Gdy wyciekną dane dostępowe klientów danej usług, można wymusić reset haseł lub poprosić klientów o ustawienie nowych. Wielkopolska kablówka wybrała jednak inny sposób zaradzenia incydentowi – po prostu usługę wyłączyła.
Musimy przyznać, że metoda „na wyłączenie” jest dość radykalna, choć zapewne skuteczna. Problem tylko w tym, że w opisywanym przypadku problem dotyczy usługi poczty elektronicznej, z której, sądząc po komentarzach klientów, ktoś jednak korzystał…
Możliwość nieuprawnionego dostępu
Wczoraj na facebookowym profilu Inei pojawiła się zaskakująca wiadomość. Wyglądała tak:
Szanowni Klienci,
chcielibyśmy Was poinformować o decyzji o wyłączeniu usługi poczty elektronicznej dla domen icpnet.pl, inea.pl, tesatnet.pl w związku z możliwością nieuprawionego dostępu. Są to usługi w trakcie wygaszania, dla których nie tworzymy już nowych kont od 2015 roku.
Na takie działanie zdecydowaliśmy się w trosce o poprawność prowadzonych prac technicznych i potrzebę ograniczenia negatywnych skutków potencjalnego incydentu bezpieczeństwa.
Jednocześnie chcemy podkreślić, że na obecną chwilę nie dysponujemy konkretnymi dowodami wskazującymi na nieuprawniony dostęp do treści przechowywanych wiadomości email. Jako dobrą praktykę zalecamy w takiej sytuacji zmianę haseł do innych aplikacji, w tym innych kont pocztowych, jeżeli posługujecie się w nich tym samym hasłem.
Zapewniamy, że dokładamy wszelkich starań, aby wyjaśnić zaistniałą sytuację.
Serdecznie przepraszamy za utrudnienia.
Tradycyjnie spróbujmy rozebrać ją na części pierwsze. Zaczyna się od informacji o wyłączeniu (!) poczty elektronicznej z której korzystali klienci firmy. Brak informacji o charakterze wyłączenia – czy jest stałe, czy tymczasowe, jednak kontekst „wygaszania usługi” oraz brak informacji o tym, że poczta wróci, wskazuje, że z dnia na dzień, bez powiadamiania klientów, zamknięto na stałe dostęp do usługi.
Przyczyną ma być „możliwość nieuprawnionego dostępu”. Chyba powoli tradycją polskich komunikatów o problemach stają się określenia probabilistyczne jak np. „zanotowano próbę włamania” (bez wskazania czy próba była udana) czy też właśnie „możliwość” włamania lub „potencjalny” charakter incydentu. Możliwość, jak pewnie wszyscy czytelnicy wiedzą, zawsze istnieje. Skoro doszło do zamknięcia usługi, możliwość najwyraźniej musiała być bardzo bliska materializacji. Co więcej, w komunikacie mowa o chęci ograniczenia negatywnych skutków incydentu (którego nie potwierdzono) a także brak dowodów na użycie wykradzionych haseł do odczytywania cudzej poczty (choć znowu, wszystko jest potencjalne i zaledwie możliwe). Warto zwrócić uwagę, że aby hasła mogły zostać użyte do odczytania cudzej poczty, muszą być nie tylko ujawnione, ale także znane – a zatem przechowywane w formie jawnej lub słabo zabezpieczonej.
Na plus należy zaliczyć rekomendację zmiany haseł w innych serwisach – co ponownie sugeruje, że mogły one zostać ujawnione.
Co na to klienci
Inea dzielnie nie usuwa komentarzy niezadowolonych klientów na swoim profilu facebookowym – to rzadkość, bo inne ofiary włamań z reguły skuteczniej chowają głowy w piasek. Okazuje się, że sytuacja może dla wielu osób być dosyć trudna. Jeśli ktoś korzystał aktywnie z konta pocztowego Inei to nie może np. zresetować hasła do konta Moja Inea, by zalogować się i zmienić adres. Tutaj pewnie firma pomoże, ale co mają zrobić osoby, które z kontem pocztowym w Inea powiązały usługi innych dostawców? Szczególnie w przypadkach, gdy zmiana konta pocztowego wymaga wcześniejszego kliknięcia w link wysłany na stary adres? Niestety na razie Inea nie komunikuje możliwości powrotu usługi. Klienci nie pozostawiają wątpliwości co do swojej opinii na temat tej sytuacji:
Wysłaliśmy do Inei kilka pytań odnośnie tego prawdopodobnego incydentu, w tym także dotyczące możliwości powrotu usługi. Jak do tej pory nie otrzymaliśmy odpowiedzi.
