Vlákno názorů k článku
E-shop na dálniční známky měl bezpečnostní problémy, unikly osobní údaje [AKTUALIZOVÁNO]
od Danny - Zeptam se mozna hloupe, ale kdo zucastnene nutil...
-
Zeptam se mozna hloupe, ale kdo zucastnene nutil k tak sibenicnim casum, k casovemu stresu a nevyspani se? Proboha, vzdyt si ty terminy i cile stanovili zucastneni sami. Nikdo je k tomu takto divoce nenutil. Omezeny cas a presto se vyviji defacto dve platformy soubezne. Navic selhalo PR akce, ktere to do medii v hlavnich zpravodajskych relacich vydavalo jako hotovou pouzitelnou vec. Stacilo rict, ze jde o nejake preview, do ktereho se nemaji strkat realne data. Ale to by asi nevypadalo marketingove tak dobre. Z toho co jde vycist se honil termin za kazdou cenu - pry o vysledcich pentestu vedeli, ale proste spechali s releasem.
Nejake drobne chyby? Akceptovatelne. Ale kompletni data-leak? To je asi chyba uz nekde v samotnem navrhu. Zvlaste s ohledem na vyse uvedene, kdy do toho lide duverive cpali realne data...
A hlavne by bylo dobre vzit si ponauceni - ze je lepsi oddalit vydani, nez za kazdou cenu verejne vyjit s release, kde sami vime o zavaznych chybach - a jen doufame, ze si jich nikdo nevsimne. Dle hesla "better safe than sorry".
-
Existenci problému potvrzuji. Krátkou dobu po spuštění existovala možnost dostat se k datům využitím části jednoho front-endu v druhém front-endu. Dejte nám prosím trochu času to dořešit.
Moc všechny prosím o fér hodnocení situace. Bavíme se tu o lidech, kteří dvě noci nespali, aby ukázali, že jim záleží na používání našich společných peněz. Ti samí lidé do tří ráno jeden druhého budili, aby kontrolovali, že data jsou již v bezpečí.
Obrovský dík všem, kteří se k tomu postavili čelem -- upozornili na problém, navrhli řešení, potvrdili, že je to vyřešené.
-
A pravděpodobně proto byla z provozu ReactJS verze provozovaná na https://ferznamka.cz zcela odstavena. Problém neopravili, jen to vypnuli. Nyní je zde pouze přesměrování na verzi vytvořenou v uzavřeném komerčním Kentico EMS, která je na adrese https://fairznamka.cz .
Vyjádří se k tomu také někdo z Actum? Pan Vondráček se ke vzniklému problému viditelně čelem moc nepostavil a k incidentu se příliš nevyjadřuje. Asi po vzoru z jiných komerčních projektů, kde se před podobnými věcmi strká hlava do písku.
-
Přesně jak píšete, hlavně šlo PR všech zúčastněných. Laická veřejnost a média si to představují tak, že se na 18 hodinu sjelo do Prahy pár "šikovných hlav" (60 vývojářů/designerů apod.) a začali tvořit. A dokonce vyrobili 2 e-shopy, takže možná ušetřili 802 miliónů ;-)
Vzhledem k tomu, že doména ferznamka.cz byla registrována už 17. ledna, tak to asi nebylo tak sluníčkové jak to vypadá.
Nejdéle od vyhlášení hackatonu se určitě prováděly přípravné práce, rozvaha co se vlastně spíchne, v jakých technologiích, z jakých existujících částí to slepíme, aby to vypadalo, že "12 ze 14" funkcionalit je hotovo.
Ono není hotovo a i přiznávají, že to sledují a "ladí"...jasně deklarovali, že bude přes víkend hotovo, tak to má být hotovo. Na opravdovém hackatonu nebo soutěži v programování doběhne čas, "dáte ruce z klávesnice" a jde se hodnotit, nebo ne?
Dva e-shopy - kdo by dělal dva e-shopy v takovém čase? Nesmysl, měli to jako rezervu, když to neklapne. Kupodivu to neklaplo, tak přepnuli směrování na naklikanou verzi v Kentico, připravenou ještě možná předem. A že tam možná nešlo narychlo doplácnout modul na hledání již evidovaných SPZ? To je jedno, hlavně, že se něco na doméně rozsvítí.
ZDARMA: Kentico bude odteď zdarma? Licence na ALPR bude Camea taky rozdávat na počkání? ABRA - nasadí se sama zdarma? Microsoft Azure Cloud zdarma? (Mimochodem chtěl bych slyšet ten řev "geeků" a pirátů, že proboha "Microsoft").
V porovnání s požadovaným systémem je to prostě Potěmkinův e-shop se vším všudy a fér to tedy nebylo a není.
-
Tak nějak.
A to v těch 401 Mega je ještě 4 roky provozu se vším všudy včetně trojjazyčného call centra.
Ta prezentace "za víkend a zdarma státu ušetříme 400 Mega" je podpásovka a povede jen k tomu, že stát a veřejnost budou mít dojem, že za software není nutno platit, dá se to spíchnout přes víkend ta pár pizz.
Teď je potřeba mezi nulou a 401 najít odpovídající cenu.
