Treść jednego z listów, z 18 grudnia 2008:

Witam, dziś dostałem z netartu maila z informacją o przymusie zmiany hasła. Okazuje się także że wszystkie hasła do wykupionych serwerów zostały wyłączone i żeby móc w ogóle cokolwiek zrobić trzeba je wszystkie zmienić. Nie było wcześniej żadnych informacji na ten temat - nie można się było zatem do tego przygotować. Jest to robione dodatkowo w momencie największej zadyszki firm - w okresie przedświątecznym. Uważam to za skandal. Brak polityki informacyjnej w takiej firmie, jak netart, uważam za skandal!

Nasz Czytelnik ponadto przesłał redakcji DI treść wiadomości od firmy NetArt, której fragmenty cytujemy poniżej:

Informujemy, iż od 18.12.2008 r. NetArt wdraża nową politykę bezpieczeństwa w dostępie do serwerów Active, która ma na celu zwiększenie bezpieczeństwa Państwa danych.

Z myślą o poprawie bezpieczeństwa wprowadziliśmy nową funkcjonalność w panelu do zarządzania serwerem Active.admin pozwalającą na pomiar siły wprowadzanych haseł. Jest to informacja o odporności hasła na próby jego złamania, dlatego zachęcamy do weryfikacji obecnie wykorzystywanych haseł do serwera, baz danych i kont poczty elektronicznej. Jednocześnie zalecamy cykliczną zmianę haseł dostępu do poszczególnych usług.

Od 18.12.2008 r. wszystkie hasła dające dostęp do Państwa usług muszą składać się z minimum 8 znaków oraz zawierać przynajmniej jedną cyfrę lub znak specjalny, dwie duże i jedną małą literę.

Mając na uwadze bezpieczeństwo usług dotychczasowe hasła do Państwa serwerów zostały unieważnione i za ich pomocą nie można zalogować się do serwera: XXX.nazwa.pl, XXX.nazwa.pl, XXX.nazwa.pl.

Brak dostępu do serwera z wykorzystaniem dotychczasowego hasła dotyczy:

- dostępu przez FTP do serwera z konta głównego (o loginie XXX, XXX, XXX),
- usługi "Konta webmastera",
- dostępu do panelu do zarządzania serwerem Active.admin.

W celu wygenerowania nowego hasła dostępu do serwera należy zalogować się do konta o loginie 'XXX' w Panelu Klienta NetArt (https://www.nazwa.pl/Logowanie.html) i w sekcji Twoje serwery, w szczegółach serwera wprowadzić nowe hasło.

W powyższej sprawie Dziennik Internautów skontaktował się z NetArt. Chcieliśmy zweryfikować, czy sytuacja faktycznie miała miejsce, dlaczego NetArt unieważnił hasła dostępowe wszystkim użytkownikom, czy przeprowadzone działania miały związek z jakąś luką bezpieczeństwa oraz dlaczego klienci nie zostali powiadomieni odpowiednio wcześniej.

NetArt: chcemy chronić klientów

Na nasze pytania odpowiedziała pani Beata Mosór z Działu Marketingu i Public Relations. Pani Mosór podkreśla, że NetArt nie dokonał zmian haseł klientów, a przeprowadzona akcja polegała na unieważnieniu dotychczasowych haseł dostępu do serwerów. "NetArt nie ingeruje w hasła swoich klientów" - powiedziała Beata Mosór.

Według rzeczniczki NetArt unieważnienie haseł i związany z tym obowiązek nadania nowych został wprowadzony po wcześniejszym przesłaniu wszystkim użytkownikom serwerów stosownej informacji. Podobny komunikat pojawił się również w panelu do zarządzania serwerem Active.admin. "Informacja dotarła do wszystkich zainteresowanych osób" - stwierdza Beata Mosór.

Na pytanie Dziennika Internautów, kiedy informacje zostały wysłane użytkownikom Pani Mosór określa, że było to "18.12.2008 w godzinach wczesnoporannych". Wydaje się więc, że klienci nie zostali uprzedzeni o zmianach, a poinformowani już po ich wprowadzeniu (lub w trakcie).

Beata Mosór zaznacza, że "akcja ma na celu ochronę klientów NetArt przed kradzieżą haseł przez osoby trzecie". Ponadto jej zdaniem weryfikacja "siły" haseł głównie chroni przed atakami typu słownikowego. Przyjęte rozwiązanie faktycznie może całkiem skutecznie takim atakom zapobiegać.

Działania nie miały związku z luką bezpieczeństwa

Ważną informacją jest również fakt, że wprowadzone działania nie były związane z jakąkolwiek luką bezpieczeństwa systemów NetArt. Na pytanie, czy spółka w jakiś sposób zamierza wynagrodzić klientom utrudnienia w dostępie do danych na kontach, pani Mosór dyplomatycznie odpowiada: "Zakładamy, że początkowy dyskomfort niektórych użytkowników (mniej świadomych zagrożeń płynących z korzystania z mało bezpiecznych haseł) zostanie zniwelowany przez korzyści płynące z większego bezpieczeństwa usług."

Na zakończenie rzeczniczka NetArt dodaje:

Zachęcamy wszystkich czytelników do analizy używanych w różnych systemach haseł. Dla wygody większość społeczeństwa stosuje ten sam kod PIN do wielu kart bankomatowych, telefonów komórkowych itd. Podobnie z usługami internetowymi, do wielu usług dla wygody ustala się to samo hasło (poczta, konto bankowe, konta w portalach aukcyjnych, konta w serwisach społecznościowych) i w chwili, gdy hasło takie zostanie przejęte przez osoby trzecie to w niebezpieczeństwie znajdują się wszystkie usługi.