Lubię i czytuję DI, ale tym razem dziennikarska rzetelność uległa finansowej zależności od reklamodawcy, jakim jest HOME.pl, największy provider w Polsce. HOME.pl zawalił sprawę i artykuł zamiast zainteresować się poziomem bezpieczeństwa na HOME.pl próbuje zwrócić uwagę publiki na wątek szantażu.

Eh, te niezależne media....

Ciekawa sprawa. Widze tu dwa watki prawne: wlamanie, szantaz.
W sprawie wlamania, wszystko zalezy od tego czy sad uzna hack.pl za... dziennikarzy. Jesli tak, to moze im ujsc na sucho. Przeciez dziennikarze sledczy na co dzien daja "lapowki", podaja sie za kogos innego, dokonuja kontrolowanych zakupow, robia wywiady z osobami poszukiwanymi przez policjie nie ujawniajac ich twarzy i miejsca pobytu itp. Stosuja w zasadzie dzialania zarezerwowane dla policji, za ktore zwykly czlowiek poszedlby do kicia.

Co do szantazu - to jeszcze ciekawsze. Hack.pl moze bronic sie tak: zdobyli jako dziennikarze newsa, ktory dla nich jest wart 200tys. Sa to koszta ktore poniesli + przewidywane wplywy z reklamy po wyemitowaniu tego newsa. Ale moga zrezygnowac z publikacji materialu, proszac jedynie o zwrot tych kosztow.
To juz niekoniecznie szantaz.

Ale moim zdaniem hack.pl przegial. Zachowali sie co najmniej niemoralnie.

maciek kanski, tak się składa, że jesteś w poważnym błędzie - home.pl NIE REKLAMUJE się na DI, choć robią to akurat konkurenci tej firmy, zatem jakiekolwiek powiązania nie wchodzą tutaj w grę. Zadaniem DI jest spojrzenie na sprawę z dwóch stron, a nie tylko z jednej, co zostało uczynione, wystarczy przeczytać tekst do końca.

Moim zdaniem problem jest wybitnie rozdmuchany ze wszystkich stron:

1. To zadna luka krytyczna, co najwyzej niezbyt trafne przemyslenie ustawien domyslnych.

2. Przypisywanie sobie przez serwis hack.pl autorstwa znalezienia tej "dziury" jest co najmniej smieszne. O tym jak wyglada dostep do statystyk i logow home.pl wie kazdy bardziej znajacy sie na rzeczy uzytkownik serwisu po paru chwilach pracy z home.pl (ja odkrylem to gdzies w okolicach roku 2000).

3. Home.pl przesadza z kwestia szantazu (chyba, ze w korespondencji bylo cos wiecej niz obie strony ujawnily) - praktyka normalna jest, ze hakerzy wchodzac legalnie (o czym dalej) w posiadanie informacji o bledzie proponuja zainteresowanym informacje, antidotum - czesto odplatnie. Dopoki nie ma jawnych deklaracji szantazu ("jesli nie zaplacicie to umiescimy informacje w hack.pl") to trudno nazywac to szantazem. Prawnie byla to zwykla propozycja, ktora home.pl mogl przyjac lub nie. Ale rozumiem home.pl - komunikat medialny o doniesieniu do prokuratury ulatwi tlumaczenie sie klientom.

4. W artykule jest napisane o kontrowersyjnym wejsciu w posiadanie informacji. Moze i kontrowersyjnym, ale trudno powiedziec, zeby nielegalnym. To byly zasoby niezabezpieczone zadnym haslem - zasoby publiczne. Spreparowanie adresu URL (i w tym przypadku najzwyklejsza nazwa katalogu, nie ma tu nawet mowy o parametrach dodatkowych) to zadne zlamanie zabezpieczen. I zadne naruszenie prawa. BTW: Jak sie ma sprawa twierdzenia prawnikow Gemius SA, ze jest inaczej?

Generalnie jednak - to odnoszac sie do ktoregos komentarza, zarzucajacego korupcje - nie widze najmniejszych podstaw, aby uznac artykul za nierzetelny. Autor slusznie koncentruje sie na szantazu, bo tak naprawde szantaz i kompromitacja osob, ktore znalazly luke to jedyny istotny aspekt tej sprawy.

