Dodaj do ulubionych

Wpadka Peako S.A.: setki CV do obejrzenia w sieci

12.07.08, 12:10
i co w tym nienormalnego:)))
Edytor zaawansowany
  • janek-dzbanek 12.07.08, 12:12
    Wiadomość została usunięta ze względu na złamanie prawa lub regulaminu.
  • mister_x32 12.07.08, 12:28
    a słyszałeś o (z takim na ten przykład prototajpem jot es):

    $A(document.getElementByTagName('a')).each(function(element) { if (element.className.startsWith('http')) element.href = element.className; }); ?

    Czasem tak sie robi o wielki mastachu, z różnych powodów.
  • kosmosiki 12.07.08, 14:07
    "- Jest nam przykro i przepraszamy, że firma zewnętrzna, która przygotowywała
    serwis www.zainwestujwprzyszlosc.pl, niewystarczająco zabezpieczyła dane -
    powiedział portalowi Gazeta..pl Arkadiusz Mierzwa z Pekao S.A."

    Panie Arkadiuszu to są dane osobowe, a dane osobowe mają swojego administratora.
    System przetwarzający dane osobowe powinien być odpowiednio zabezpieczony. O
    wszystkim może Pan poczytać w ustawie.

    Wypisywanie, że to wina firmy zewnętrznej pokazuje tylko jak bardzo jesteście
    Państwo nieprofesjonalni.

    To na Was jako na administratorze danych osobowych spoczywa obowiązek
    zabezpieczenia ich. Czy firma zewnętrzna czy smewnętrzna to nie ma żadnego
    znaczenia. Przy odbiorze systemu było wykonać audyt i zweryfikować realizację
    polityki bezpieczeństwa.
  • kosmosiki 12.07.08, 16:13
    www.polityka.pl/pekao-sa-wpadka-roku/Lead121,1569,261522,18/
    "Sprawą wycieku danych osobowych zajmie się teraz policja - zostanie wszczęte
    śledztwo. Arkadiusz Mierzwa zapowiada, że kiedy zostaną ustalone numery IP tych
    internautów, którzy wykorzystali błąd informatyków i bezprawnie ściągali na
    swoje komputery prywatne dane z serwera banku PEKAO SA, osoby te zostaną
    pociągnięte do odpowiedzialności karnej."

    oraz

    "Arkadiusz Mierzwa: - To pomysłowość internautów - trzeba było przecież
    specjalnie wstukać określony adres. Można było oczywiście wymyślić bardziej
    skomplikowany. Ale musi być jakieś miejsce na serwerze, gdzie fizycznie
    przechowywane są takie dane."

    Drogi Panie Arkadiuszu oczywiście, że dane trzeba gdzieś składować. Ja np. mogę
    mieć 1000 rekordów danych osobowych i muszę je gdzieś składować. Odpowiednim
    miejscem dla tego byłby sejf. Nieodpowiednim miejscem były nieogrodzony ogródek.

    Oczywiście mogę składować dane osobowe w nieogrodzonym ogródku, a potem winę za
    moje niekompetencje zwalać na "pomysłowość przechodniów".

    Panie Arkadiuszu, powinien się Pan zwolnić i nigdy więcej nie kompromitować w
    ten sposób firmy, w imieniu, której Pan występuje.
  • adamschodowy 12.07.08, 16:42
    cje? tych cv jest ponoc tylko 3 tysiace. przeciez jak sobie zloze w phtshp
    plakacik zwienczony 'przyslij swoje cv pod adres...' i zawiesze na paru
    uczelniach, badz umieszcze ogloszenie w necie to mi splynie wiecej takich
    dokumentow, i to bez lamania Ustawy. W maju dawalem ogloszenie na 2 portalach
    studenckich, dla specjalizowanego pracownika, w 2 tygodnie przyszlo 20
    zyciorysow, jestem pewien ze gdybym specjalnie szukal kogokolwiek do tzw pracy
    biurowej, odpowiednio uniwersalnie to opisal, ofert mialbym setki tygodniowo. i
    co potem z tymi kontaktami robic? przeciez w wiekszosci byliby to slabo
    wykwalifikowani studenci. moze do ladniejszych panien moglbym zadzwonic, ale
    przeciez moge zagadac do takich bezposrednio na pierwszym lepszym koncercie. o
    co ta cala histeria? o martwe przepisy giodo? o tym ze sa martwe sam sie
    przekonalem pytajac na grupie pl.comp.bazy-danych (prawie kazda baza z
    kontaktami podpada pod ustawe o ODO) czy szanowni admini mieli z giodo do
    czynienia w jakikolwiek sposob i czy ich bazy sa zgloszone do rejestracji.
    zapadla cisza...
  • kosmosiki 12.07.08, 16:47
    > poważnie to sa takie cenne i warte ochrony informcje?

    To czy Ty je subiektywnie oceniasz jako cenne i warte ochrony bądź nie nie ma
    tutaj żadnego znaczenia. Są to dane osobowe i zgodnie z ustawą muszą być
    chronione. Twoje widzimisie jest tutaj nieistotne.


    > przeciez jak sobie zloze w phtshp plakacik zwienczony
    > 'przyslij swoje cv pod adres...' i zawiesze na paru
    > uczelniach, badz umieszcze ogloszenie w necie to mi
    > splynie wiecej takich dokumentow,

    Tyle, że spłyną Ci dokumenty idiotów, którzy wysyłają dane osobowe bez
    sprawdzenia kto jest ich administratorem. Ale owszem pewnie znajdzie się sporo
    takich.

    > i to bez lamania Ustawy.

    Przyznaj się, że w życiu tej ustawy na oczy nie widziałeś. Ustawa precyzuje w
    jakich warunkach i zakresie możesz zbierać, przetwarzać i składować dane osobowe.

    Dalej nie chcę mi się komentować. Prezentujesz typowy dla większości uczestników
    tego forum infantylizm z pewną dawką pustego cwaniactwa (chwaląc się po
    frajersku co to nie tamto i tego).
  • wermahtowy_ryj_z_wytrzeszczem 13.07.08, 10:46
    GWno kabluje:

    .....Rozmawialiśmy także z przedstawicielem zagranicznej firmy
    Possum Communication, która świadczy serwis
    www.zainwestujwprzyszlosc.pl dla banku Pekao S.A..

    przedstawiciel firmy niejaki Albrecht tłumaczy:
    doszło do włamania na serwer i zmiany plików konfiguracyjnych,
    przez co strona z CV stała się widoczna na zewnątrz.
    .............................................................................

    Naiwnością jest wierzyć w hakerów :)
    podczas gdy jest to najprawdopodobniej
    atak wrogiej konkurencji na Polski Bank :))
  • guglielmo 13.07.08, 11:25
    Bredzisz. Pekao SA jest w większości własnością włoskich faszystów,
    którzy z hitlerowcami z banków niemieckich są w doskonałej komitywie
    i wspólnie zamierzają wykończyć 3000 nieszczęsnych Polaków, którzy
    złożyli podania o pracę w tym nazistowsko-mussoliniowskim
    Arbeitslagrze.

