- Brave
- Vodafone otthoni szolgáltatások (TV, internet, telefon)
- Windows 11
- Google Chrome
- Otthoni hálózat és internet megosztás
- Újabb kriptotőzsdéről derült ki: ömlik rá az illegális pénz
- Crypto Trade
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Még több pénzt hozott a zeneiparnak a streaming
- Aliexpress tapasztalatok
Új hozzászólás Aktív témák
-
félisten
„Az online kereskedelemben rejlő potenciál valószínűleg annál is sokkal nagyobb, mint amit gondolunk róla, de jól látszik, hogy szükséges a felhasználók biztonságtudatát fejleszteni” – mondja erről Lakatos Zoltán, a KPMG Security Labor vezetője.
Úgy érti, a biztonságát, nem a tudatát. Mert promózni hogy milyen állat biztonságos minden, max a forgalmat pörgeti, a biztonságot nem befolyásolja.
-
mepet
addikt
Egy illegális behatoláskor a megkérdezettek közül közel kétszer annyi fogyasztó várna el bizonyítékot arra vonatkozóan, hogy javították a problémát (42%), mint amennyien azt igénylik, hogy a vállalat bocsánatot kérjen (24%). Eközben a vállalati kiberbiztonsági vezetők körülbelül fele szerint a legfontosabb a bocsánatkérés, és csak 8 százalékuk szerint szükséges a behatolás és javítás részleteit megosztani.
Te jó ég, megdöbbentő, hogy micsoda "kiberbiztonsági vezetők" vannak... Hogy lett egy ilyen vezető? Ő már annyira vezető, hogy már nem is ember. Szerintem egy átlag ember bele udná képzelni magát az user helyébe, de ezek már nem...
-
Sinesol
veterán
Egyre nagyobb a probléma a fejekben, csak erre világít rá a cikk.
-
nyunyu
félisten
Kéne már pár elrettentő GDPR bírság, ami bedönti mondjuk a cukorsüveget, aztán egyből lenne tisztulás a piacon, mert onnantól a cégek nem bazíroznának arra, hogy a bírság kisebb, mint az adatvédelem fejlesztése.
Hello IT! Have you tried turning it off and on again?
-
a jelenlegi szabályozás szerint azt, hogy javították a problémát, közölni kell. bocsánatkérés is erősen javasolt.
viszont amelyik biztonsági vezető szerint közölni kell, hogy pontosan mi volt a lyuk és azt hogyan javították, azt rúgják ki.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
#70234880
törölt tag
Az üzleti transzformáció és digitalizáció sebessége jelentősen meghaladja a vállalatok kibervédelmi fejlesztéseinek tempóját – állapítják meg.
Ez eddig is így volt, ebben semmi újdonság nincs hacsaknem az, hogy most már elismerik.A felmérés legnagyobb tanulsága, hogy a vállalati IT vezetők és a fogyasztók prioritásai között komoly ellentétek vannak egy adatlopás vagy hasonló incidens esetén
Ebben sincs semmi újdonság.Az viszont érdekes, abból a szempontból, hogy hiába vált az előfizető szolgáltatót, nincs semmi garancia arra, hogy ott nem történik valami incidens.
Az időben történő tájékozgatás, sokat segít az előfizetőknek. Az hogy feltörnek, szervereket, személyes adatokhoz férnek hozzá, szinte mindennapos. Tehát ebben semmi szenzáció nincs. Ami a legfontosabb szerintem napjainkban hogy időben tájékoztassák az előfizetőket.
Vannak cégek amik ezt felismerik, és vannak cégek amik akkor is tagadnak, amikor az nyilvánvaló.[ Szerkesztve ]
-
TomMusic
őstag
Ez egy egészen vicces konstelláció.
Én mondjuk inkább attól félek, hogy a szolgáltatóknál lévő adatok hackerek kezébe jutnak.Állítólag az egyetemen töltött évek a legszebbek. Ezért a képzési időt próbálom a lehető leghosszabbra nyújtani.
