Polski dostawca energii utracił dane ponad 3 mln osób
Jeden z cwaniakow na tym forum bral udzial w tworzeniu tego "dziela". Ciekawe czy sie przyzna :D.
0
0
Z tego co sie orientuje za wyciek odpowiedzialny jest podwykonawca grzebiący coś przy Elasticu, więc skąd pewność że to ma związek?
1
13 minut temu
https://downforeveryoneorjustme.com/dobreprogramy.pl
It's not just you! dobreprogramy.pl is down.
???????????????????????????????????????????
0
To nie polski dostawca tylko fiński. Tak więc po tytule można wnioskować, że g**no warty ten artykuł.
15
Musze Cie rozczarowac.
Nawet za kilka lat, gdy bedziesz juz seniorem to nadal bedziesz popelniac bledy.
7
Nieomylność jest włączana na poziomie papieża, a nie seniora.
1
no tak ale zeby wystawic dane niezabezpieczone poza vpc to nie jest błąd, to jest partactwo
Diachenko poinformował, że 16 kwietnia natrafił na publicznie dostępny i niechroniony klaster Elasticsearch zawierający 3.376.912 rekordów z następującymi danymi:
0
plz oświećcie mnie po co im był ten Elastic?
2
Miang napisał(a):
plz oświećcie mnie po co im był ten Elastic?
Zgaduje, że do wyszukiwania :P
Mnie tylko zastanawia czy Elastic (firma), kiedykolwiek coś z tym zrobi. Jeśli bym widział, że osoby które używają mojego produktu są nierozgarnięte i takie instancje są na okrągło wynajdywane w sieci, to chyba dołożyłbym jakąś najprostszą autentykację do darmowej wersji (jeśli jej nie ma, nie kojarzę żeby coś było poza XPackiem (wiadomo - muszą zarabiać), chyba że jakieś pluginy? Zazwyczaj korzystaliśmy z AWSowej usługi. Jeśli stawialiśmy ręcznie to dostęp z konkretnych IP/VPC) - ale to ja, albo starałbym się przynajmniej ich edukować bardziej w tym temacie.
0
Constantic napisał(a):
Polski dostawca energii utracił dane ponad 3 mln osób
Jeden z cwaniakow na tym forum bral udzial w tworzeniu tego "dziela". Ciekawe czy sie przyzna :D.
Ale że to on sprzedał te dane?
2
Każdy popełnia błędy. Najważniejsze to mieć jednak kogoś na kogo można je zwalić.
3
Jeden z cwaniakow na tym forum bral udzial w tworzeniu tego "dziela". Ciekawe czy sie przyzna :D.
Jeżeli faktycznie to był niezabezpieczony Elastic, to dlaczego jakikolwiek programista miałby się przejmować? w kontekście odpowiedzialności
devopsi/admini? security/pentesterzy czy inni magicy od sec? halo?
1
To lecimy dalej :D https://sekurak.pl/wyciek-z-microsoftowej-wyszukiwarki-bing-6-5tb-danych-dostepnych-publicznie-wyszukiwane-frazy-geolokalizacje-osob-korzystajacych-z-wyszukiwarki/
Marzy mi się, że ES doda chociaż basic auth w darmowej wersji (albo że firmy zaczną płacić za x-packa ale prędzej bym liczył na pierwszą opcję). Ludzie sobie krzywdę robią tym narzędziem
1
Im potężniejsze narzędzia używane do rozwiązywania różnych problemów tym bardziej spektakularne wtopy i wycieki nas czekają.
Czasem teki elastic to rzecz niezbędna ale w wielu przypadkach nie. Sami odpowiedzcie jak często nadużywacie technologii, których w 100% nie poznaliście by rozwiązać problemy, które można było rozwiązać "czystym kodem" poświęcając jedynie kilka lub kilkanaście godzin więcej?
A swoją droga całe te SRODO i ochrony danych osobowych **są ch...ja warte ** skoro każdy w sieci może zobaczyć moje pełne dane z datą urodzenia i PESEL'em poprzez państwowy portal:
1
katakrowa napisał(a):
Im potężniejsze narzędzia używane do rozwiązywania różnych problemów tym bardziej spektakularne wtopy i wycieki nas czekają.
Czasem teki elastic to rzecz niezbędna ale w wielu przypadkach nie. Sami odpowiedzcie jak często nadużywacie technologii, których w 100% nie poznaliście by rozwiązać problemy, które można było rozwiązać "czystym kodem" poświęcając jedynie kilka lub kilkanaście godzin więcej?
Ja się bardziej zastanawiam jak można być tak szalonym żeby trzymać produkcyjne dane w darmowym elasticu. Z tego co mi wiadomo to darmowy elastic nie ma zabezpieczenia hasłem, prawda? Cofnijmy się 10 lat i postawmy się na miejscu dewelopera który mówi kierownikowi że jest taka super baza która rozwiązuje wszystkie problemy, tylko że nie można w niej ustawić hasła i wszystkie dane będzie można sobie pobrać do siebie o ile ktoś dostanie się do ipka i portu. Taka osoba przecież od razu mogła by wysyłać CV, a w wypowiedzeniu było by napisane tylko baran.
A swoją droga całe te SRODO i ochrony danych osobowych **są ch...ja warte ** skoro każdy w sieci może zobaczyć moje pełne dane z datą urodzenia i PESEL'em poprzez państwowy portal:
Nie od dziś wiadomo że przedsiębiorcy w Polsce to ludzie gorszego sortu którzy nie posiadają wielu praw. (bo zgaduję że to portal dla przedsiębiorców).
Chociaż podobno dane zwykłej osoby też można łatwo pozyskać bo są potrzebne żeby wytoczyć takiej osobie proces. Nigdy tego nie testowałem, ale słyszałem że wystarczy iść do odpowiedniego urzędu, powiedzieć że chce się tej i tej osobie wytoczyć proces , zapłacić i dostaje się pełne dane, prawda to?