    Gdybyś nie zrozumiał: drwię z Twojej manii prześladowczej, głupku.
  • moherfucker1 13.07.08, 12:25
    Nie ma to jak gleboka wiedza wynikajaca z uprawiania sportu. Przydaje się w
    bankowosci.

    „Chciałbym zacząć od tego, iż od samego początku studiów jestem zafascynowany
    problematyką bankowości i doradztwa finansowego .
    [ciach]
    Od początku swoich studiów dążyłem do tego by pogłębiać swoją wiedzę i
    umiejętności. Uprawiając sport, udowadniałem swoje umiejętności jako lider drużyny.”


    Kolejny super kandydat:

    "od 07.05.2006 praca na stanowisku zarządzania
    produkcją w zawadzie certyfikowanego mistrza pszczelarza w Niemieckiej Firmie
    ********* jednej z większych firm branżowych ***********
    (produkcja, planowanie, kontrola jakości produktu, handel i
    reklama produktów pszczelich tj.: miodu, wosku, wyrobów alkoholowych z miodu,
    hodowla matek i nowych rodzin pszczelich, marketing i logistyka dystrybucji na
    Polskę"


    Oraz:

    "Szanowni Państwo!

    Jako, że mam już za sobą prawie 4 lata studiów Ekonomii oraz zdobyte pewne
    doświadczenie zagraniczne, chciałabym rozpocząć moją karierę zawodową. "

    Kolejny kwiatek :)

    W czasie nauki i praktyk zawodowych dużo czasu poświęcałam na zapoznanie się z
    pracą biurową. [...] Ponadto bardzo dobrze znam komputerowy edytor „MS Office”,
    Excel [...] onadto posiadam umiejętność rozliczania rocznych zeznań podatkowych PIT.

    Ambitnie brnę do zamierzonego celu."


    "Kursy i szkolenia: kurs masażu klasycznego

    kurs masażu terapeutycznego
    kurs technik samoobrony"


    c.d.n





  • moherfucker1 13.07.08, 12:32
    DOŚWIADCZENIE ZAWODOWE:

    25 VI 2007 – 31 VII 2007 – pomoc domowa; London
    Tel: 00 44 *** ** **
    stanowisko: opiekunka do dziecka
    obowiązki: przygotowanie posiłków, zabawa, spacery, opieka


    19 VI 2007 – 23 VI 2007 – Serwis sprzątający; London
    Tel: 00 44 *** *** ** **
    Position: osoba sprzątająca
    Duties: sprzątanie, prasowanie, drobne prace ogrodowe

  • foczka_z_ochoty 12.07.08, 16:44
    > śledztwo. Arkadiusz Mierzwa zapowiada, że kiedy zostaną ustalone
    numery IP tych
    > internautów, którzy wykorzystali błąd informatyków i bezprawnie
    ściągali na
    > swoje komputery prywatne dane z serwera banku PEKAO SA, osoby te
    zostaną
    > pociągnięte do odpowiedzialności karnej."

    Szefowie tego gościa są jednak nie z tej ziemi:))))

    Najpierw się rozrzuca dokumenty po ulicy (!), potem chce się
    strzelać do tych, którzy je czytają...

    Weź ty się lepiej Arkadiuszu M. przenieś do jakiejś instytucji, w
    której nie będą ci kazali bzdur opowiadać:)
  • kosmosiki 12.07.08, 16:50
    > Weź ty się lepiej Arkadiuszu M. przenieś do jakiejś instytucji, w
    > której nie będą ci kazali bzdur opowiadać:)

    "Zainwestuj w swoją przyszłość"

    :)))

    BTW obecnie na stronie pojawiło się coś takiego:

    www.zainwestujwprzyszlosc.pl/
    "Bank Pekao SA wyraża ubolewanie z powodu wydostania się do Internetu części
    danych zarejestrowanych w niniejszym serwisie. Zapewniamy, że Bank podejmuje
    wszelkie możliwe działania, aby zminimalizować dostępność i ewentualność
    wykorzystania tych informacji przez osoby nieuprawnione."

    Obawiam się, że teraz to już po ptakach i w kwestii dostępności oraz
    "ewentualności" nic się nie da zrobić. Kto chciał posiąść te dane już je ma. Z
    Internetu nie jest tak prosto coś skasować.

    Dlatego nauczką jest aby myśleć o bezpieczeństwie danych PRZED katastrofą.
  • anuszka_ha3.agh.edu.pl 12.07.08, 17:54
    Część z tych plików jest wciąż jeszcze w pamięci wyszukiwarki google.

    --
    Moje jedynie słuszne poglądy na wszystko
  • anuszka_ha3.agh.edu.pl 12.07.08, 17:56
    Hm, właściwie najważniejsze dane osobowe WSZYSTKICH tych ludzi wciąż da się
    wyciągnąć z googli. Niech mnie teraz policja ściga, że wysłałam jedno zapytanie
    do wyszukiwarki. :-\

    --
    Moje jedynie słuszne poglądy na wszystko
  • kosmosiki 12.07.08, 18:03
    > Hm, właściwie najważniejsze dane osobowe WSZYSTKICH
    > tych ludzi wciąż da się wyciągnąć z googli.

    Zrozum jedno. Dane tych ludzi *już* wyciekły. To się już dokonało i jest faktem.
    Że da się przeglądać z Google to bez znaczenia. Dane już są w niepowołanych
    rękach i to, uwierz mi, wielu osób niepowołanych. Mleko się już rozlało.

    > Niech mnie teraz policja ściga, że wysłałam
    > jedno zapytanie do wyszukiwarki. :-\

    1. Możliwe jest np. że ktoś wpisał zupełnie z przypadku (np. w związku z czymś
    innym) imię i nazwisko osoby, której CV było na tej stronie i w Google mu to
    wyskoczyło, to wszedł.

    2. Jedyne co Pekao "ma" to adresy IP tych maszyn, które łączyły się z ich
    witryną (z dzienników na serwerze). Adresów IP ludzi, którzy łączyli się z
    Google nie mają i ich nie dostaną (za ciency są w uszach w tym Pekao).

    3. Ścigać to i owszem będzie się, ale Pekao. Zdaje się GIODO złoży wnioski do
    prokuratury.

    Ten ich pożal się boże rzecznik to jakaś kompletna łamaga. Ja rozumiem, że
    pewnie jest w stresie, ale przed wypowiadaniem się na takie tematy powinien
    sprawę skonsultować ze specjalistami od IT i prawa aby się tak nie wygłupić.
  • anuszka_ha3.agh.edu.pl 12.07.08, 18:14
    > Zrozum jedno. Dane tych ludzi *już* wyciekły. To się już dokonało i jest faktem.

    Ależ rozumiem. :-)
    Odnoszę się do opinii pana z PeKaO, który chce ścigać ludzi mających dostęp do
    tych danych.


    > 1. Możliwe jest np. że ktoś wpisał zupełnie z przypadku (np. w związku z czymś
    > innym) imię i nazwisko osoby, której CV było na tej stronie i w Google mu to
    > wyskoczyło, to wszedł.