-
-Skylake-
addikt
"Egy illegális behatoláskor a megkérdezettek közül közel kétszer annyi fogyasztó várna el bizonyítékot arra vonatkozóan, hogy javították a problémát (42%), mint amennyien azt igénylik, hogy a vállalat bocsánatot kérjen (24%). Eközben a vállalati kiberbiztonsági vezetők körülbelül fele szerint a legfontosabb a bocsánatkérés, és csak 8 százalékuk szerint szükséges a behatolás és javítás részleteit megosztani."
Erzed a problemat ugye ? Egyetlen fogyaszto sem varja el, hogy reszletesen leirjak a hibat meg a javitast. A cikk sem ezt mondja. A cikk azt mondja (ami amugy teljesen jogos), hogy ilyen problema eseten legyen valami kezzelfoghato arra, hogy nem szartak a hibara es megy minden tovabb kussban, hanem mondjuk dolgoztak is egy kicsit. Bemondani barmit be lehet...
[ Szerkesztve ]
"Those who would shave the beard for pussy deserve neither the beard or the pussy." - Ben Franklin, probably
-
Gargouille
őstag
Ez így van. A bizalom - úgy általánosságban is - egy kényes dolog amit nehezen és hosszan épül fel, de lerombolni elég egy pillanat is. A bizalom az őszinteségen alapul, mert miután többszörösen meggyőződtem róla, hogy a másik fél igazat mond, utána kezdek el hinni benne, hogy legközelebb is így tesz.
Azzal, hogy egy szolgáltató azt mondja - általában csak azután, hogy lebukik -, hogy javított egy hibát, még nem tudok meggyőződni róla, hogy nem hazudik e, hisz azt se árulja el mi volt a hiba és miként javította. Csak higgyem el bemondásra. Ez nemhogy nem építi a bizalmat, hanem rombolja, mert csak azt látom, hogy elhallgat előlem valamit.
A gyakorlat eddig azt mutatta, hogy mindegyik szolgáltató hazudozik össze-vissza, az igazságot csak fogcsikorgatva vallja be és akkor is félremagyarázza, és mindezt általában akkor amikor már nincs más választása.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
"Erzed a problemat ugye": hogyne érezném, megint fotelrendszergazdák vetítik ki az óhajaikat a valóságra.
Meséld már el, mi lehet a "bemondásra" ellentéte? Minek kellene történnie ahhoz, hogy te elfogadd kézzelfogható bizonyítéknak? Részt veszel egy gyorstalpalón, ahol elmagyarázzák neked részletesen a szolgáltatás technológiai részleteit, majd odaállsz a rendszergazda háta mögé a szupertitkos objektumban és megnézed, hogy amit beírt a konzolba, az valóban hatásos a hiba elhárításához?
És ugyanezt megteszi az összes többi felhasználó is? benyomul kétmillió ember a dataplexbe és majd állnak ott, mint a 4-6-oson csúcsidőben?
A behatolás részleteit pedig nem teszi közzé normális ember, mert azzal célponttá teszi a többi helyszínt, ahol hasonló az infrastruktúra.
Következmény: MINDIG bemondásra fogod elhinni, hogy mi a helyzet, amit később az idő vagy igazol, vagy nem.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
azbest
félisten
haha... a megkérdezett felhasználók csak okoskodnak, amikor az adatikat féltik. A többség viszont önként kiteszi mindenét publikusan a netre. S egy fordítógéppel készült átverős levélre megadja az adatait, utal, s trójait telepít a gépére... vagy akár a céges gépre is, ha van rá lehetősége.
-
Gargouille
őstag
Üzemeltetői oldalról nyilván ez a legkényelmesebb hozzáállás. Ami miatt szerintem helytelen (túl azon, hogy a valóság is ezt bizonyítja, lásd a cikket), hogy az ügyfélnek nincs kontroll vagy átláthatóság a szolgáltató felett. Mit értek ez alatt?
