To dává smysl:
státní správa: "Unikla vám data."
postižená firma: "Data pocházejí z úniku před platností GDPR."
SS: "Ale je tam deset procent mailů, které v minulém úniku nebyly."
PF: "Data pocházejí z úniku před platností GDPR."
SS: "A u poloviny zbylých mailů jsou jiná hesla než minule."
PF: "Data pocházejí z úniku před platností GDPR."
Jo, to bude fungovat.
Vaše osobné údaje majú svoju hodnotu to si asi uvedomujete.
Aj to ze sú vašim vlastníctvom, aj preto sú osobné.
Takže aj regulácia smeruje k tomu aby ste nad nimi mali aspoň akú takú kontrolu.
Je fér keď vám poskytovateľ služby zmysluplne povie čo o vás uchováva a na co to používa. Áno banka vie o vás sakra veľa čo vyplýva z natury služieb ktoré poskytuje. Ibaže banka sa zaväzuje tieto informácie chrániť a používať len za účelom správy vašich peňazí podľa zákonom určených pravidiel čiže ich ďalej nevyužíva ako akúsi komoditu. Google a Facebook sú na opačnom konci spektra keď vám natvrdo povedia že ste tovar a je na vás či budete súhlasiť. Napr. Google dáva aj akúsi možnosť opt out. Eshop je niekde v strede. Potrebuje vaše údaje koli billingu a delivery. Pýta si vaše povolenie pre marketing ktoré nemusíte dať. No a Právo na zabudnutie tu bude aj koli podobným situáciám ako bola táto. Z nejakého dôvodu už neverím nejakej službe a nechcem s nimi mat nič spoločné tak im mám právo povedať zbohom. Znižujem tým svoj attack surface pretože a tým uzavrem slučku osobné údaje majú svoju hodnotu. Toto je však na sakra dlhšiu debatu.
Taky nejsem expert, ale tohle mi přijde prostě v 21. století šílené. Všechno se digitalizuje, což je samozřejmě dobře, a najednou má firma jako je Mall, která má tisíce faktur denně, všechny ukládat do PDF a nebo dokonce tisknout? To jako fakt? A jediný důvod bude, že zákazník nechce, aby měl uložené email a telefon? A bude to ten samý zákazník, o kterém např. jeho banka ví kdy, kde a kolik utrácí (platbní karty), jeho operátor ví s kým volá, kde a s kým se pohybuje? A to nemluvím o službách jako je Google nebo FB. Asi mi uniká nějaké zásadní bezpečnostní riziko, ale přijde mi to trochu na hlavu.
Aby bylo jasno, tak mi na tom hlavně vadí to, že tyhle nesmyslné požadavky na pseudo ochranu osobních údajů (smažte mojí adresu a faktury vytiskněte) jenom všechno zbytečně prodražují. Jak říkám, nejsem expert, ale jak se řeší mazání údajů v zálohách? To snad ani nemá ekonomicky únosný řešení, ne?
Jenže ne každý má na to paměť. Pamatovat si 50+ hesel je pro většinu lidí nereálné.
Na to nemá paměť prakticky nikdo. Proto existují správci hesel.
Chcete-li se spolehnout na svoji paměť a nikoli externí nástroj
Nechci. Já se chci přihlašovat bezpečně.
ideálně tam kde je to potřeba to tlačit spíše k vícefaktorové autentizaci.
K vícefaktorové autentizaci opět potřebujete nějaký nástroj. Dvoufaktorová autentizace, u které je jeden faktor veřejně známé heslo, je jednofaktorová autentizace.
Když se vám někdo dostane k objednávkám v e-shopu, je to sice špatné, ale v zásadě je to jen "nepříjemnost".
Je to dost vážná nepříjemnost. Zná mé jméno, adresu, e-mail, telefon, nákupní zvyky. Informace o tom, že si někdo nedávno koupil novou televizi, počítač, vybavení kuchyně, to vše spolu s adresou – to může být pro někoho hodně zajímavé.
Hele, mě je to fakt úplně ukradený. Prostě jsem něco pro osobní potřebu udělal, hodil to na github a dál mě to nezajímá. To že jsem hodil odkaz sem do diskuze je jen takový možný bonus pro ostatní, nic víc. Nemám žádné poplatky z použití. Když to nikdo nebude používat, tak prostě nebude, já do toho rozhodně nikoho nutit nebudu.
Nevím, kde jsi přišel na to že se lidi bojí o bezpečnost - lidi se bojí o to, že Mall lže v tom svém formuláři, stejně jako lhal při všemožných vyjádřeních. Sami imho pořádně neví, co se stalo, tak je oprávněná obava že budou dezinformovat i ohledně toho komu všemu hesla unikly. Tyhle názory si necucám z prstu, to píšou i lidi přímo v téhle diskuzi.