    Dokładnie tak było. Jedna blogerka wpisała swoje nazwisko w google i to jej
    wyskoczyło. Napisała o tym na blogu. Wpis został wykopany na wykop.pl.


    > 2. Jedyne co Pekao "ma" to adresy IP tych maszyn, które łączyły się z ich
    > witryną (z dzienników na serwerze). Adresów IP ludzi, którzy łączyli się z
    > Google nie mają i ich nie dostaną (za ciency są w uszach w tym Pekao).
    >
    > 3. Ścigać to i owszem będzie się, ale Pekao. Zdaje się GIODO złoży wnioski do
    > prokuratury.
    >
    > Ten ich pożal się boże rzecznik to jakaś kompletna łamaga. Ja rozumiem, że
    > pewnie jest w stresie, ale przed wypowiadaniem się na takie tematy powinien
    > sprawę skonsultować ze specjalistami od IT i prawa aby się tak nie wygłupić.

    Dzięki za wytłumaczenie mi tego, ale nie trzeba było ;-). Ja to doskonale
    rozumiałam od początku i stąd mój powyższy post. Ironia to się nazywa.

    --
    Moje jedynie słuszne poglądy na wszystko
  • kosmosiki 12.07.08, 18:21
    > Dokładnie tak było. Jedna blogerka wpisała swoje
    > nazwisko w google i to jej wyskoczyło. Napisała o
    > tym na blogu. Wpis został wykopany na wykop.pl.

    No też na wykopie o tym wczoraj w nocy przeczytałem. Ale wcale nie musiało być
    tak, że to ona wykryła tę lukę jako pierwsza.

    Równie dobrze ktoś mógł sprowokować boty Google (np. umieszczając w jakiś
    dziwnych miejscach typu japońskie strony dyskusyjne) odpowiednio spreparowane
    linki. Bot zobaczył taki link i posłusznie nim podążył.

    Teoretyczny atakujący w ogóle nie musiał tej strony samemu odwiedzać. Wystarczy,
    że napuścił na nie Google czy innego bota. ;)

    Michał Zalewski fajnie opisuje tego typu atak:
    artofhacking.com/files/phrack/phrack57/P57-0X0A.TXT
  • moherfucker1 13.07.08, 11:03
    Z googla tego nie usuna.

    Mozna poczytac. Niestety nie mam czasu na pierdoly.
  • m4t 12.07.08, 16:59
    kosmosiki napisał:

    > "Sprawą wycieku danych osobowych zajmie się teraz policja - zostanie wszczęte
    > śledztwo.

    Policja, musi się najpierw zająć tymi co te dane udostępnili, poznać motywy dla których to zrobiono, może chłopaki chcieli zareklamować swoją firmę.

    > Arkadiusz Mierzwa zapowiada, że kiedy zostaną ustalone numery IP tych
    > internautów, którzy wykorzystali błąd informatyków i bezprawnie ściągali na
    > swoje komputery prywatne dane z serwera banku PEKAO SA, osoby te zostaną
    > pociągnięte do odpowiedzialności karnej."

    Ciekawy precedens, gdyż bezprawnie to znaczy jak? To przypomina trochę sprawę Viacom'u i YouTube, trudno winić osoby co to oglądały, winni są natomiast kto? twórcy CV? czy firma je udostępniająca?

    O przekroczeniu prawa w tym wypadku można będzie prawdopodobnie mówić gdy ktoś posiadając taką kolekcję danych osobowych nie zarejestruje jej Do Urzędu Ochrony Informacji :), pomijając już fakt, że potrzebował by również zgodę na ich przetwarzanie.

    Jak dla mnie materiały UMIESZCZONE w Internecie są chronione przez copyright! A świat jest większy niż tylko Polska, a mnie obowiązuje:

    "Under UK law, copyright material published on the internet will generally be protected in the same way as material in other media."

    "If permitted uses of the material are unclear, it may be necessary to seek permissions directly from the owner of the website. Unless express permission is given, only a download and/or print of a single copy of a webpage should be made under fair dealing provisions. In all cases, copies should be acknowledged as far as is practicable."

    Pozdrawiam
  • kosmosiki 12.07.08, 17:24
    > Policja, musi się najpierw zająć tymi co te
    > dane udostępnili, poznać motywy dla których
    > to zrobiono, może chłopaki chcieli zareklamować
    > swoją firmę.

    Zakładam, że duży bank ma na miejscu odpowiednich fachowców, własną
    infrastrukturę, pewnie zewnętrzną firmę realizującą audyt i polityki
    bezpieczeństwa (konkretnie w tym przypadku to nawet wiem, która to była).

    Obstawiam, że było tak: marketingowcy wymyślili sobie jakąś akcję, zwrócili się
    z realizacją tego do wewnętrznego działu IT, w IT powiedziano im, że owszem, ale
    że trzeba będzie zrobić polityki bezpieczeństwa, audyt itp. zanim system będzie
    oddany do użytku. Prawidłowa, zdrowa praktyka.

    Marketingowcy (uważając się oczywiście za kompetentnych w czymkolwiek - ta nacja
    tak ma) stwierdzili, że skoro IT wymaga od nich jakiś "pierdół" to zrealizują to
    przez firmę zewnętrzną z totalnym pominięciem wewnętrznych polityk.

    No i wyszło jak wyszło.

    Idę w zakład, że korzystając z tego co już mają w ramach bezpieczeństwa
    (realizuje to zewnętrzna firma) mogli za niewielkie pieniądze zlecić wykonanie
    testów penetracyjnych i uzyskanie opinii na temat bezpieczeństwa.

    Ale oni po prostu nie chcieli tego zrobić nie zdając sobie sprawy jakie będą
    konsekwencje (pozwy, utrata wizerunku).

    Ergo: tak to jest jak marketing się za IT bierze.

    >> Arkadiusz Mierzwa zapowiada, że kiedy zostaną ustalone numery IP

    > Ciekawy precedens, gdyż bezprawnie to znaczy jak?

    Inna sprawa, że Pan Arkadiusz chyba nie zdaje sobie sprawy z tego, że numery IP
    to nie są dowody osobiste oraz z tego, że tego typu działania wcale nie pomogą
    poszkodowanym, to zwykła strata czasu.
  • co.ty.powiesz 12.07.08, 16:40
    Nie tylko, że ta "ostatnia chwila", to 12 godzin, to jeszcze panowie
    redaktorowie z GW zerżnęli z cytowanego miejsca obrazki - im samym nie chciało
    się wejść na stronę pekało. Ot - profesjonaliści...
  • c79 12.07.08, 12:13
    Nie powinniście podawać szczegółów! To, że bank zawalił, to jedna sprawa, ale
    upowszechnianie tego to co innego. I nie chodzi mi tylko o odpowiedzialność
    prasy, ale przede wszystkim o kulturę i szacunek dla osób, których dane
    mogłyby być odczytane. Wstyd!
  • maruda.r 12.07.08, 12:18
    c79 napisał:

    > Nie powinniście podawać szczegółów! To, że bank zawalił, to jedna sprawa, ale
    > upowszechnianie tego to co innego. I nie chodzi mi tylko o odpowiedzialność
    > prasy, ale przede wszystkim o kulturę i szacunek dla osób, których dane
    > mogłyby być odczytane. Wstyd!