Bojím se, že to bude (nezapomeňte na ten provoz a sankce) blíž těm 401 než 0.
A ještě udělali PR Babišovi!28. 1. 2020, 05:51 editováno autorem komentáře
-
Z dnešních mediálních vyjádření Tomáše Vondráčka bohužel nic takového nevyčtete. Namísto veřejné sebereflexe a přiznání zásadního bezpečnostního průšvihu v podobě úniku osobních dat jsme svědky zametání problému pod koberec, vypnutí jedné ze dvou vyvinutých aplikací v reakci na incident přiznáno nikde nebylo, naopak se na facebooku tvrdilo, jak to je opravené. Tedy lež.
Chyby jsou přirozené, ale v dnešní době je důležitá i reakce na zjištěné incidenty. A tam protagonisté akce bohužel viditelně selhali. Omluvenkou ani nemůže být fakt, že dva dny nespali. Cíle jste si stanovili sami. Pokuď má být řeč o FÉR aplikaci, nelze zavírat oči nad tím, že se o takovém bezpečnostním incidentu neinformuje.
-
nebylo šťastné rozhodnutí to pouštět a nechávat tam zadávat osobní data nebo data jakkoliv persistovat. Za víkend se udělala úžasná práce, má to obrovský virální dosah, ale nebudeme si lhát do kapsy, verze která vznikla je chaos, nesplňuje základní předpoklady pro formální validace, jedná se pouze o PoC, demoverzi a tak jí i chce prezentovat.
-
já to vidím naprosto stejně.. "bárta" si tu snaží naprosto LACINE nahrabat nějaké body na tom, že bude kritizovat situaci, kdy vy naprosto šibeničním a zcela NEDOSTATECNEM čase nějaká tlupa nevyspalých jedinců (i pod časovým stresem) něco vytvořila.. jo.. kdo čekal, že to bude bez chyby, byl totální trotl.. samo, že že to nemůže být po 3 dnech dokonalé.. ale kdyby na to měli tři týdny, tak to dokonalé a vychytané určit ěbude..
a bártovi bych poradil, ať se svýma kritickýma kecama táhne a nejrpve si zkusí sám něco podobného (tři dny bez pořádného odpočinku) naprogramoat - co normálně by mu zabralo tři týdny.. a uvidíme, kolik tam naseká chyb.
-
No jo, udělat prototyp za 2 týdny (a nebudu říkat za 2 dny, to je nesmysl, copak je vývoj SW závodem přetížených vývojářů?), který negarantuje nic, to se dá, ale ostrá verze dotažená do detailu, otestovaná a splňující všelijaké technické, bezpečnostní, provozní, ... požadavky, to už je práce na dlouhé měsíce. Ale ani onen (přiznaný?) prototyp neomlouvá postup vedoucí k úniku dat.
Je dobře, že se to podělalo, aspoň jde vidět, že takhle se software nedělá. To radši ten předražený, ale koncepční SW vytvořený vyspanými vývojáři. -
Ano, tak to funguje. Někdo , netuším zda by se dalo dohledat kdo, vypustí do "mediálního prostoru" informaci o údajném "tunelu" při projektu elektronických dálničních známek.
Nazve to silně dehonestujícím způsobem jako (nějaký obyčejný) e-shop. Jestli jenom z hlouposti nebo záměrně ?? Záměr je mi bližší , ale hlouposti je tolik...
A pak už to jede... Kritické myšlení je něco, čeho se člověk odváží maximálně v soukromí, politici a novináři ani to ne. A jsme masírování , že všeci kradnú, vynoří se ?(až teď)? pan Vondráček , který to udělá "zadarmo" , AB místo aby si nechal odstup se tetelí jak malé dítě.
Jak moc bylo těch 401M "přestřelených" nedokážu odhadnout, určitě tam nejaká "vata" byla (pár desítek procent možná, násobky to určitě nebyly). Nějaké informace na sfdi.cz jsou , ale "ďábel se skrývá v detailech".
Myslím, že jde o další z mnoha ukázek , že boj s korupcí a častěji s údajnou korupcí má , podle mne výrazně, vyšší náklady než jsou potenciální škody skutečné korupce.
Rekonstrukce D1, dálniční mýto, ... , je mnoho příkladů jak dokáže být stát neefektivní nikoliv navzdory ale ZÁSLUHOU zákona o veřejných zakazkach. -
Doporučuju poslechnout si rozhovor s Michalem Bláhou na DVTV. Vysvětluje tam mj., že žádnou komerční firmu by nenapadlo platit si dedikované trojjazyčné call centrum na tak triviální věc jako je koupě dálniční známky. Stát si mohl objednat službu nějakého existujícího call centra a jen jim dodat vlastní skript.
-
10x, jo? Čtyři roky provozu, to máte 10 Mega za rok a máte platit i trojjazyčné call centrum. Za ty prachy skoro neuděláte ani tohle, o softwaru, serverech, supportu nemluvě, na to vám už nezbude ani koruna.
To máte z té novinářské představy, že je jen o vytvoření nějakého e-shopu.29. 1. 2020, 06:57 editováno autorem komentáře