Jinak mi psali na mail dva lidi, že se jim to hodilo, že tam našli svůj email a ať jim pošlu i heslo co jim uniklo, aby věděli co maj změnit, takže minimálně dvěma lidem to užitečné bylo. Ale i kdyby nebylo, tak pro mě to těžko něco mění.
Při vší úctě. Kolik lidí z 1 000 si podle tebe bude kontrolovat ten kód? Kolik lidí bude schopno, nebo ochotno? Kolik z nich má dostatek znalostí, aby sami sebe přesvědčily, že ten kód je všechno, co se vykoná?
Rozuměj... Nedává to smysl. Člověk, co se tak bojí o svoji bezpečnost, že nevěří Mallu bude věřit neznámému scriptu? Někam má zadat svoji mailovou adresu, o kterou se bojí? Má někde něco prověřovat a přesvědčit sám sebe, že toho ví dost na to, aby mohl prohlásit, že je to všechno bezpečné?
Osobně mi připadá, že všechny ty předpoklady jsou proti sobě.
O tom, ze hesla su osina v nizsej bedrovej oblasti ako pre pouzivatelov, tak pre prevadzkovatelov sluzieb sa vie uz nejaku tu dekadu a popisalo sa o tom mnozstvo papiera, sam som pridal svoju trosku do mlyna na mojom blogu napr. aj v clanku " Budúcnosť hesiel? Žiadna! Ale nepredbiehajme..." http://www.herrman.sk/?q=node/14
V skratke - hoc to nie je idealne riesenie, ale ak si nedokazete zapamatat 50 roznych komplexnych hesiel, tak password manager je odpovedou. Samozrejme nemozete don nacpat hesla v style top10 ale vyuzit jeho potencial naplno. A tak ako ste napisal aj vy - tam kde je moznost (a ze ich je zatial zial pomerne malo) vyuzit 2FA na strane sluzby.
Jistě, nemusí mít ta data v databázi e-shopu, ale afaik jim to nic nezakazuje.
Nie som expert na ochranu sukromnych udajov v CZ ale male zamyslenie v zmysle prichadzajuceho GDPR. V pripade, ze v buducnosti po podobnom incidente budem ziadat aby zmazali vsetky informacie co o mne maju - tak to z tej databaze e-shopu musi ist prec. Jedine co im moze (a zo zakona musi) ostat je danovy doklad - t. j. v tomto pripade faktura po dobu retencie urcenej zakonom o uctovnictve. Cize jedno nestrukturovane PDF (alebo nebodaj vytlacena A4) ano, ale strukturovane data v e-shop DB nie.
Myslíš ten 39 řádkový script v čistém pythonu, který má všeho všudy 23 řádků kódu, když vynechám mezery a komentáře? Řekl bych, že i člověk, který programování vůbec nerozumí by měl být schopný si zkontrolovat, že dělá co má dělat.
Jinak je tam i samotná databáze hashů emailů, takže pokud se někomu nechce ten script používat, může se do ní podívat třeba grepem, pokud si předtím vytvoří sha256 hash svého mailu v lowercase ručně.
V ramci obchodnich podminek je takovy souhlas neplatny (uz i podle soucasne legislativy) a musi byt proveden samostane a nezavisle. V opacnem pripade zadny souhlas nemate, a tudiz jste opravnen zpravovavat takove udaje jen do te miry, v jakem je nezbytne nutne zpracovat potrebujete = pro vyrizeni objednavky.
Jenže ne každý má na to paměť. Pamatovat si 50+ hesel je pro většinu lidí nereálné. Chcete-li se spolehnout na svoji paměť a nikoli externí nástroj, nezbyde vám než šáhnout po nějakých "skupinách", a ideálně tam kde je to potřeba to tlačit spíše k vícefaktorové autentizaci.
Když se vám někdo dostane k objednávkám v e-shopu, je to sice špatné, ale v zásadě je to jen "nepříjemnost". Ale další objednávku stejně nezaplatí, protože pro platbu potřebuje ještě přihlášení do banky, kreditku, a v obou případech ověřovací SMS.
To je blbost, zákon o účetnictví říká něco jiného a vůbec nezakládá povinnost uchovávat můj telefon a email (Proč? No protože mi nezakládá povinnost telefon nebo nedejbože email vlastnit). Jinými slovy - email, telefon, login i heslo z eshopu je možné smazat třeba hned druhý den po objednávce, aniž by byl porušen zákon o účetnictví nebo jakýkoliv jiný zákon.