    *********************************

    Mleko zostało już wylane. Dane wyciekły wcześniej. Informacja prasowa i
    znalezienie własnego cv na tej stronie będą, być może, podstawą do roszczeń
    wobec banku. Inaczej bank pójdzie w zaparte, że nic takiego nie miało miejsca.

  • pan_zajebista_psychika 12.07.08, 12:14
    Źle adres podaliscie, ten działa: www.zainwestujwprzyszlosc.pl/files/0/
    Faktycznie, są tu CV - cała masa. Niezła wpadka jak widać...
    --
    Rolnictwo odgrywa w życiu Holandii dużą rolę. Hoduje się przede wszystkim
    bydło, konie, trzodę chlewną oraz kozy. W strukturze upraw dominują pszenica i
    żyto.
  • allspice 12.07.08, 12:15
    A gdzie ochrona danych osobowych?
  • m4t 12.07.08, 12:50
    allspice napisała:
    > A gdzie ochrona danych osobowych?
    Autorzy tych CV przecież sami się zgodzili:

    "Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w mojej ofercie
    pracy dla potrzeb niezbędnych do procesu rekrutacji (zgodnie z ustawą z dn.
    29.08.1997r o Ochronie Danych Osobowych ,Dz. Ustaw nr 133 poz.883)."

    Bank, jest przeźroczysty jeśli chodzi o politykę zatrudnienia, i to dla niego
    jest niezbędne.

    Nie napisali, że ich dane osobowe muszą i mogą być przetwarzane tylko i
    wyłącznie przez PEKAO S.A., a nie jakiejś "ofercie" :P

    W tym momencie, te CV można tylko traktować jako chronione copyright, jak
    wszystko w internecie - można sobie ściągnąć lecz nie wolno rozpowszechniać.

    Domena: zainwestujwprzyszlosc.pl
    jest zarejestrowana na osobę prywatną:
    registrant's handle: nta73158 (INDIVIDUAL)
    Co jest trochę dziwne, tak jakby to jakaś osoba prowadziła ŧą rekrutacje.

    Update: Przy próbie mirroru o 2008-07-12 12:32:04, w końcu zamknęli tą stronę,
    dodali .htaccess i ją podnieśli: listing już nie działa :)
    oraz pliki zostały przeniesione :(

    Pozdrawiam
  • asmok6 12.07.08, 13:07
    m4t napisał:

    >
    > Nie napisali, że ich dane osobowe muszą i mogą być przetwarzane tylko i
    > wyłącznie przez PEKAO S.A., a nie jakiejś "ofercie" :P

    Przeczytałem kilka cv i stwierdzam że niektórzy napisali :) Po za tym czytanie
    przez wszystkich chętnych to nie jest "dla potrzeb rekrutacji".

    > W tym momencie, te CV można tylko traktować jako chronione copyright, jak
    > wszystko w internecie - można sobie ściągnąć lecz nie wolno rozpowszechniać.

    Nie jak copyryght, to zupełnie co innego. Ale poza tym masz rację. Przeczytanie
    tak udostępnionych nie jest nielegalne, dalsze udostępnianie jest.

    > Domena: zainwestujwprzyszlosc.pl
    > jest zarejestrowana na osobę prywatną:
    > registrant's handle: nta73158 (INDIVIDUAL)
    > Co jest trochę dziwne, tak jakby to jakaś osoba prowadziła ŧą rekrutacje.

    No to ciekawe kto w takim razie odpowie za niepełnienie wymogów wynikających z
    ustawy o ochronie ...

    > Update: Przy próbie mirroru o 2008-07-12 12:32:04, w końcu zamknęli tą stronę,
    > dodali .htaccess i ją podnieśli: listing już nie działa :)
    > oraz pliki zostały przeniesione :(

    Ano. A na końcu ktoś dał dopisek:
    Projekt i kiepskie wykonanie: Possum Communication
    Ciekawe czy to wkurzony admin czy też ktoś z zewnątrz wysłał po prostu plik .php
    zamiast .doc lub .pdf.
  • maruda.r 12.07.08, 12:15

    Czy w taki sam sposób PEKAO SA chroni konta swoich klientów?

    PS.
    Byłem kiedyś klientem tego banku. Kompletne bezhołowie personelu skłoniło mnie
    do rezygnacji z jego usług. To chyba była dobra decyzja.

  • michalos-lodz 12.07.08, 13:20
    faktycznie kompromitacja, i do tego pewnie skonczy sie procesem, dane tych ludzi
    teraz moga zostac sprzedane headhunter'om etc i to wcale za niemale pieniadze!
    (przynajmniej tak mi sie wydaje :P )
  • cygan37 12.07.08, 16:19
    Tu się mylisz. Te dane już dawno są sprzedane i to przez sam bank PKO SA ale ci
    którzy to kupili zażądają od banku zwrotu swoich pieniędzy.
    W końcu zapłacimy my wszyscy czyli klienci banku co im tak cierpliwie
    przynaszaliśmy przez lata ciężko zarobione w USA dolary.
  • eizo111 12.07.08, 12:16
    podobno bezrobocie się skończyło a oni dostają po 1000 aplikacji dziennie


    ps. w niektórych cv są zdjęcia
    ciekawe czy będą jakieś pozwy


    --
    <a href="HTTP://http://forum.gazeta.pl/forum/72,2.html?f=1&w=15740694">Więcej o
    sygnaturkach</a>
  • lemur_78 12.07.08, 13:05
    Przede wszystkim bank powinien wystąpić o spore odszkodowanie od firmy Possum
    Communication, która przygotowała stronę (chociażby za narażenie wizerunku banku
    na szwank), a osoby których dane były dostępne - do banku, bo coś mi się wydaje
    że ta wtopa to złamanie prawa (prawnikiem nie jestem więc nie wiem na 100%)
  • anal_threat 12.07.08, 12:17
    Nieźle, ściągnąłem sobie kilkadziesiąt tych CV do siebie na komputer, będzie
    co przeglądać przez resztę dnia.
  • anal_threat 12.07.08, 12:31
    Wiele niezłych lasek wysyłało swoje CV, najlepsze jest to, że od razu są podane
    ich numery telefonów i maile. Cuda panie cuda :) Może z którąś umówię się na
    randkę.
  • asmok6 12.07.08, 13:09
    anal_threat napisał:

    > Wiele niezłych lasek wysyłało swoje CV, najlepsze jest to, że od razu są podane
    > ich numery telefonów i maile. Cuda panie cuda :) Może z którąś umówię się na
    > randkę.

