Helpdesk komputerowy

[kamul]

3 minuty temu, pumex1 napisał(a):

Potężny wyciek danych. A co w tym najbardziej zaskakujące - sprawdzanie danych w bazie rządowej. Czyli sami się przyznali, ze sami mają te dane????  https://next.gazeta.pl/next/7,151243,29822833,wielki-wyciek-danych-polakow-uderzy-rowniez-w-firmy-do-czego.html#s=BoxOpMT

Nie, raczej to zadanie dla obywatela, podaj nam swoje credentiale, my Ci zwrócimy info, że są bezpieczne i zachowamy, żeby w przyszłości porównywać, czy są bezpieczne 

[pumex1]

5 minut temu, kamul napisał(a):

Nie, raczej to zadanie dla obywatela, podaj nam swoje credentiale, my Ci zwrócimy info, że są bezpieczne i zachowamy, żeby w przyszłości porównywać, czy są bezpieczne 

Znaczy się skrzynka Dworczyka była w bezpiecznych rękach? 

[FOR CVT]

2 godziny temu, pumex1 napisał(a):

Potężny wyciek danych

 

 

Duzy holenderski bank zablokowal visy jezeli miales subkonto w polskim oddziale

Sprawa jest raczej powazna, nie smiechowa

 

tapatalked

[pumex1]

6 minut temu, FOR CVT napisał(a):

 

 

Duzy holenderski bank zablokowal visy jezeli miales subkonto w polskim oddziale

Sprawa jest raczej powazna, nie smiechowa

 

tapatalked

Akurat ING nie jest oddziałem  Ale nie mam tam nic, więc luz. 

[aflinta]

9 godzin temu, pumex1 napisał(a):

Potężny wyciek danych.

Raczej nie. 

https://niebezpiecznik.pl/post/wyciek-z-wielu-serwisow-ktorego-nie-bylo/

[jpol]

Patrząc na liczby, to raczej dość potężny. Ale rozproszone (raczej także w czasie) źródło jakoś nie pozwala wpisywać się w histeryczną narrację, gdzie to globalna - niezwykle bogata - korporacja została pokonana przez nieznanych sprawców i będzie o co najmniej 7,5% mniej bogata.

[pumex1]

19 minut temu, aflinta napisał(a):

Raczej nie. 

https://niebezpiecznik.pl/post/wyciek-z-wielu-serwisow-ktorego-nie-bylo/

Artur, czyli że to podpucha na podanie loginów i haseł "szpecowi od respiratorów"?

 

[skwaro]

26 minut temu, pumex1 napisał(a):

Artur, czyli że to podpucha na podanie loginów i haseł "szpecowi od respiratorów"?

 

Też nie. Żeby sprawdzić czy Twoje dane wyciekły nigdy nie podajesz hasła, tylko login lub email

[pumex1]

11 minut temu, skwaro napisał(a):

Też nie. Żeby sprawdzić czy Twoje dane wyciekły nigdy nie podajesz hasła, tylko login lub email

Tak, ale logujesz się profilem zaufanym - czyli udostępniasz/łączysz swoje dane

 

[skwaro]

8 minut temu, pumex1 napisał(a):

Tak, ale logujesz się profilem zaufanym - czyli udostępniasz/łączysz swoje dane

 

Nawet logując się nie podajesz im swojego hasła, tylko jego nieodwracalny skrót, tzw.  hash, co powoduje że nie mogą go poznać. Przynajmniej nie w prosty sposób, jeśli stosujesz się do podstawowych zasad i nie masz hasła typu Kazik12. 

[pumex1]

10 minut temu, skwaro napisał(a):

nie masz hasła typu Kazik12. 

ale Kukiz15? 

[Orear]

Przecież ten njus nic nie mówi.

Zbiór haseł i loginów do czego? Jeśli do kont bankowych to trochę grubo.

Ale jak do aplikacji mObywatel... to jeśli komuś potrzebna data wygaśnięcia mojego OC w Subaru to mogę nawet tu napisać. xD 

[skwaro]

15 minut temu, pumex1 napisał(a):

ale Kukiz15? 

Z takim możesz się tłumaczyć że narobiłeś głupot bo przegiąłeś wieczorem z alko

[rutra80]

40 minut temu, skwaro napisał(a):

Nawet logując się nie podajesz im swojego hasła, tylko jego nieodwracalny skrót, tzw.  hash, co powoduje że nie mogą go poznać. Przynajmniej nie w prosty sposób, jeśli stosujesz się do podstawowych zasad i nie masz hasła typu Kazik12. 

Wyciek ma pary email+hasło, ta rządowa baza nawet podaje ci fragment hasła! Co innego jeśli mają adres skwaro@gmail.com z hasłem a co innego jeśli po zalogowaniu profilem zaufanym mogą go jeszcze przypisać do konkretnego obywatela.

[skwaro]

9 minut temu, rutra80 napisał(a):

Wyciek ma pary email+hasło, ta rządowa baza nawet podaje ci fragment hasła! Co innego jeśli mają adres skwaro@gmail.com z hasłem a co innego jeśli po zalogowaniu profilem zaufanym mogą go jeszcze przypisać do konkretnego obywatela.