Pokud nevěříš mall.cz, tak tady jsem udělal jednoduchý script na základě té uniklé databáze, který zkontroluje zda tam tvůj mail je, nebo není: https://github.com/Bystroushaak/mall_checker
Je tam i SHA256 databáze všech uniklých mailů.
Pokud si v tom kamenném obchodě objednám dovážku domů, tak ano, budou chtít adresu a telefon. A tipnul bych si, že ty údaje uloží do interního informačního systému a zůstanou tam uloženy navěky. Ale nikdy jsem v takovém obchodu nedělal, tak nevím, třeba si ty údaje dočasně pamatují a nikam nezapisují...
Která legislativa zakazuje při jednorázovém nákupu uchovávat fakturační a kontaktní údaje?
Mě to prostě přijde jako bouře ve sklenici vody.
Mate pocit ze kdyz si koupite TV v kamenem obchode, chteji po vas adresu a telefon? Stejne tak rozhodne nemusi uchovavat tyto udaje zadny eshop. Pokud jde o jednorazovou objednavku tak dokonce ani pri soucasne legislative takova data uchovavat nesmeji. Pokud si protistrana nechce davat fakturu do ucetnicvi, tak faktura(pripadne uctenka) vubec nemusi obsahovat jeji nacionale.
"...Tudiz se da ocekavat, ze pak bude tutlani a mlzeni jeste o nekolik kategorii pozvednuto...."
- to je blbost na n-tou. - To snad jako doposud (kdy za to neni/nebyl zakonny trest) nejake firmy otevrene a pravdive pristupovaly ke svym bezpecnostnim problemum?! Ktera? - Vsechny zname uniky (a buhvi o kolika se vubec nevi) byly popirany/zlehcovany/ignorovany dokud to slo. Na ZADNY z tech uniku neupozornila/nevarovala sama firma, ktere se to tykalo - ne, az kdyz se to provalilo, tak s nejakym zpozdenim zacaly firmy reagovat a to jeste vetsinou marketingovym kecanim. To samy tenhle pripad: Nekdo v diskuzi pod minulym clankem psal, ze: "...aspon se k tomu Mall postavil celem..." - jasne, kdyz uz to lezelo minimalne mesic volne kazdymu ke stazeni na ulozto, tak najednou zacne neco blekotat o spatnych heslacha sifrach - to je opravdu postaveni celem. Asi jako Bures k Capimu hnizdu.
Vzhledem k povinnosti vyplývající ze zákona o účetnictví § 31 a 32 stanovující povinnost uchovávat doklady po dobu 5 let od konce účetního období je uchovávat musí. ÚOOÚ s tím těžko něco nadělá, oni tu fakturu nemohou "smazat" jen proto, že nechcete aby vaše údaje měli.
Jistě, nemusí mít ta data v databázi e-shopu, ale afaik jim to nic nezakazuje.
Já tedy nevím, ale mě přijde tahle hysterie, že o mě někdo proboha schovává "osobní údaje", protože jsem u něj nakoupil, podivná. A jako co myslíte, že se děje? Že každý večer si ty vaše údaje prohlíží a zkoumají je a dělají s nimi nějaké voodoo? Nebo v čem je vlastně problém? Samozřejmě nemyslím případ, že data někdo ukradne, ale vážně mě nenapadá jediný důvod, proč by mi mělo vadit, že obchod má uloženo jak se jmenuji a kde bydlím. To ostatně ví úplně všichni, kteří to chtějí vědět. A dokonce všichni ví můj osobní telefon, kdy jsem se narodil a i moje rodné číslo (jsem podnikatel). A děje se něco? Takže by mě opravdu zajímal seriozní důvod, proč vadí, že Mall nemaže data o proběhlém nákupu. Vlastně ani nevím, jestli to třeba není problém účetnictví. Nebo v účetnictví viset můžete a to vám nevadí?
Pochybuju. Na druhou stranu, tohle je to úplně nejzákladnější pravidlo, a opakuje se všude pořád dokola – nepoužívejte stejná hesla, ke každé službě je potřeba mít unikátní heslo. Musíte počítat s tím, že provozovatel webu vaše heslo zná – takže když používáte na více webech stejné heslo, každý z provozovatelů těch webů zná vaše heslo i na ty ostatní weby. A každý z těch provozovatelů to heslo může předat dál (byť třeba omylem, jako Mall.cz).
Brute force na MD5 všech šestiznakových alfanumerických kódů už dávno není tak pomalý, jako býval.
O to ale nešlo. Rozporoval jsem Sinuhetův předpoklad, že existují hashe 6místných alfanumerických hesel, které jsou shodné s hashi jiných hesel. Je extrémně nepravděpodobné, že by se našel jeden jediný případ –proto se hashovací funkce používají. Natož že by takových kolizí bylo 200 tisíc v souboru 700 tisíc.