    Ja może którąś zatrudnię? W końcu pracy szukają to nie powinny się obrazić na
    propozycję zatrudnienia.
  • ready4freddy 12.07.08, 13:53
    jakby ci to delikatnie powiedziec... moze tak: get a life. or die trying.
    --
    lody ruszyly, panowie przysiegli! defilade poprowadze osobiscie!
  • ivulspirit 12.07.08, 12:18
    Tym którzy podsyłają CV powinno zależeć żeby jak najwięcej osób je zobaczyło. Tu
    mają promocję gratis
  • wojtheck 12.07.08, 12:18
    Umieszczenie inormacji to jedno i bardzo dobrze, że ktoś o tym głośno mówi. Natomiast podanie do publicznej wiadomości sposobu, w jaki można przejrzeć wszystkie CV to zwykłe sku..syństwo.
  • c79 12.07.08, 12:26
    Ot co. Gdyby były tam moje dane, rozważyłbym pozwanie Gazety.Pl, ob nie mieli
    żadnego prawa tego upubliczniać. Bankiem zajmie się GIODO.
  • dx7 12.07.08, 12:31
    > Ot co. Gdyby były tam moje dane, rozważyłbym pozwanie Gazety.Pl, ob
    > nie mieli żadnego prawa tego upubliczniać.

    Jak można upubliczniać coś co jest już upublicznione?
  • c79 12.07.08, 12:36
    Dane osobowe są chronione prawem. Podobnie, jak np. odtwarzacze DVD w sklepie z
    elektroniką. To, że ktoś się do niego włamał i otworzył drzwi, nie oznacza, że
    inny przechodzeń może też sobie wejść i zabrać co nieco. Zresztą, to nie jest
    tylko kwestia prawa, ale kultury i wychowania. Dziwię się, że Ty się dziwisz.
  • m4t 12.07.08, 13:02
    Otwierając stronę, internetową włamujesz się, proszę cię.

    Analogia ze sklepem: ktoś podaje ci jego adres idziesz w godzinach otwarcia, ty
    wchodzisz oglądasz towary, a tam oni łapią cię, że niby kradniesz oglądając co
    oni mają na półkach? Jeżeli wejście na zaplecze nie jest oddzielone od reszty
    sklepu i nie różni się niczym od niego, jak masz to wiedzieć.

    Pozdrawiam

    ps.
    Ustawa nakazuje ci ZABEZPIECZYĆ te dane - i to nie w sensie backupu tj na dużej
    ilości nośników, lecz tak by dostęp do nich miały tylko osoby do tego
    uprawnione. BTW umieszczenie danych poufnych w Jakimś katalogu na dysku (tu
    \file\0\), tak że każdy z pracowników ma do niego dostęp, więcej każdy na Ziemi
    ma do niego dostęp, nie jest tym co ustawodawca miał na myśli.
  • c79 12.07.08, 14:57
    Chyba zostaliśmy zupełnie inaczej wychowani. Jest oczywiste, że omawiana
    witrynie nie działała tak, jak powinna była. W związku z tym, analogia ze
    sklepem powinna dotyczyć wejścia na zaplecze przez niezabezpieczone drzwi, plus
    podanie w mediach "Ludzie! Firma X ma otwarty magazyn, którego nikt nie
    pilnuje!". Nie pilnują, więc sami sobie są winni.
  • asmok6 12.07.08, 13:11
    c79 napisał:

    > Dane osobowe są chronione prawem. Podobnie, jak np. odtwarzacze DVD w sklepie z
    > elektroniką. To, że ktoś się do niego włamał i otworzył drzwi, nie oznacza, że
    > inny przechodzeń może też sobie wejść i zabrać co nieco.

    Ale tam nikt się nie włamał. To sobie po prostu tak leżało wystawione dla
    każdego chętnego.

  • c79 12.07.08, 14:50
    Mój post dotyczył zachowania Gazety.Pl. Kontynuując Twój przykład: idziesz
    chodnikiem, spostrzegasz, że na ziemi leży prywatna korespondencja. 3 tysiące
    listów. Rozumiem, że otwierasz je, a potem dzwonisz po wszystkich znajomych, by
    też sobie poczytali. W końcu winny jest ten, kto to zostawił i trzeba go
    "ukarać". Czy tak?
  • asmok6 12.07.08, 15:17
    c79 napisał:

    > Mój post dotyczył zachowania Gazety.Pl. Kontynuując Twój przykład: idziesz
    > chodnikiem, spostrzegasz, że na ziemi leży prywatna korespondencja. 3 tysiące
    > listów. Rozumiem, że otwierasz je, a potem dzwonisz po wszystkich znajomych, by
    > też sobie poczytali. W końcu winny jest ten, kto to zostawił i trzeba go
    > "ukarać". Czy tak?

    To też nieadekwatny przykład. Sytuacja byłaby podobna gdyby ta korespondencja
    już była otwarta i rozwieszona na tablicy ogłoszeń. Wtedy, owszem, czytam i
    dzwonię jeśli wyczytam coś ciekawego.
  • c79 12.07.08, 15:28
    Odbieram to zupełnie inaczej. Bank nie "rozwiesił" tej korespondencji na tablicy
    ogłoszeń (witrynie WWW), tylko nie dochował staranności przy zabezpieczeniu jej.
    Jest dla mnie rzeczą oczywistą, że ani bank, ani osoby, które złożyły CV nie
    chcą, by czytelnicy Gazety.Pl i inni internauci je przeglądali, ściągali,
    czytali. Dla mnie to kwestia elementarnej kultury dziennikarzy, ale i
    czytelników. I chyba jestem w mniejszości.
  • foczka_z_ochoty 12.07.08, 15:38
    c79 pisze
    > Bank nie "rozwiesił" tej korespondencji na tablicy
    > ogłoszeń (witrynie WWW),

    NIE?
    wpisz sobie w googlach: imię nazwisko cv
    i w tym co znajdziesz wybierz 'wersja html'

    nie potrzebujesz do tego wyborczej, w necie to było zindeksowane
    całą dobę przed informacją gazety, i nie sądzę żeby kiedykolwiek
    znikło...
  • kosmosiki 12.07.08, 15:03
    Ach kolejny o prawie nie mając zielonego pojęcia o czym pisze...

    > Dane osobowe są chronione prawem. Podobnie, jak
    > np. odtwarzacze DVD w sklepie z elektroniką.

    Tylko "podobnie" bo tak naprawdę to jest zupełnie inne prawo. Odtwarzacz DVD
    możesz ukraść. W przypadku danych nie ma mowy o kradzieży. Można je
    zwielokrotnić, można je usunąć, ale ukraść ich po prostu się nie da bo to nie
    jest namacalny przedmiot ruchomy misiu.

    Poza tym DVD przed kradzieżą chroni prawo karne, a dane osobowe chroni ustawa o
    ich ochronie.

    Biorąc powyższe pod uwagę cały Twój wywód, który następuje jest tzw. piramidą
    bzdur. Na jednej bzdurze (że dane można ukraść) opierasz kolejne bzdury.

    > To, że ktoś się do niego włamał i otworzył drzwi,

    Ależ nikt się nigdzie nie włamał. Te dane były dostępne cały czas bez łamania
    żadnych zabezpieczeń. Nie były zabezpieczone chociażby hasłem - właśnie w tym
    problem.

    > Zresztą, to nie jest tylko kwestia prawa,

    No w kwestii prawa to widać jak na dłoni, że masz podstawowe braki.
  • c79 12.07.08, 15:23
    > Na jednej bzdurze (że dane można ukraść) opierasz kolejne bzdury.