Van mondjuk egy ügyfeled, legyen ez egy cég. A cég szerződést köt veled, hogy nálad fogja tartani az adatait. Te egy havidíj ellenében vállalod ezeknek az adatoknak a biztonságos tárolását és védelmét. A rendszeredet viszont feltörik mert van benne egy biztonsági rés és ellopják az ügyfeled adatait. Az ügyfél tudomást szerez erről és számon kér, válaszokat akar, hogy miképp történhetett az, hogy a rád bízott adatai illetéktelen kezekbe kerültek és mit tettél annak érdekében, hogy ez többet ne fordulhasson elő. Ezek bármennyire nem tetszenek jogos kérdések a részéről - akkor is ha laikus a témához - mivel fizetett neked (az elvileg szakértőnek) érte, hogy ez ne történhessen meg és te pedig nem tudtad teljesíteni amit vállaltál.
Ilyenkor ugye bizalomvesztés történt, mert vagy nem értesz hozzá és ennek ellenére vállaltad, hogy vigyázol az adataira (ez esetben becsaptad az ügyfelet), vagy nem üzemeltettél elég körültekintően (ez esetben nem végezted el azt amiért fizetett). Bármelyik lehetőség áll fent, az ügyfél bizalmát csak úgy fogod tudni visszaszerezni (már ha egyáltalán...) ha képes vagy meggyőzni őt arról, hogy a továbbiakban a szakértelem és a felügyelet is megfelelő lesz. Ahhoz viszont, hogy erről meggyőzd az ügyfelet kénytelen vagy neki is valamilyen szintig rálátást biztosítani a helyzetre, ellenkező esetben nem fog tudni meggyőződni róla, hogy most már bízhat benned, és az előzmények alapján nem is fog, hiszen már egyszer eljátszottad a bizalmát (bebizonyítottad, hogy vállalásoddal szemben mégsem tudtál vigyázni az adataira), most ugyan miért higgyen neked?
Publikus (bárki által igénybe vehető) szolgáltatás esetén a fenti példában be kell helyettesíteni a "cég"-et azzal, hogy "mindenki". És máris itt a válasz, hogy a bizalom építésére miért nem jó megoldás a sunnyogás.
Másfelől pedig ha egy hibát kijavítottál a rendszerben akkor az onnantól értelemszerűen már nem kihasználható, tehát ha az mégis "célponttá teszi a többi helyszínt" akkor az azt jelenti, hogy mégsem javítottad ki mindenhol.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
#70234880
törölt tag
Ebben benne van minden.
megint fotelrendszergazdák vetítik ki az óhajaikat a valóságra.
A szolgáltatók is hozott anyagból dolgoznak, csak úgy mint más szolgáltatók.
Ez alól kivétel az egyedi fejlesztések.
Minden a kommunikáción van.
Ha időben, észreveszik, és jelzik a ügyfelek felé. Az korrekt hozzáláss. Van rá pro-kontra példa.
Mi az ami a előfizetőre tartozik, már más kérdés, és nincs is rá sablon szöveg.
Addig a pontig hogy történt egy incidens, aminek ez, és ez volt a hatása, a hiba elhárítása megtörtént/folyamatban stb.., jelzi feléd hogy jelszó csere indokolt.
Ennyi ami az előfizetőre tartozik. Semmi más.
Ha valakinek ez kevés, akkor adott a lehetőség saját rendszer üzemletétesésre. -
-
válasz Gargouille #12 üzenetére
szerintem lehet személyes vélemények alapján álvitákat generálni, de nagy valószínűséggel incidens esetén nem a te személyes véleményedre alapozva fogok eljárni, hanem a vonatkozó jogszabályok szerint.
eu tanács 2016/679-es rendelet, 34. cikk. 3. bekezdés (copy paste):
"Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:"
"b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;"tehát az érvényes vonatkozó jogszabály szerint nem kell az érintettet tájékoztatni. úgy emlékszem, emellett arra is van szabály, most nem fogom előkeresni, hogy az a fajta tájékoztatás, amiről álmodozol, az titkos. közlése biztonsági problémát okoz.