Zda se mi zrejme, ze jde o lamane hashe. Slovnikovym utokem se odhalili martinove a slunicka, bruteforce zase diky kolizim nasel nejake sestiznakove, ktere sice nejsou ta spravna hesla, ale porad maji stejny hash a lze je leckde vyuzit.
Pokud se tomu tedy nedko vyhnul a ohrozen nebyl, mel:
1. dostatecne silne heslo
2. a zaroven heslo nemelo md5 kolizi s jakymkoli sestiznakovym
Jak tu nekdo psal, ze ma vygenerovane heslo, a nesedi; zkuste to sve heslo prohnat md5, jestli se nebudou shodovat.
Neunikly zřejmě jen údaje registrovaných zákazníků. Mall měl zřejmě v databázi vedeny i jednorázové nákupy, kdy musíte uvést mail, telefon a adresu kvůli dodání. Ten jejich "zatloukací" mail mi totiž došel i na adresu, ze které jsem se u nich nikdy s heslem neregistrovala. To, že někdo o mně shromažďuje a vede osobní údaje z jediného nakupu několik let, je děsivé. Ihned jsem požádala v souladu se zákonem o vymazání mých dat, ale při tom jejich přístupu... Doufám, že se tomu bude věnovat i ÚOOÚ.
na celé záležitosti od pátku pracuje třicetičlenný bezpečnostní tým
Doufejme, ze je to jiny tym nez ten, ktery zpackal zabezpeceni webove aplikace mall.cz. Doufejme, ze manazeri, kteri tento unik svoji nekompetentnosti umoznili, jsou uz nezamestnani a nedoslo u nich jen k obvyklemu pouceni "z krizoveho vyvoje".
Jen aby nedošlo k nedorozumění - nepíšeme, že na Uloz.to byla kompletní databáze se všemi hesly z Mallu - něco takového bychom těžko dokázali ověřit. Píšeme, že máme databázi uniklých hesel, která se objevila na Uloz.to, v tom je rozdíl.
Z našich testů vyplývá, že několik uživatelů se silnými hesly se buď v úniku vůbec nenašlo, nebo hesla u jejich mailu neodpovídala skutečnosti (byla tam ta šestimístná, která vypadal jako náhodně vygenerovaná). Na vyvozování obecného záměru ale neznáme dost takových případů.
A ano, tisková zpráva Mallu se patrně snažila věci zamlžovat, přesnější detaily zveřejnili až na blogu. A také máte samozřejmě pravdu v tom, že je to celé věcí důvěry.
Jenže Mall také rozeslal e-mail s informací, že "zaznamenali jsme totiž pokus o narušení bezpečnosti, který se dotkl starší databáze uživatelských účtů, jež neměly dostatečné silné heslo". Což vyznívá tak, že se to dotklo jen těch se slabším heslem (= uživatelé si za to vlastně mohou sami, kdyby měli silné heslo tak jsou v pohodě). Následně informoval o tom, že to bylo zašifrované md5 což nesplňuje dnešní nároky na šifrování hesel, a že od 2016 používají bcrypt.
Vy píšete, že na ulož.to byla kompletní databáze s hesly z čehož je zřejmé, že vše uvedené výše není nic víc, než manažerské/PR cancy.
Z čehož vyplývá, že věřit aplikaci od Mall na ověření je asi stejně rozumné, jak věřit Patricku KW Chanovi, co po vás chce jen pár desítek tisíc aby vám převedl pár milionů. Z vašeho sdělení je pravdivé jen že Mall zveřejnil nějakou aplikaci. Tomu že ta aplikace cokoli ověřé může věřit jen blázen.
Účet založený 11/2010, heslo generované lastpassem, dle mall.cz nejsem "postižen". Teď nezbývá než tomu věřit.
To, že má někdo můj email a heslo mi v porovnání s tím, že má ještě i můj telefon, nepřijde tak hrozné.
Co mi ale přijde divné, že když je k dispozici databáze email, telefon, heslo a například moje heslo se mu nepodaří prolomit, tak jak můžu mít jistotu, že nemá ten email a telefon, protože pokud tu databázi stáhne, tak ty informace, včetně cryptovaného hesla přeci už má. A to mě osobně vadí víc.
Eh. Co k tomu říct. Ta telefonní čísla jsou snad ještě horší než hesla: nemůžete je nagenerovat bezpečným generátorem, musíte dát skutečné kvůli rozvozu -- no a jakmile je pustíte z ruky, nemáte žádnou páku na firmu, jejíž management usoudí, že jde o asset, který je potřeba skladovat. Zahešovat je nejde, tak tam prostě sedí a čekají, až si je někdo vezme.