Aktualizacja 2017-03-19
Jeden z Czytelników podesłał nam linka do opisu incydentu, w którym kilka tygodni temu ktoś z serwerów INEA rozsyłał spam do użytkowników INEA, próbując ukraść ich hasła do serwisu poczty elektronicznej. Być może ma to związek z opisywanym powyżej zdarzeniem.
Otrzymaliśmy także dzisiaj odpowiedź firmy na nasze pytania.
2. W jaki sposób były przechowywane hasła klientów firmy?
3. Czy planują Państwo przywrócenie dostępu do usług poczty?
Za informację dziękujemy 6thsurvivor.
Komentarze
INEA po kolei wyłącza wszystkie usługi dodane – Squid, FTP, serwer News, teraz pocztę, ciekawe kiedy wyłączą sam Internet :)
Generalnie pamiętam jeszcze z okresu, kiedy tam pracowałem (2004-2005, ówczesne ICP), że zarząd miał totalnie wywalone na „dobro klientów” i agresywnie kalkulował, jak tu wycisnąć jak najwięcej kasy, jak najmniej inwestując w cokolwiek, co nie jest „core businessem”.
Zamykanie usług dodanych było planowane już od tamtych czasów, tylko nie za bardzo mogli, bo np. FTP z piratami (o których oczywiście firma „nie wiedziała” i regulamin ich zabraniał) był swego czasu bardzo ważną przewagą biznesową dla wielu klientów (wiem, bo tak się składa, że się właśnie tym serwerem zajmowałem i widziałem, co się dzieje :) ). Ale jak tylko zapotrzebowanie zmalało, bo się ludzie przerzucili ze ściąganiem na inne kanały, to od razu zamknęli…
Ogólnie podejście INEI jest w wielu aspektach słabe (choćby różne utrudnienia przy rezygnacji z usług składowych, czy comiesięczne „promocje”). Szkoda, bo samą core’ową usługę mają bardzo dobrej jakości, a przez takie podejście ciężko taką firmę komukolwiek polecić…
Tomasz Klim polecam ! Weź sobie zrób normalną kapanię reklamową i zchowaj swoją twarz.
Rozumiem że chcesz zarabiać na życie, ale czemu musisz być krzakiem na dziendobry, weź człowieku, nie wiem ogarnij się
ty jesteś jakimś żartem ? Ruskim dezinfo czy co ? Tomaszu wydaje się że czasem mówisz z sensem a zachowujesz się czasem jakbyś miał kryzys wieku średniego, bądź tak miły i nie racz mnie więcej swoimi probelmami
Że niby co jest żartem? To że pracowałem w INEI, to że mieli serwer FTP z piratami, ogólne podejście zarządu, czy co jeszcze?
Piszę pod nazwiskiem, więc siłą rzeczy piszę dokładnie tak jak było, bez żadnego koloryzowania. I zapewniam, że mógłbym opowiedzieć o tej firmie dużo, dużo więcej.
Jeśli pracowałeś tam, i wiedziałeś o piratach a nie zgłosiłeś odpowiednim służbom… ojjj ojjjj
Opowiadaj Tomku, opowiadaj lub zachowaj to na poczet książki bo penterster to jeden z tych zawodów dla młodych i albo szybko się dorobisz albo będziesz średnio poważny od pewnego momentu, także wiesz wóz albo przewóz, musisz sobie precyzyjnie odpowiedzieć kim i w jakim miejscu jesteś oraz do czego zmierzasz, ogarniasz ?
To Ty podaruj nam czytanie swoich żali – forma wypowiedzi na poziomie przedszkolaka. Zupełnie nic niewnoszący bełkot w paru postach (łatwo poznać po niepotrzebnych odstępach).
Wypowiedź Tomka rzuca moim zdaniem całkiem ciekawe światło na sprawę. Dodam jeszcze w temacie, że po rezygnacji z umowy z ICPnet wiele lat temu, konto e-mail działało do teraz. Z tego wynika, że nie mieli żadnego powiązania faktycznych kont abonentów z tymi kontami e-mail.
Moim zdaniem zwykła próba usunięcia starego bałaganu, uzasadniona potencjalnym włamaniem ;)
Ocho, kundle z INEA juz na posterunku. Brawo! Lubu dubu, lubu dubu!
Lubię takie odpowiedzi na poziomie ;) Zero argumentów, zero kontekstu – nikt nie wie o czym mówisz. Klasyczny ból d. W INEA nie było mi dane pracować, ale jak już zgadujemy, kto gdzie pracuje – w Twoim przypadku mogę tylko obstawiać, że jest to praca za bardzo marne pieniądze.
