nezabezpecenym-eshopem/#reply1008244

MadMax

(1 hodnocení)

23. 3. 2014 10:21:37

Napsal zlutejbanan;1070840
To, že má nějaký systém v sobě chybu díky které se můžeš dostat k citlivým datům není nic protizákonného.
Jediná osoba která se něčeho dopouští jsi pouze ty a ty pak následně poneseš následky trestního stíhání protože si nevyužíval věc (eshop) běžným způsobem a po odhalení bezpečnostního problému si získal přístup k citlivým datům kde může být oprávněné podezření z toho, že sis tato data stáhl.

Podle § 13 odst. 1 zákona č. 101/2000 Sb. je správce osobních údajů povinen přijmout taková opatření, aby osobní údaje nebyly vystaveny riziku neoprávněného zpracování či zneužití...

23. 3. 2014 10:21:37

https://webtrh.cz/diskuse/co-s-nezabezpecenym-eshopem/#reply1008243