Wpadki | Zaufana Trzecia Strona

Wpadki

Wyłączyliście autoryzację SMS w mBanku? Niestety łatwo to ominąć

Wyłączyliście autoryzację SMS w mBanku? Niestety łatwo to ominąć

Włączyliście w mBanku autoryzację w aplikacji, by nikt nie mógł ukraść Wam kodu z SMS-a? To dobry pomysł, ale niestety okazuje się, że bez żadnego problemu można dla konkretnej transakcji wymusić autoryzację SMS. Zaskoczeni? Słusznie.… Czytaj dalej

Podłączanie telefonu do samochodu nie zawsze jest dobrym pomysłem

Podłączanie telefonu do samochodu nie zawsze jest dobrym pomysłem

Teraz to już nie są te same samochody, co kiedyś, czyli historia o tym, jak branża motoryzacyjna podatnościami stoi. W samochodzie połączonym z telefonem zostaje więcej informacji niż nam się wydaje.… Czytaj dalej

Kilkaset CV Polaków, zgromadzonych przez InJobs, było dostępnych w sieci

Kilkaset CV Polaków, zgromadzonych przez InJobs, było dostępnych w sieci

Firmy, również polskie, chętnie przechowują zebrane przez siebie dokumenty w chmurze Amazona ze względu na nielimitowaną powierzchnię. Niefrasobliwość części z nich prowadzi jednak do mniej i bardziej poważnych wycieków.… Czytaj dalej

Setki klientów banku straciły domy na skutek błędu systemu

Setki klientów banku straciły domy na skutek błędu systemu

Kiedy składacie wniosek o przyznanie kredytu, bank podejmuje decyzję. Ktoś w banku zbierze o Was informacje, oceni wiarygodność, dokona obliczeń i poinformuje, czy kredyt dostaniecie. Właśnie, ktoś? Czy algorytm?… Czytaj dalej

Co robić, gdy wyślecie listę 3000 swoich dłużników przypadkowej osobie

Co robić, gdy wyślecie listę 3000 swoich dłużników przypadkowej osobie

Dane osobowe i adresowe oraz kwoty zadłużenia ponad trzech tysięcy czytelników pewnej biblioteki przez pomyłkę trafiły w niepowołane ręce. Zobaczcie, jak powinna wyglądać prawidłowa reakcja na tego typu incydent.… Czytaj dalej

Historia o dowodach rejestracyjnych, dekoderze AZTEC i pewnym monopolu

Historia o dowodach rejestracyjnych, dekoderze AZTEC i pewnym monopolu

… czyli opowieść o tym, jak z publicznych pieniędzy stworzono zamknięte rozwiązanie i źródło zarobku kilku prywatnych firm, bo ustawa nie mówiła, że tak nie wolno.… Czytaj dalej

Prawa jazdy, dowody rejestracyjne, polisy były dostępne w sieci

Prawa jazdy, dowody rejestracyjne, polisy były dostępne w sieci

Zebranie dokumentów od klientów nie jest specjalnie trudne. Nieco trudniejsze jest jednak zapewnienie bezpieczeństwa zebranych danych, o czym przekonała się firma eRzeczoznawcy, a pośrednio także jej klienci.… Czytaj dalej

Jak Polsat Sport opublikował na Twitterze hasło do serwera FTP

Jak Polsat Sport opublikował na Twitterze hasło do serwera FTP

Takie wpadki się zdarzają. Media o nich piszą, wszyscy się z nich śmieją, a potem sami robią zdjęcie swojej firmowej tablicy i padają ofiarą tej samej pomyłki, bo nie da się wszystkich upilnować.… Czytaj dalej

Formatujecie karty pamięci w urządzeniach? To nie formatujecie

Formatujecie karty pamięci w urządzeniach? To nie formatujecie

Dzisiaj karty pamięci są tanie, popularne i pełne zdjęć oraz danych, których nie chcecie pokazywać obcym. Czy zatem wystarczy użyć formatowania w aparacie, zanim je sprzedacie? Zdecydowanie nie.… Czytaj dalej