@ Paweł #
Czyli trafilem w dziesiatke. :) Jak milo. No, zaspiewaj nam pawelku: lubu dubu, lubu dubu!
Gość, który na nie swojej stronie co chwile się przechwala gdzie to on nie był, czego to on nie widział i gdzie to nie pracował – mówi samo za siebie.
Będę omijał z daleka.
Cóż, przyznaję że zawsze pociągała mnie praca w znanych firmach, nawet jeśli płaciły troszkę mniej niż dałoby się wycisnąć gdzie indziej.
W dużej części właśnie ze względu na możliwość gromadzenia doświadczeń i opowiadania w przyszłości interesujących historii, gdzie odbiorcy od razu daną firmę kojarzą.
Powiem więcej: wcale się tego nie wstydzę. Wręcz jestem generalnie bardzo zadowolony z podjętych wyborów zawodowych.
@Tomek: dzięki za rzeczowe uwagi.
Witam
Czy jest to świadome i dobrowolne przyznanie się do popełnienia przestępstwa czynu zabronionego z kk w okresie kiedy pan pracował w ww firmie?
A gdzie jest ten czyn zabroniony? Piraty wrzucali sami użytkownicy, a obowiązku zgłaszania tych czynów nie miałem.
Jeżeli na zarządzanym przez Ciebie serwerze był piracki soft, wiedziałeś o tym i nic z tym nie robiłeś, to:
Na gruncie KK: pomocnictwo w zamiarze ewentualnym do kradzieży/paserstwa programów komputerowych, przedawnienie po 10 latach od ostatniego zachowania sprawcy, ścigane z urzędu.
KC: Przedawnienie po 20 latach, wszczęcia postępowania żąda zwykle pokrzywdzony, ale z powództwem może wystąpić także prokurator.
No dobrze, wiemy już że studiujesz prawo. A jak z trenowaniem crossfitu i wegetarianizmem?
> No dobrze, wiemy już
Jacy „my”, dlaczego piszesz w liczbie mnogiej? Kogo reprezentujesz i na jakiej podstawie oparte jest umocowanie?
> że studiujesz prawo.
Kto, ja? Ja Prawo przede wszystkim szanuję.
> A jak z trenowaniem crossfitu i wegetarianizmem?
Off-topic, czy zestawiasz studiowanie prawa z crossfitem? Studia to nie to samo, co wypad z kolegami na siłkę.
W czasach 2004-2005 regulacje prawne były nadal w powijakach. Było oczywiste, że materiał jest piracki, ale administrator nie może tego domniemywać. Jeżeli ktoś coś wrzucał domniemanie jest takie, że ma o tego prawo.
Po co ta spina?
# Tomek
Dziękuję za szczerą opinię.
Myślę, że w większości biznesów z zagranicznym kapitałem wygląda to tak, że najpierw są spore inwestycje w pracownika i infrastrukturę, zajmują się nią najlepsi ludzie i chcą to robić. Niestety po jakimś czasie okazuje się, że jednak biznes nie przynosi takich zysków jak zakładano i powoli trzeba zamykać te najmniej dochodowe sekcje. Dotyczy to każdej firmy i tylko od zarządu zależy jak wytłumaczą to pracownikom. Kiedyś po prostu zwalniali z dnia na dzień, teraz już trochę bardziej się o tym myśli, właśnie dlatego, że byli pracownicy nie znikają z branży, tylko idą dalej i niestety dobrego zdania o takiej firmie nie mają.
Ciekawe czy INEA odrobiła to zadanie domowe? :)
I kto cię teraz zatrudni jak tak ładnie mówisz o byłych pracodawcach? A i etyka zawodowa i dyskrecja to obce ci pojęcia. Pewnie czytałeś też pocztę na serwerze mailowym, żal.pl
brzmi jak scenariusz z cyberexe, wygrali ?
Polityka aktualizacji, zainstalowanego systemu nie nalezy aktualizowac bo jeszcze cos sie zepsuje :P
Google + odpowiednie slowa kluczowe dadza bardzo ladny poglad jaki tam jest skansen open source :)
krzew gorejący
Adamie, jak byś poszukał trochę w sieci to byś trafił na mój wpis pt.: „Ktoś rozsyła Malware z Webmaila operatora INEA” – w skrócie ktoś z konta na ich serwerze pocztowym rozsyłał lewe wiadomości z linkiem do równie lewej kopii usługi Webmail i nakłaniał do zalogowania się. Zgłosiłem im to w lutym i w marcu (mailing był 26 lutego, lewa kopia strony logowania miała w kodzie datę utworzenia dobę wcześniej) ale oczywiście nic to nie dało, zero odzewu lub reakcji.