ez van srácok.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
mepet
addikt
Így értettem én is, amit írtál. Szerinted mi, akik az userek álláspontját képviseljük itt a topicban, a szemedben fotel-rendszergazdák vagyunk. Egy akármilyen szolgáltatásnál az userek álláspontját figyelmen kívül hagyni, sőt még okoskodónak (bocsánat, mielőtt belekötsz ebbe is szó szerint fogalmazok "akik itt hülyeséget toltok a fórumba") tituálni őket, legalábbis nem profi hozzáállás, ebben biztos vagyok.
Pont erről szól a témaadó cikk. Hogy ti rendszergazdák, és mi userek mennyire másként látjuk az adott kérdést.
-
félisten
Teljesen értelmetlen amúgy it-sokkal vitatkoznotok, a többsége droid. A gépekhez értenek jól (már ha).
És ezzel semmi gond nincs, én is dolgoztam már egy csomóval, mellettük is, együttműködve is.
A gond akkor jön, mikor egy ex it-s robi kerül vezetői pozícióba, netán olyanba, ami pr-marketing akármi kommunikációjára vagy stratégiájára a cégnek is hatással van.Kell föléjük egy jó menedzsment, és akkor a legtöbb antipatikus it corporate policy kommunikálható a userek felé megfelelő minőségben.
[ Szerkesztve ]
-
válasz FoxiestFox #19 üzenetére
te biztos telekomos manager vagy
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Ringman
nagyúr
Last May, Europe imposed new data privacy guidelines that carry the hopes of hundreds of millions of people around the world — including in the United States — to rein in abuses by big tech companies.
Almost a year later, it’s apparent that the new rules have a significant loophole: The designated lead regulator — the tiny nation of Ireland — has yet to bring an enforcement action against a big tech firm.
pl:
[ Szerkesztve ]
-
#70234880
törölt tag
Egy példaértékű, és maximálisan korrekt levél, egy Magyarországi szolgáltatótól.
Tisztelt Xxxx Xxxxxx!
A pénteki nap folyamán feltörték ügyfélportál rendszerünket, melyről még aznap küldtünk tájékoztatást.
Jelen levelünkkel ezúton szeretnénk részletesebb tájékoztatást nyújtani a történtekről:Az incidens pontos leírása:
- Pénteken reggel egy ismeretlen támadó feltörte a portal.rackforest.com kiszolgáló rendszert és elvitte annak adatbázisát.
- Az általunk tárolt jelszavak egy részének csak a hashelt lenyomatát tároltuk, ezek a jelszavak nem visszafejthetőek.
- Részben viszont ugyan titkosítva voltak a jelszavak, de visszafejthető titkosítással.
- A támadó ismerte a HostBill portál rendszer működését, így megszerezte a jelszavak kikódolására használt függvényt is.
- Feltörést a támadó jelezte e-mailben. A logok, a szervernek és a hálózati eszközök forgalmának elemzésével meg is bizonyosodtunk az adatlopás tényéről. Kb 300 MB adat szivárgott ki.
- A támadó TOR hálózat segítségével ért el minket egy németországi kijáraton keresztül. Illetve még egy oroszországi IP címet tudtunk beazonosítani.
- A támadó egy régebbi Hostbill sérülékenységét használt ki a támadáshoz. (Feltételezzük, hogy 2018 Q4-est.)A megtett intézkedések:
- Bérszerverek és Hoszting szerverek IPMI IP KVM hálózatát elérhetetlenné tettük.
- A péntek délelőtt a támadás felderítésével telt el, délelőtt 11 órakor meghoztuk a döntést, hogy a portál rendszerünket ebben a formában lekapcsoljuk, és előre vettük a májusra tervezett rendszer frissítést, és elvégeztük azt.
- Az eredetileg tervezett rendszer frissítésen felül szétbontottuk az ügyfélportált kiszolgáló rendszert: Proxy / Frontend / Adatbázis szerverekre, melyek között plusz tűzfalakat vezettünk be.