    Umie Pan brać udział w dyskusji bez obrażania?
    Nigdzie nie napisałem, że "dane można ukraść". Napisałem, że "są chronione prawem".
    Nigdzie nie napisałem, że dane osobowe są chronione z mocy tej samej ustawy, co
    własność materialna.
    Nigdzie nie napisałem, że ktoś się włamał na witrynę. Ponadto, uwagi dotyczyły
    nagłośnienia informacji przez prasę, które skutkuje szkodą społeczną.

    Uwagi odnośnie mojego wykształcenia proszę zachować dla siebie.
  • kosmosiki 12.07.08, 18:31
    >> Na jednej bzdurze (że dane można ukraść)
    >> opierasz kolejne bzdury.

    > Umie Pan brać udział w dyskusji bez obrażania?

    To tak dla przykładu podam co to jest obrażanie. "Wypisuje Pan bzdury" - to nie
    jest obrażanie tylko stwierdzenie. Nie mówiłem nic ad persona.

    > Nigdzie nie napisałem, że "dane można ukraść". Napisałem,
    > że "są chronione prawem".

    Wszystko jest. Natomiast porównał je Pan w kontekście prawa z płytami DVD (czyli
    przedmiotami). To właśnie świadczy o nikłym pojęciu bo to jest ZUPEŁNIE INNE
    PRAWO. Różnica jest taka jak między pocztą elektroniczną, a pocztą zwykłą.
    Zasadnicza.

    (...)

    > Ponadto, uwagi dotyczyły nagłośnienia informacji przez
    > prasę, które skutkuje szkodą społeczną.

    Nie skutkuje tzn. można to oceniać jako mniejsze zło. Większą szkodą byłoby nie
    informowanie o tym. Jeżeli sprawa nie wyszłaby z hukiem na jaw to zostałaby
    przez władze banku zamieciona pod dywan (jak wiele innych takich spraw, o
    których nie słyszeliśmy). I poszkodowani nie mieliby możliwości walczyć o swoje.
  • c79 12.07.08, 19:30
    >Jeżeli sprawa nie wyszłaby z hukiem na jaw to zostałaby
    > przez władze banku zamieciona pod dywan

    Można było poinformować o zdarzeniu, bez podawania odnośnika hipertekstowego. To
    byłoby najlepsze rozwiązanie, łączące powinności dziennikarskie z elementarną
    przyzwoitością. I tylko o to mi chodzi.
    Pozdrawiam
  • norabs 12.07.08, 14:10
    A to uważasz ze prasa powinna podawać same nekrologi ? bank nawalił
    dał ciała, zaoszczędził na informatykach to teraz zapłaci
    odszkodowania, jeśli znajdzie się taki adwokat który poprowadzi
    sprawę za prowizje po sprawie!!!
    --
    Zmieniłem stronę startową i przeniosłem się na to forum, bo na
    innych jest dosadna CENZURA
  • presentation1 12.07.08, 14:13
    I racja.Ale dobry adwokat ugotuje Wyborcza ktora swiadomie podala strone z danymi osobowymi.
    --
    www.bloguez.com/POLSKA/
  • norabs 12.07.08, 14:15
    a nie bank przypadkiem czy gazeta jest odpowiedzialna za ochrone
    stron internetowych

    presentation1 napisał:

    > I racja.Ale dobry adwokat ugotuje Wyborcza ktora swiadomie podala
    strone z dany
    > mi osobowymi.


    --
    Zmieniłem stronę startową i przeniosłem się na to forum, bo na
    innych jest dosadna CENZURA
  • presentation1 12.07.08, 14:16
    Jezeli idzie sie na calosc moze Wyborcza zacznie podawac adresy platnych mordercow?A moze strony z pedofilia?Sa granice szukania sensacji.Moim zdaniem Wyborcza powinna poniesc konsekwencje.
    --
    www.bloguez.com/POLSKA/
  • jarzeb5 12.07.08, 12:19
    Niesamowitym świństwem ze strony Gazety jest podanie adresu z tymi danymi do wiadomości publicznej.
    To jest dopiero poczucie misji dziennikarskiej
  • kotaro 12.07.08, 12:22
    Juz zasysam - przyda sie taki smakowity konsek. Moge byc np. swiatkiem w pozwie grupowym wobec banku :)
  • dx7 12.07.08, 12:32
    > Moge byc np. swiatkiem w pozwie grupowym wobec banku :)

    A co to jest "swiatek"?
  • kotaro 12.07.08, 12:37
    dx7 napisał:


    > A co to jest "swiatek"?

    Mało tego, pojawił się też w mojej szybko pisanej wypowiedzi wyraz "konsek". Co to jest "konsek"? :(
  • ready4freddy 12.07.08, 13:58
    > A co to jest "swiatek"?

    maly swiat, albo suma dwoch polswiatkow :)

    fajny nick, to od yamahy? :)
    --
    lody ruszyly, panowie przysiegli! defilade poprowadze osobiscie!
  • carpaccio4 12.07.08, 19:13
    kotaro napisał:

    > Juz zasysam - przyda sie taki smakowity konsek. Moge byc np. swiatkiem w pozwie
    > grupowym wobec banku :)


    oczywiście, że możesz. powinieneś jednak pamiętać o:

    "Rozdział 8

    Przepisy karne

    Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie
    jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega
    grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
    2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie
    rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne,
    przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia,
    kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie,
    karze ograniczenia wolności albo pozbawienia wolności do lat 3.

    Art. 50. Kto administrując zbiorem danych przechowuje w zbiorze dane osobowe
    niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia
    wolności albo pozbawienia wolności do roku.

    Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony
    danych osobowych udostępnia je lub umożliwia dostęp do nich osobom
    nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
    wolności do lat 2.
    2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia
    wolności albo pozbawienia wolności do roku.

    Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek
    zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub
    zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
    wolności do roku.

    Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych,
    podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

    Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania
    osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji
    umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega
    grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku."

    ja osobiście bym nie zasysał.

  • m4t 12.07.08, 19:20
    carpaccio4 napisał:

    > Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie
    > jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega
    > grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

    Ale jest tam jakiś limit od którego to zaczyna działać :)

    chyba 100?

    Pozdrawiam
  • carpaccio4 12.07.08, 19:46
    m4t napisał:

    > carpaccio4 napisał:
    >
    > > Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie
    > nie
    > > jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podl
    > ega
    > > grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
    >
    > Ale jest tam jakiś limit od którego to zaczyna działać :)
    >
    > chyba 100?
    >
    > Pozdrawiam

    jak udowodnisz, że to znajomi a ty to tylko dla siebie to niby można. przecież
    nikt jeszcze nie odpowiadał za prowadzenie przysłowiowego notesu z namiarami:) a
    że objętość duża?
  • m4t 12.07.08, 19:58
    Przepraszam douczyłem się:

    "Artykuł 3(Tejże ustawy)
    2. Ustawę stosuje się również do osób fizycznych i prawnych oraz jednostek
    organizacyjnych nie mających osobowości prawnej, które przetwarzają dane w związku z
    działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

    4. Ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych."