Wiem co mają w bazie, chodzilo mi o to, że przy logowaniu nie dostają Twojego hasła. A jeśli naiwnie myślisz że nie są w stanie bez Twojego logowania profilem zaufanym powiązać obywatela z kontem...

[rutra80]

Ale co innego jak jesteś na celowniku, wtedy jeśli się nie pilnowałeś w przeszłości wiadomo że mogą wiele szybko załatwić, a co innego jeśli robi się masowe żniwa i rybki same wpływają w rządowy phishing.

[skwaro]

Godzinę temu, rutra80 napisał(a):

Ale co innego jak jesteś na celowniku, wtedy jeśli się nie pilnowałeś w przeszłości wiadomo że mogą wiele szybko załatwić, a co innego jeśli robi się masowe żniwa i rybki same wpływają w rządowy phishing.

Nazywanie tego phishingiem jest grubą nadinterpretacją. Raz, że takie wycieki danych możesz zweryfikować w wielu miejscach i serio polecam to raz na jakiś czas robić. Tylko koniecznie w sprawdzonym miejscu, żeby się nie stać ofiarą późniejszego spamu. Dwa, rządowy CERT ma prawny obowiązek zajmować się takimi sprawami, a logowanie profilem zaufanym pozwala uchronić się przed botami, które by próbowały te dane wyciągnąć. Baza podaje fragment hasła, żebyś wiedział które z Twoich haseł wyciekło, i żebyś wiedział że masz je natychmiast zmienić. Ludzie, którzy te dane zebrali, działają w złej wierze i mają pełne dane, dużo więcej niż widzisz w tej bazie. Bo te dane pochodzą z malware, poinstalowanych po komputerach ludzi. Tam gdzie się logowali, tam mają wyciek danych. Tylko taki malware zbiera znacznie więcej niż tylko login i hasło. Dlatego zarzucanie CERTowi, że działa w złej wierze w takiej sytuacji jest zazwyczaj mocnym niezrozumieniem problemu. 

Edytowane 1 Czerwca 2023 przez skwaro

[aflinta]

9 godzin temu, rutra80 napisał(a):

a co innego jeśli robi się masowe żniwa i rybki same wpływają w rządowy phishing.

Po co rządowi taki mechanizm? Przecież mają Twój numer PESEL, e-maila i numer telefonu - te dane w profilu zaufanym już są powiązane. Po zalogowaniu możesz wyszukiwać dowolne ciągi tekstowe - nigdzie nie jest napisane, że masz swojego maila wpisać, może to być równie dobrze mail ministra Dworczyka  Owszem, wymóg logowania jest moim zdaniem zbędny (bo są serwisy udostępniające te same dane bez takiej potrzeby), ale widocznie nasze rządowe serwery nie są przygotowane na większe obciążenie botami 

[skwaro]

Dodatkowe informacje od CERT, poczytajcie:

https://cert.pl/posts/2023/05/wyciek-stealer-2023/

Sami udostępnili adres strony zewnętrznej do weryfikacji wycieku dla tych, co się boją logować...

Edytowane 2 Czerwca 2023 przez skwaro

[jpol]

20 minut temu, aflinta napisał(a):

Przecież mają Twój numer PESEL, e-maila i numer telefonu

 

Wszystkie?

[skwaro]

22 minuty temu, jpol napisał(a):

 

Wszystkie?

Tak, te dane dla nich zbierają operatorzy

 

Edit:myślałem że mowa o telefonach, sorki

Edytowane 2 Czerwca 2023 przez skwaro

[aflinta]

16 minut temu, jpol napisał(a):

Wszystkie?

Oczywiście, że nie - jeżeli wielu używasz. Skąd jednak mają wiedzieć, który mail dodatkowy jest Twój? Ja sprawdziłem kilka maili, ale żaden nie był mój - skąd automat ma wiedzieć? Przypisze wszystkie do kręgu moich zainteresowań? Po co? Są inne metody śledzenia. 

[rutra80]

Pokazywanie fragmentu hasła to totalnie zła praktyka i jest kompletnie zbędne - hasło do danego maila masz jedno. Tym samym konieczność logowania profilem też zbędna, są inne sposoby radzenia sobie z obciążeniem.

[aflinta]

Nie bardzo rozumiem co ma jedno z drugim wspólnego?

[jpol]

1 godzinę temu, aflinta napisał(a):

Przypisze wszystkie do kręgu moich zainteresowań? Po co?

 

Po co, to się okaże gdy będzie potrzebne.

 

Np. do znalezienia powiązań albo innego podejrzanego. Jeśli służby będą miały dane, to skorzystają z nich, gdy przyjdzie potrzeba i pomysł na ich wykorzystanie.

 

A jak sprawdzałeś obce konta, to i jeden paragraf kk pewnie da się do tego naciągnąć (zwłaszcza, że rządowy system podaje część hasła ).