Adatbiztonsági incidens az iWiW-en
Az esetre először a BuheraBlog egyik bejegyzése hívta fel a figyelmet még március 25-én. Akkor a blogbejegyzés, illetve a hozzászólók véleményei alapján az derült ki, hogy egy kisebb URL módosítás következtében könnyedén lehetett olyan üzeneteket megtekinteni, amelyek teljesen ismeretlen személyekhez tartoztak. A hibát az iWiW üzemeltetői még március 25-én éjjel megszüntették.
A rendellenesség létezését - igaz némi késlekedéssel - Szabó Márton, az iWiW vezetője hivatalosan is elismerte. "A hibát az iWiW üzemeltető cég észlelte, külső jelzés alapján. Ahogy korábbi válaszomban írtam, a probléma a rendszer fejlesztése miatt jelentkezett, egészen pontosan egy új, mobil kliensek számára készülő interface release-elése közben. A hibát partnerünk elismerte. [...] Vizsgálatunk eredménye szerint két IP-címről érkezett nem rendeltetésszerű lekérdezés, amely az iWiW-en tárolt levelek maximum néhány ezrelékét érinthette" - olvasható az IT café cikkében. Szabó Márton közölte, hogy számítástechnikai rendszer és adatok elleni bűncselekmény, valamint levéltitok megsértése miatt ismeretlen tettes ellen feljelentést tettek.
Hasonló eset még nem történt az iWiW-en
Titkolóztak
Amellett, hogy bizalmas adatok szivároghattak ki a rendszerből, felvetődött egy másik probléma is. Mégpedig, hogy ezt a biztonsági rendellenességet igencsak nehézkesen ismerte el a cég, és tudomásunk szerint a mai napig nem jelent meg egy közlemény sem az ügy kapcsán (legalábbis a fent említett levelet leszámítva). Mint azt korábban Dajkó Pál az egyik cikkében leírta, már az iWiW illetékes személyeivel való kapcsolatfelvételnek is meg volt a maga kálváriája.
A mostani eset azokat a vélekedéseket támasztja alá, amelyek szerint a hazai cégek, szervezetek jelentős része még nincs felkészülve a biztonsági incidensek megfelelő kezelésére.
4 hozzászólás
Mit jelent a nem rendeltetésszerű lekérdezés? És mennyi az a néhány ezrelék? Ha az iwiw-en vannak 4 millióan, akkor több mint 10000 levélről van szó??
"Szabó Márton közölte, hogy számítástechnikai rendszer és adatok elleni bűncselekmény, valamint levéltitok megsértése miatt ismeretlen tettes ellen feljelentést tettek." Ez ám a jó hozzáállás. Inkább hálásnak kéne lenniük, hogy felfedezték ezt a hibát, és nem rakták ki az adatokat valahová. Mert az milyen már, hogy ők csesznek el vmit és mást hurcolnak meg emiatt. Szánalmas, és egyben garatulálok is a mentalitásért.
"a probléma a rendszer fejlesztése miatt jelentkezett" - hát, ez legalább tökéletes helyzetleírás. Mi más miatt jelentkezett volna? Gagyi a fejlesztés, finomabban szólva: sz@r. És naná, hogy az URL-t esetleges véletlenül elíró "behatoló"-val akarják megfizettetni... kell a nyereség gagyi termékeknél is, sőt. Egyébként Matáv leszármazottakkal kapcsolatban semmi se lep meg. Kerülöm is őket, amennyire csak tudom. Bár nincs egyedül.
Az a lényeg, hogy vegyünk meg persze gondolom nem korrupt módon egy távközlési társaságot. Ha megvettük, akkor szaggassuk szét, szedlyük be a pénzt a néptől, mert úgysem a mi népünk és majd amikor használhatatlan akkor majd úgyis visszavásárolják drágáért. Most a telefonhálózatról beszéltem. Nézzünk körül külföldön 10M ADSL-nél nincs kisebb :-). Hangminőségről nem beszélek, és vannak még MO-on még mindig olyan helyek ahol nincs vonalas telefon. IWIW-szintén zenész. Megvenni, reklám, pénz, a többi nem számít. Ha kiderül, akkor is van tartalék. Pártok adatbiztonsági dolgaira milliókat költ az ország, de egy olyan rendszert amit a rendőrség is használ nem lehet fejleszteni? Magyarország-hu -ról nem is beszélek :-)