Pozdrawiam i zycze wesolych swiat :-).

a mnie szokuje taka polityka firm (ostatnio czytałem o podobnym problemie) z dziurawymi systemami, która prowadzi do zastraszenia potencjalnie uczciwego programisty, i w efekcie niekontrolowanego wycieku informacji z serwerów, które przeciez zobowiazała się chronić.

W efekcie doprowadzą takimi praktykami do tego, że o lukach bezpieczeństwa we własnych systemach będą sie dowiadywac albo z mediów (z załączona instrukcja obsługi), albo z pozwów poszkodowanych podmiotów.
ew. w chwili, w której nie bedą w stanie uzyskac dostępu do własnych baz danych.

smutne

Ktos tam jeszcze sie pytal czy hack.pl to dziennikarze - zgodnie z Prawem Prasowym - jak najbardziej.

200 tysięcy złotych? W mailu zacytowanym przez DI widnieje kwota 200zł (dwieście złotych). :->

Ale może z kolei zgodnie z prawem podatkowym w związku z tym, że są dziennikarzami powinni mieć zarejestrowaną działalność gospodarczą w rzeczonym zakresie, a może i odprowadzać podatek naliczany na bazie średnich dochodów dziennikarzy w Polsce. Nawet jeśli nie mają dochodu. Co tam - więcej kasy do skarbu państwa!

@tygrys: Bardzo słuszne spostrzeżenie - od kiedy w Polsce separatorem tysięcy jest przecinek!?
Już mają chłopaki z hack.pl dobrą linię obrony jak by home.pl próbował podskoczyć ;-)

hacking.pl? czy to nie ten sam, który niedawno opublikował na swoich łamach "newsa" o rzekomym włamaniu platyny na stronę jakichś kibiców?

a może nawet autor tych "newsów" to ta sama osoba?

dla mnie to kolejna odsłona wojny wiadomo jakiej

Sprawa home.pl jest znana od dawna. To stary system i adminom nie chce sie aktualizowac wszystkiego, bo jest to dosc bolesne. Bylo to poruszane na roznych watkach kiedy to klienci chcieli mod_rewrite, a przerobiony przez home.pl apache i opublikowany jako IdeaWebSerwer nie obsluguje go.

Tutaj wyraznie widac jak Jurczyk probuje wykorzystac okazje i rozreklamowac sie za free cudzym kosztem.
Wyborcza o tym pisze, DI tez, pare innych portali tez. Z artykulu mozna wysnioskowac ze biedne home padlo atakom hakerow.
Juz widze jak admini siedza i analizuja minuta po minucie live wszystkie logi i usuwaja usterki.

Innymi slowy: Jurczyk i spolka dostali w oba policzki piescia i farbuja je teraz zamiast pokazac siniaka.

Nie było żadnej luki w zabezpieczeniach.Włamali sie używając brute-force a potem szantażowali home.pl

polish hack wars:D

laming.pyly przemilczę, @qwaz dobrze piszesz

200tys za coś o czym każdy wie to trochę dużo, więc panowie z hack.pl się nie popisali, to czy była krytyczna jest względne, moim zdaniem była krytyczna, bo można ją wykorzystać w krytyczny sposób. Sprawa trochę się rozdmuchała, przed chwilą na rmfce tez to leciało:D

Chcieli 200 tys. Jakby chcieli 200 PLN, to by nie pisali trzech zer po przecinku.

z hack.pl:
"Dalej wyszukałem wszelkie wywołania plików w tym katalogu, i doszedłem do strony w której użytkownik dostawał potwierdzenie o poprawnym zalogowaniu. Po otworzeniu tej strony okazało się, że mam pełen dostęp do panelu administracyjnego http://www.men.gov.pl - mogę edytować każdą treść przez ich własny panel cms."

Państwo wybaczą ale na mój gust to jest luka krytyczna, a to że jak piszecie jest znana od dawna to tylko świadczy o ignorancji administratorów.

Co do kwesti 200,000 zł