Gwoli puryzmu, należałoby mówić nie o matarializacji możliwości, tylko o aktualizacji nieuprawnionego dostępu.
Albowiem, wg Arystotelesa, każdy byt – w naszym przypadku nieuprawniony dostęp – składa się z potencji, określającej co mogłoby się stać, i aktu, określającego to, co faktycznie się wydarzyło. Nieuprawniony dostęp jest bytem, ale niematerialnym, dlatego też jego aktualizacji nie można nazwać materializacją. Szukając innych analogii można przytoczyć „mały głód”, który też jest bytem niematerialnym, a aktualizuje się do materialnej postaci sympatycznego stworka, tylko w reklamie jogurtu.
Potencja i akt bytu to coś takiego jak klasa i instancja obiektu :-)
„Widzę ich, jestem świadkiem naocznym,
Jak nie Hegel w windzie to Platon w nocnym,
Nitche mieszka w każdym bloku,
Świat jest pełen Filozofów”
:)
Pozwe ich. Czy ktoś chce dołączyć?
Przez długie lata (tak-lata!-bo przynajmniej od okolicy 2000 roku) nigdy Inea nie była w stanie wyjaśnić mi,dlaczego cięższe maile np. z jpg,przechodzą z kilkugodzinnym opóźnieniem (!) w porównaniu do lżejszych. Wyjaśnienia serwisu technicznego były szerokie,od filtrów antyspamowych,przez „sprawdzimy”, po „wszystko jest w porządku w ustawieniach”.Po pewnym czasie dałem sobie spokój,i przy okazji zmotywowałem się do założenia ludzkiego konta na gmail i nie tylko.Obecna polityka informacyjna w związku z wyłączeniem poczty to skandal.Na stronie Inei cisza (!).Na Facefuku-informacja jest poprzykrywana i zepchnięta w dół reklamami jaki to jest szybki internet w Inei.Jakiś czas temu ta firma dostała karę z UOKiK za zmienianie umów (zawyżanie opłat) i była zobowiązana do rozesłania informacji w tej sprawie do klientów.Hm…może była ona w dużym załączniku,bo do tej pory nic nie dostałem a minęło już kilka miesięcy i wysłać wniosku o zwrot bezzasadnych opłat już nie mogę-nie jestem też fanem tego dostawcy,i nie loguję się na ich stronie na co dzień by sprawdzić co tam u nich słychać….Ciekawym czy ta informacja też była spychana w głąb :-) ? Dzisiaj zdałem sobie sprawę,że domenę @icpnet mam ustawioną przecież na Allegro,na której mam wystawioną aukcję na której mi bardzo mi zależy.Jak bym nie czytał ZTS to bym sobie mógł nadal wystawiać (scena z „Tańczącego z wilkami”: z żabiej perspektywy ujęcie,na pierwszym planie szkielet z wbitą strzałą,za nim kuca gruby oblech-woźnica,a w głębi stoi Costner.Woźnica ze źdźbłem trawy w zębach szydzi : „…a rodzina dziwi się 'czemu on nic nie pisze’ ) Q..a-za dwa miesiące kończy mi się umowa,więc z radością zdecyduję nogami.
p.s. lista wpisów klientów :-)
http://downdetector.pl/status/inea
Bo to nie provider, a banda gowniarzy z trzepaka. Takie sieci powstawaly w latach 90tych i szybko padaly. INEA po prostu przetrwala – bo ktos statystycznie musial przetrwac. Ale i tak padna jak wejdzie UPC.
Jak zaczynałem w Internecie dostałem konto shellowe. Mogłem sobie zrobić public_html. Mogłem sobie sprawdzać pocztę, a nawet miałem prawo do jednego procesu w screenie.
Potem wyłączyli konto shellowe.
Potem wyłączyli FTP i konto WWW.
Teraz pocztę.
Niedługo po prostu będzie abonament na pejsbuka i tyle z „wolnego” Internetu. Wszystkim się to spodoba, bo pranie mózgu będzie tanie.
A po co płacić ISP za to jak większość nie korzysta (FTP/WWW) oraz uzależniać się od konkretnego ISP, nikt nikomu nie broni kupić/postawić sobie serwer, maila założyć płatnego/bezpłatnego, kupić domenę etc
Wystarczyło z wyprzedzeniem dać komunikat, że wyłączają i dać czas na zabranie swoich plików z FTP i poczty z konta. Nie zrobiono tego. Dlatego jest wk*rw.