Pod adresem secure.msz.gov.pl stoi honeypot z reklamą levitry

Pod adresem secure.msz.gov.pl stoi honeypot z reklamą levitry

Czasem trafiamy na strony, na których nie wiemy już sami, czy śmiać się, czy płakać, czy może jednak walić głową w stół, bo tylko to nam zostało. Właśnie dzisiaj spotkał nas jeden z takich momentów.… Czytaj dalej

Nieudolnie zamaskowana dokumentacja systemu e-sądu ujawnia hasła dostępu

Nieudolnie zamaskowana dokumentacja systemu e-sądu ujawnia hasła dostępu

Dokumentacja techniczna systemów e-sądu, zawierająca hasła administratorów, adresację serwerów, architekturę sieci i pliki konfiguracyjne, była dostępna na stronie MS, a dane poufne chroniły czarne prostokąty w PDF-ach. Naprawdę.… Czytaj dalej

Jak mogliście uziemić w Wiedniu wiceministra przedsiębiorczości i technologii

Jak mogliście uziemić w Wiedniu wiceministra przedsiębiorczości i technologii

Czy przedstawicielowi rządu można w trakcie podróży anulować bilet lotniczy i uziemić go w obcym mieście? Można, jeśli nierozważnie opublikował numer swojego biletu lotniczego na Twitterze i Facebooku.… Czytaj dalej

Imię i nazwisko to nie są dane osobowe – przynajmniej wg Phinance S.A.

Imię i nazwisko to nie są dane osobowe – przynajmniej wg Phinance S.A.

Co robić, jeśli przez przypadek ujawni się adresy e-mail 200 klientów, którzy zażądali usunięcia swoich danych? Można incydentu nie zgłaszać, trzeba tylko ogłosić, że wśród ujawnionych danych nie było danych osobowych.… Czytaj dalej

Jak pognieciony rachunek z McDonalda zdemaskował policjanta – złodzieja

Jak pognieciony rachunek z McDonalda zdemaskował policjanta – złodzieja

Nieuczciwi policjanci istnieją na całym świecie. Czasem wpadają w ręce swoich kolegów lub innych służb – mało z nich jednak wpada w tak trywialny sposób, na skutek własnej nieuwagi, odrobiny przypadku i szczypty bezczelności.… Czytaj dalej

Jak po kradzieży dwóch kopert złodziej może aktywować kartę płatniczą Nest Banku

Jak po kradzieży dwóch kopert złodziej może aktywować kartę płatniczą Nest Banku

Dwie zwykłe koperty w skrzynce na listy – jedna z kartą płatniczą, druga z PIN-em. Sami przyznacie, że to nie najlepszy pomysł, jeśli kartę można aktywować, nie logując się do systemu bankowości internetowej lub mobilnej.… Czytaj dalej

Nie ma to jak wysłać cudze dane do 3500 odbiorców, dodając ich w polu „Do”

Nie ma to jak wysłać cudze dane do 3500 odbiorców, dodając ich w polu „Do”

Zazwyczaj nie opisujemy już zgłoszeń, w których ktoś wkleił listę odbiorców w pole „Do” zamiast do „Ukryta kopia”. Tym razem jednak zrobimy wyjątek, bo osiągnięcie pracownika firmy DHL przebija to, co widzieliśmy do tej pory.… Czytaj dalej

Dane osobowe i podróże tysięcy klientów LeoExpress były dostępne w sieci

Dane osobowe i podróże tysięcy klientów LeoExpress były dostępne w sieci

W tej historii jest wszystko, czego można oczekiwać po dobrym CSI:Cyber. Niewalidowane tokeny, iteracja po przewidywalnym ID, dane produkcyjne na serwerze testowym, a nawet zawoalowane groźby firmy, której problemy dotyczyły.… Czytaj dalej