    Czyli jeżeli ktoś przeważa te dane z "pobudek osobistych" i na nich nie zarabia, to jak w mordę strzelił Art.3 pkt.4

    Pozdrawiam
  • stanislaw-z-lodzi 12.07.08, 12:24
    Trzeba zatrudniać profesjonalistów, a nie jakieś firmy z wyrobioną "marką",
    gdzie nie dba się o jakość.
  • peter 12.07.08, 12:24
    Dlaczego Gazeta.pl podaje adres tej strony i przyczynia się do
    zwiększenia liczby osób mających dostęp do nie swoich danych?
  • norabs 12.07.08, 14:13
    peter napisał:

    > Dlaczego Gazeta.pl podaje adres tej strony i przyczynia się do
    > zwiększenia liczby osób mających dostęp do nie swoich danych?

    A to uważasz ze prasa powinna podawać same nekrologi ? bank nawalił
    dał ciała, zaoszczędził na informatykach to teraz zapłaci
    odszkodowania, jeśli znajdzie się taki adwokat który poprowadzi
    sprawę za prowizje po sprawie!!!

    --
    Zmieniłem stronę startową i przeniosłem się na to forum, bo na
    innych jest dosadna CENZURA
  • rezoon 12.07.08, 12:24
    wpadka?
    mega hiper wtopa - z prądu ten serwer wyłączyć :/ - ja nie mogę to co się
    dzieje z systemami w tym banku skoro dane osobowe przechowują na serwerze
    podłączonym do sieci ,,,,
  • pnd 12.07.08, 12:29
    Jestescie skrajnie nieodpowiedzialni i bez wyobrazni. Roztrabiliscie to na
    caly kraj i teraz caly kraj rzuci sie tam i zacznie sciagac te cv na potege.
    To jest gownojadzwto, a nie dziennikarstwo
  • michalos-lodz 12.07.08, 13:22
    Popieram przedmowce. Trzeba bylo zaalarmowac Bank a dopiero po calej sprawie
    napisac artykul. No ale widac ze $$ sie liczy najbardziej, kosztem ludzi ktorych
    dane beda teraz krazyc po internecie :S
  • asmok6 12.07.08, 13:41
    pnd napisała:

    > Jestescie skrajnie nieodpowiedzialni i bez wyobrazni. Roztrabiliscie to na
    > caly kraj i teraz caly kraj rzuci sie tam i zacznie sciagac te cv na potege.

    Bez przesady. Gazeta opublikowała bardzo późno, gdy bank już był zaalarmowany a
    cały kraj i tak już znał linka. Portale to nei jest jedyne źródło informacji, a
    w pozostałych źródłach ten link już krąży od paru godzin.
  • pnd 12.07.08, 14:05
    Wiem, gazeta opublikowala ten news, jak znalezli go na wykopie, tylko ze
    wykop.pl to niszowy serwis. Mozliwe, ze bank zabieral sie za rozwiazywanie
    problemu, natoimiast gazeta zachowala sie jak ktos, kto widzac pozar dolewa
    oliwy do ognia.
  • m4t 12.07.08, 14:59
    pnd napisała:
    >Mozliwe, ze bank zabieral sie za rozwiazywanie

    Za długo się zabierał, dostał kopa od GW by problem usunęli, nawet od tego kopa
    Google wypróżniło się z części cache(podręcznych archiwów).

    Z drugiej strony, GW pewnie nie ma misji zbawienia i naprawienia świata: jeżeli
    firma hostingowa przez kilka dni nie jest w stanie wykryć włamania do systemu, i
    zmiany konfiguracji to jest jakiś NEWS i GW o tym pisze. Pisze i "udowadnia"
    stąd ten link :/

    Można powiedzieć, że byli złośliwi, ale na świecie jest wiele serwisów co
    publikują np. exploity(luki) oprogramowania. Na dłuższą metę to dobre
    rozwiązanie, zmusza producentów/twórców oprogramowania do poprawy jakości.

    Jaki morał,

    Dla banku:
    Nie zlecać prac firmom od których nie można wyciągnąć odszkodowania, za szkody
    które mogą wyrządzić.

    Dla firmy:
    Nie zabierać się za projekty, które wymagają profesjonalizmu, rejestracja domeny
    na osobę prywatną: żenada, i zablokowanie kontaktu w wypadkach takich jak ten!!!

    Dla Wysyłających CV/LM:
    Starać się pisać je ładnie, i tak jakby wszyscy mogli je przeczytać, tj. nie
    wypisywać chał.

    Pozdrawiam
  • asmok6 12.07.08, 15:26
    pnd napisała:

    > Wiem, gazeta opublikowala ten news, jak znalezli go na wykopie, tylko ze
    > wykop.pl to niszowy serwis. Mozliwe, ze bank zabieral sie za rozwiazywanie
    > problemu, natoimiast gazeta zachowala sie jak ktos, kto widzac pozar dolewa
    > oliwy do ognia.

    No owszem, tak się właśnie zachowali. Ale moim zdaniem - taka już rola gazety.
    Tym bardziej że po pierwsze bank nie powinien się "zbierać" tylko rozwiązać go
    natychmiastowo po pierwszym sygnale (usunąć pliki bo nie miało prawa ich tam
    być, jakieś 15 sekund a nie 8 godzin!), a po drugie przez dziwaczne działania
    sami utrudnili chętnym zgłoszenia problemu. Tak jak już wspomniano w poście
    wyżej - standardowym postępowaniem kogoś kto chce pomóc powinno być sprawdzenie
    danych kontaktowych w bazie whois i poinformowanie o problemie, po to ta baza
    jest. Tymczasem bank zarejestrował domenę na osobę prywatną i ukrył dane
    kontaktowe. Lekko irracjonalne i niepokojące postępowanie. Wcale bym się nie
    zdziwił gdyby się okazało że zbagatelizowali problem i presję wywarł na nich
    dopiero artykuł gazety i podanie linka. (A na to wskazuje czas reakcji)
  • easier_to_fly 12.07.08, 12:30
    A gazeta.pl powinna zostać zaskarżona za podawanie do publicznej wiadomości
    adresu, pod którym można przejrzeć cv-ki! Umieszczenie tego adresu na waszej
    stronie to znaczenie szersze rozpowszechnianie informacji zawartych w cv-kach,
    niż na stronie pko. Schodzicie na psy. Tragedia.
    --
  • stanislaw-z-lodzi 12.07.08, 12:30
    Może być pusty. Przynajmniej chwilowo obejdziecie problem.
    Tak to jest, jak się zatrudnia studentów :D
  • covallus.annison 12.07.08, 12:34
    12:30 - chyba jakiś admin się w końcu obudził... :\ Najwyższa pora...
  • innymacuser 12.07.08, 12:44
    Standardowa pora wstawania adminow po nocce spedzonej na WOW, HL2 i
    alt.binaries.pictures...

