Pārdomas sakarā ar Boot.lv foruma lietotāju datu zādzību

Nu tā. Uzreiz atvainojos visiem tiem, kam tēma “boot.lv foruma lietotāju datu zādzība” tuvākajās stundās jau būs piegriezusies, bet vēlos izteikt arī savas domas par attiecīgo incidentu.

Tātad ievadam. Kāds/kādi gudrīši sadomājuši, ka būtu forši izcelties un it kā izmantojot IPB (foruma dzinējs) ievainojamību (tā vismaz apgalvo boot.lv pārstāvji) nozaguši lietotāju datus. Šajos datos atrodami lietotāju vārdi, epastu adreses, paroles šifrētā, kā arī daudziem nešifrētā veidā. Es ekrānšāviņu netaisīšu, bet nocitēšu daļu no raksta, kurā boot.lv pārstāvji stāsta par notikušo:

Lietotāju dati un paroles ir pilnīgā drošībā jo datubāzē fiksētās paroles ir šifrētas un nevar tikt izmantotas.

Izlasot kaut ko tādu rodas jautājums. Kādēļ publiski melot? Ir tur paroles nešifrētā veidā. Ir! Es IPB neizmantoju un tāpēc nezinu vai tas mēdz glabāt paroles atklātā veidā. Kādām ir pieredze? Neskatoties uz to mēdz vai nemēdz rodas uzreiz divi jautājumi. Ja nemēdz – kādā bezsakarā datu bāzē atradās nešifrētas paroles? Ja mēdz – kādā bezsakarā IPB nepieciešamas nešifrētas paroles? Bet varbūt tās palikušas vēl no PHPBB laikiem. Pieļauju, ka tā arī ir.

Otra lieta ir attieksme. Nepietiek ar to, ka melojam tautai par to, ka paroles bija šifrētas, jāizrāda pilnīgu vienaldzību par faktu kā tādu. Citēšu Zigmāru (M79 un tātad arī boot.lv bosu):

Šito jau zinām. Vainīgais, kas nodeva datubāzi urķiem ir Egons Slavinskis (detalizētāks cilvēka portfolio http://www.draugiem.lv/friend/?3166184 )
Nekavējoties sauksim viņu pie kriminālatbildības.
Tā kā Egona šovs uz īsu laiku tiek slēgts.

Tiem, kas nezina varu pateikt. Egons ir fiktīvs personāžs, kurš parādijās 1.aprīlī un viņu atdarina Zigmārs. Ne jau Egonā ir vaina, bet tajā, ka Zigmārs uzskata, ka tāda lieta ir tik nesvarīga, ka var izteikt šādus epitetus. Gan izskaidrojošais raksts, gan forumā komentāri liecina par to, ka Zigmāram nav ne mazākās vēlmes kaut ko darīt lietas labā. Kaut vai profilakses nolūkā tiešām uzrakstīt iesniegumu policijā. Iepriekš, kad tika piefiksēts, ka kāds aizņēmies boot.lv dizainu savas lapas dizaina konceptam, tad gan bija liels troksnis un ažiotāža, taču šoreiz viss ir kā joks. Kaut kas īsti šādā attieksmē nav pareizs. Ja Zigmārs tomēr aizies un uzrakstīs iesniegumu, tad ņemu savus vārdus atpakaļ (par to, ka viss izskatās nenopietni utt.).

Lielākā daļa no foruma lietotājiem var būt mierīgi, jo dati ir visai veci, bet tas nenozīmē, ka pilnībā neaktuāli.

OK – pietiks par to. Varbūt esmu nedaudz pārāk sacepies. Aizdomāsimies uz laiku par to, cik īstenībā esam nedrošā situācijā. Ir daudzi online servisi kuros glabājam savus personiskos datus, saraksti ar citiem cilvēkiem utt. Un tagad iedomājieties, ka kāds to padara pilnībā publisku. Jūsu sarakste draugiem.lv, privātie ziņojumi forumos, epasta adreses un paroles. Jautrā un pārsteigumiem pilnā pasaulē dzīvojam.

4 comments

  1. Es gan neteiktu, ka dati ir pārāk veci, jo viena no pēdējiem lietotājiem kādā tabulā timestamp bija 28. aprīļa plkst 13:44 :). Tas, ka plain-text paroles ir vecas, tas gan fakts.

  2. Nu svaigie dati nerada tādu risku kā vecie, jo svaigie ir ar šifrētām parolēm. Savukārt nešifrētās ir vecas. Bet ja kāds kopš tiem laikiem paroli nav mainījis, tad gan ir riska iespējas. Turklāt kā var redzēt diskusijās, tad ir paroļu un lietotāju vārdu kombinācijas, kuras tiešām strādā. Tikai jautājums – cik daudzi no lietājiem ir apdraudēti un cik daudzi no viņiem tieši tādas vai ļoti līdzīgas paroles izmanto citos servisos.

    Tā kā ir pieejamas arī IP adreses, tad ziniet daudzie boot.lv lietotāji – tagad katru jūsu apmeklējumu citās lapās varēs identificēt (ja vien jums nav dinamiskā IP vai nedzīvojaties ar proxy serveriem).

  3. He, baisi interesanta padarīšana. Tomēr paša boot.lv reaģēšana nudien ir pilnīgi neadekvāta un šķiet Tu vienīgais to esi pamanījis.

    Un tomēr neticu, ka notiks kāda “paraugprāva”, gan jau attiecīgais ‘ņēmējs’ pietiekami labi nodrošinājās pret to, lai viņu atrastu.

    Taustiņklabeklis savā blogā raksta par: Lieliskas dziesmas, oriģināls izpildījums – David Ford

  4. Varbūt tieši nevērīgā BOOT administracijas attieksme ir tāpēc ka viņi paši ir nopludinājuši šo DB dumpu… Izklausās neprātīgi un neloģiski, bet kapēc tā nevarētu notikt?

Atbildēt

Jūsu e-pasta adrese netiks publicēta.

This site uses Akismet to reduce spam. Learn how your comment data is processed.