Dane kilkunastu tysięcy klientów sieci Play wyciekły do sieci

Dane kilkunastu tysięcy klientów sieci Play wyciekły do sieci

Najpierw pojawił się wpis na Wykopie. Nowo zarejestrowany użytkownik alarmował, że pracownica salonu sieci Play w Piekarach Śląskich handluje danymi klientów. Postanowiliśmy bliżej przyjrzeć się tej sprawie.… Czytaj dalej

Wyciek danych klientów HRD.pl przy okazji migracji systemu

Wyciek danych klientów HRD.pl przy okazji migracji systemu

Błędy w aplikacjach się zdarzają. Zdarzają się także błędy trywialne. Zdarzają się również błędy prowadzące do ujawnienia danych użytkowników. Najgorzej jednak, gdy obie kategorie się pokrywają. To zdarzyło się HRD.pl.… Czytaj dalej

Signal – kiedy okazuje się, że znikające wiadomości nie zawsze znikają

Signal – kiedy okazuje się, że znikające wiadomości nie zawsze znikają

Od czasu rewelacji Snowdena trwa wielki boom na bezpieczne komunikatory. Kilka z nich zyskało sporą popularność, ale jak pokazują problemy jednego z nich, nawet te dobre mogą nie ustrzec się wpadek.… Czytaj dalej

Jak pewien duży hotel zignorował nasze zgłoszenie – a było co zgłaszać

Jak pewien duży hotel zignorował nasze zgłoszenie – a było co zgłaszać

Gdy informujecie nas o lukach odkrytych w jakimś systemie, kontaktujemy się z jego administratorem i zanim coś napiszemy, staramy się doprowadzić do ich załatania. Zdarza się jednak, że administratorzy nasze sugestie ignorują.… Czytaj dalej

Czego nie robić w pierwszym dniu obowiązywania przepisów, czyli RODOwpadki

Czego nie robić w pierwszym dniu obowiązywania przepisów, czyli RODOwpadki

Gdy zaczął się szał informowania klientów o tym, jak bardzo firmy dbają o ich dane osobowe, byliśmy pewni, że nie zabraknie także materiału na nowy artykuł. Oczywiście nadawcy e-maili nie zawiedli – poniżej krótki przegląd wyników.… Czytaj dalej

Jak ministerstwo z politechniką rozsyłały podatnikom ankiety, nie pytając ich o zgodę

Jak ministerstwo z politechniką rozsyłały podatnikom ankiety, nie pytając ich o zgodę

Czytelnik poinformował nas o wiadomości, która do niego dotarła z adresu ankietaPB@mf.gov.pl. Ministerstwo Finansów zachęcało w niej do wypełnienia ankiety przygotowanej przez Politechnikę Białostocką. Spoofing e-maila? Nie tym razem.… Czytaj dalej

Jak polscy oszuści Wykop, nas oraz giełdę BTC nabrać próbowali

Jak polscy oszuści Wykop, nas oraz giełdę BTC nabrać próbowali

Tydzień temu przez Wykop przetoczyła się afera związana z rzekomym zaborem 12 000 PLN przez polską giełdę kryptowalut BitBay. Osoba rzekomo poszkodowana opisała wydarzenia – lecz nie brzmiała wiarygodnie.… Czytaj dalej

RODO tuż za progiem, a polskie urzędy, banki i uczelnie nadal nie nauczyły się używać BCC

RODO tuż za progiem, a polskie urzędy, banki i uczelnie nadal nie nauczyły się używać BCC

Niby każdy wie, że wysyłając maila do kilku odbiorców, może użyć pola UDW, czyli „ukryte do wiadomości” (po ang. BCC – blind carbon copy), ale zdarzają się pomyłki. Gorzej, jeśli zdarzają się przedstawicielom poważnych instytucji.… Czytaj dalej