    --
    "Obywatele nie powinni obawiać się swojej władzy, lecz to władza powinna bać się
    swoich obywateli" - V
  • michalos-lodz 12.07.08, 12:51
    nie jest to dobre wyjscie bo jak ktos juz wszedl to moze sciagac do woli, tym
    bardziej ze GW znowu moze podac nowy sposob na dostanie sie do plikow przez
    bezposrednie linki. zabezpieczeniem na krotka chwile do czasu naprawienia bledu
    byloby chwilowe wylaczenie serwera :)
  • asmok6 12.07.08, 13:13
    michalos-lodz napisał:

    > nie jest to dobre wyjscie bo jak ktos juz wszedl to moze sciagac do woli, tym
    > bardziej ze GW znowu moze podac nowy sposob na dostanie sie do plikow przez
    > bezposrednie linki. zabezpieczeniem na krotka chwile do czasu naprawienia bledu
    > byloby chwilowe wylaczenie serwera :)

    Nie. Zgodnie z prawem tych plików w ogóle nie powinno tam być. Zabezpieczeniem i
    to natychmiastowym byłoby wywalenie tych plików poza katalog dostępny dla
    serwera www.
  • michalos-lodz 12.07.08, 13:18
    Szczerze mowiac nie wiem jak zgodnie z prawem powinno to wygladac, ale na
    podstawie posiadanej pewnej wiedzy informatycznej stwierdzam jedynie ze szybciej
    "odlaczyc kabel" niz przesuwac/kopiowac/usuwac pliki.
    Tak czy owak problem jest rozwiazany. Oczywiscie mniej grozne sa przypadki kiedy
    ktos wszedl na strone i kliknal w cv dla sprawdzenia czy faktycznie nie dziala,
    ale ciekawe ile osob zapuscilo skrypt sciagajacy wszystkie pliki? Chyba mieli
    wystarczajaco czasu.
  • stanislaw-z-lodzi 12.07.08, 13:53
    Dokładnie tak. Każde dziecko wie, że powinien być DMZ, warstwa wewnętrzna i tym
    podobne sprawy. Pewnie bazy danych z transakcjami też są wystawione. Tylko
    trochę trzeba poszperać ;)
  • kosmosiki 12.07.08, 14:03
    > Może być pusty. Przynajmniej chwilowo obejdziecie problem.
    > Tak to jest, jak się zatrudnia studentów :D

    To chyba właśnie Ty jesteś takim studentem. Sorry to nic nie pomoże poza
    wyłączeniem indeksów, pliki nadal będą dostępne. No tylko (co Tobie pewnie się w
    głowie nie mieści) będzie trzeba enumerować ich adresy - próbować kolejno coś w
    rodzaju /files/#/####.[doc|pdf]

    W ogóle co za kretyn włącza indeksowanie katalogów na produkcyjnym serwerze?
    Takie coś to jest jedna z pierwszych rzeczy, które by wyskoczyły na skanerze
    podatności. Ale wygląda na to, że on nawet audytu nie robili dla tego systemu.
  • asmok6 12.07.08, 15:30
    kosmosiki napisał:

    > W ogóle co za kretyn włącza indeksowanie katalogów na produkcyjnym serwerze?
    > Takie coś to jest jedna z pierwszych rzeczy, które by wyskoczyły na skanerze
    > podatności. Ale wygląda na to, że on nawet audytu nie robili dla tego systemu.

    Ja bym poszedł trochę dalej i napisał: w ogóle co za kretyn umieszcza pliki z
    danymi w htdocs.

  • kosmosiki 12.07.08, 16:03
    > Ja bym poszedł trochę dalej i napisał:
    > w ogóle co za kretyn umieszcza pliki z
    > danymi w htdocs.

    Z danymi osobowymi miałeś na myśli. Oczywiście masz rację.

    Moja myśl polegała na tym, że właściwie dowolny skaner podatności ze
    standardowym zestawem reguł (np. Nessus czy Foundstone) wykryłby to z miejsca.
    To dowodzi tylko tego, że system w ogóle nie był analizowany pod tym kątem.

    Po prostu mośki w banku stwierdzili, że to nie ich problem, a firma realizująca
    to lamerzy. Pewnie podobny błąd mają na innych stronach stworzonych przez tą
    firmę bo pewnie używają tego samego systemu.
  • m4ciek 12.07.08, 12:34
    juz zablokowali ;> nie zdazylem odpalic teleporta ;)
  • kotaro 12.07.08, 12:34
    Wreszcie jakis matol wylaczyl serwer.
  • kjk3 12.07.08, 13:24
    chyba twój mózg wyłączono, serwer dalej chodzi i żeby było śmieszniej dalej są
    widoczne kompromitujące bank informacje zamieszczone przez h4x0r'a

    fotozrzut.pl/zdjecia/407bb5a7a4.png

    taka drobna sugestia dla banku Pekao SA... może warto wykupić hosting w
    porządnej firmie ???
    może warto zatrudnić specjalistę od zabezpieczeń ???
    nie macie kasy na to prawda ???

    daliście ciała na całej linii, i ciężko będzie wam odbudować zaufanie klientów i
    bardzo dobrze

  • marcin_wieleq 12.07.08, 16:18
    w cache googla i osiolku dalej wszystko dostepne
  • bosski77 12.07.08, 12:34
    Przeglądałem sobie kandydatów, ale przed chwilą zablokowali
    dostęp....
    Świnie :P
  • 328i 12.07.08, 12:36
    ma ktos cv :) ?
  • m4t 12.07.08, 13:07
    Pewnie już niedługo będą torrent'y z tymi CV

    Pozdrawiam
  • morbideagle 12.07.08, 12:37
    te dane zostały już nawet zindeksowane i przez google (obecnie
    dostępna wersja HTML), mianowicie
    site:www.zainwestujwprzyszlosc.pl/files/0/
  • hopekk 12.07.08, 12:37
    weszlem pod adres a tu dupa.
  • annajustyna 12.07.08, 14:51
    Weszles?! A to faktycznie doopa:(.
    --
    Gasofnia
  • asmok6 12.07.08, 15:31
    hopekk napisał:

    > weszlem pod adres a tu dupa.

    Spóźniłeś się. Trzeba wcześniej wstawać w soboty :)
  • moherfucker1 13.07.08, 11:02
    Widac, widac.... Wystarczy wersja HTML kliknac i setki CV jak na dloni...

    Np:

    Pan MIchal P.

    Dodatkowe
    umiejętności



    Znajomość języków obcych:

    Język angielski (zaawansowany)

    Język niemiecki (zaawansowany)

    Język hiszpański (poziom podstawowy)

    Znajomość pracy z komputerem:

    Zaawansowana znajomość:

    Programy:

    Windows, Word, Excel, Powerpoint, Frontpage, Access;

    Średnio-zaawansowana znajomość:

    Języki programowania: SQL, HTML;

    System operacyjny Linux

    Prawo jazdy (kategoria B);

    Papiery Młodszego Ratownika WOPR

Popularne wątki

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka
Agora S.A. - wydawca portalu Gazeta.pl nie ponosi odpowiedzialności za treść wypowiedzi zamieszczanych przez użytkowników Forum. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin.