Korporativni odnos prema sigurnosnim incidentima (B.net)

Svi su se raspisali o bazi podataka Bnetovih korisnika koja je objavljena na stranici databaza.org:
http://www.netokracija.com/bnet-baza-korisnika-63734

Radi se o dumpu baze u .sql datoteku.

Ako koristite B.netove usluge, svakako promijenite svoje pristupne šifre, jer neki javljaju da su im objavljene šifre akutalne.

Hacker kaže da je do baze podataka mogao doći svatko tko je zakupio B.netov shareani hosting!

Uz incident s Avalonom prošle godine, kada nisu uopće našli shodnim obavijestili korisnike o prirodi sigurnosnog incidenta, vidimo jednako nemušto i nespremno reagiranje B.neta, gdje se umanjuje incident i kroz neslužbene kanale komunikacije (Twitter) daju paušalne ocjene (“provjerili smo, to su stari podaci”).

Ovakve rekacije pokazuju da uprave poduzeća uopće ne razumiju koncept tajnosti osobnih podataka korisnika. Jer ne radi se samo o zaporkama (koje se mogu i promijeniti), već o informacijama o tome tko su klijenti poduzeća, o njihovim osobnim podacima (npr. adresa stanovanja, e-mail adresa i tko zna kakvi još podaci). Ovime je narušena tajnost odnosa između klijenta i trgovca, a B.net se pravi kao da se zapravo radi o podacima iz javne domene, jer “passwordi nisu više aktualni”!

Korisne pouke za sve koji skupljate bilo kakve podatke svojih korisnika – posvetite njihovoj sigurnosti dužnu pažnju. Ne radi se ovdje samo o zaporkama, već o tajnosti odnosa između vas i vaših klijenata!

Jednostavno prestrasno :)) Sama cinjenica da se lozinke sucaju u plain formatu … zastrasujuce!
Sjecam se prije par godina kad je inside hosting na win platofrmi imao security problem s permissonima, na par dana si na SQL serveru mogao do bilo koje baze i podataka od bilo kojeg korisnika

Užas, sad svi mi koji imamo PayPal (ili neke važnije račune) i koji smo MOŽDA koristili iste lozinke (ja nisam, ali sigurno ima takvih ljudi) se sada mogu naći u problemima. Ja sam sebe našao i moja lozinka je gore ista od prije godinu dana i dalje uredno radi, znači da nisu mijenjane lozinke prilikom integracije Bnet-a u VIP. Govore da je baza stara, pa i da je baza stara 6 mjeseci, šta su i imena stara, i brojevi telefona, i adrese i pristupni podatci za hosting… jesu jesu.

Mogao je sigurno gore do pristupa doći i onaj tko nije imao hosting, ali ukoliko je netko imao hosting (čitao sam na BUG-u) je mogao doći do tih podataka za 5 minuta jer se sve nalazilo na istom server, dok ukoliko nije imao nikakav hosting, trebalo bi nešto više više od 30 minuta. Jadno.

A spremanje lozinki u plaintextu, pa to nema ni jebeni wordpress, to bi trebao imati svaki sustav, pogotovo veći kao što je Bnet-ov, ali ne, vi najbolje znate.