- Pénteki nap délután 16 óra körül végeztünk a frissítésekkel, ettől a ponttól nyílt meg a lehetőség, hogy megkérjük az ügyfeleinket a jelszavak megváltoztatására.
- Töröltük minden felhasználónk ügyfélportál belépési jelszavát, és Management VPN jelszavát, így már a portál belépés védve volt.
- 18 óra után kiküldtük az első tájékoztatást ügyfeleinknek az esetről.
- Péntek este töröltük a Backup FTP szolgáltatások jelszavait, és az érintett ügyfeleket külön értesítettük.
- Szombaton ellenőriztük az összes kiszivárgott Linux VPS control panel jelszót, és mindenkinek megváltoztattuk akinek egyezett az éles jelszava a kiszivárgottal. Az érintett ügyfeleket külön tájékoztattuk.
- A cPanel tárhely szervereinken pedig Force-oltuk a jelszó cserét.
- A domain nevek kiszivárgott EPP kódjait ellenőriztük és megváltoztattuk. (Nem minden domain esetén volt rá szükség.)
- Megtettük a bejelentést a NAIH felé.Mit vitt el a támadó:
- Az adatbázis tartalmazta az ügyfélportálon tárolt személyes, hozzáférési és ticketing adatokat.
- Ügyfélportál belépési jelszavak: hash-elve voltak és töröltük mindet.
- Linux VPS kontrol panel jelszavak: visszafejthető, minden érintett jelszavat megváltoztattunk.
- Linux VPS kezdeti belépés ROOT jelszavak: visszafejthető, nem tudjuk megváltoztatni (a szerverek újraindítása nélkül).
- cPanel kontrol panel jelszavak: visszafejthető, sajnos mivel ezek a jelszavak több tárhelynél is a levelezés jelszavak is egyben, force-oltuk a jelszó váltásokat. (További intézkedések folyamatban vannak.)Mit tettünk a sérülékenység javítása érdekében:
- HostBill verziót frissítettünk, így biztosítva a feltételezett 2018 Q4-es sérülékenységet.
- Nagyobb védelmet helyeztünk az ügyfélportál kiszolgálására (Plusz tűzfalak, Proxy / Frontend / Adatbázis szerverek)
- Web Application Firewall-lal is megerősítettük az ügyfélportál elérését.Amit a továbbiakban még tervezünk:
- Két faktoros autentikáció bevezetése.Önnek mi a teendője, ha:
- Linux VPS ügyfelünk, kérjük, hogy változtassa meg a szerverén a ROOT jelszót, ha még nem tette volna meg a VPS kiadása óta.
- Windows VPS ügyfelünk, kérjük, hogy változtassa meg a szerverén az Adminisztrátor jelszót, ha még nem tette volna meg a VPS kiadása óta.
- cPanel tárhely ügyfelünk, kérjük, hogy változtassa meg a belépési jelszavát a tárhelyén.
- Az ügyfélszolgálatunkkal bármilyen levelezést folytatott, melyben hozzáférési adatok vagy jelszavak vannak, kérjük, hogy az érintett jelszavakat változtassa meg.Amennyiben további kérdése merülne fel (akár a hétvégén is), kérjük hogy nyisson egy jegyet az
ügyfélportálunkon, vagy keressen minket a info@rackforest.hu címen.Az okozott kellemetlenségért elnézésüket kérjük!
-
Ghoosty
őstag
Én magamat érdeklődő user kategóriába sorolom. Tökre örülnék neki, ha lehetőség lenne valami kézzelfogható bizonyítékot mutatni arra, hogy a hiba ki lett javítva. De egyszerűen nem jut eszembe semmi, amire azt mondanám, hogy ha ezt mutatják, akkor az azt jelenti, hogy tényleg megcsinálták. A legközelebbi az talán az, hogy lenne valami külsős auditor cég, aki megmondja, hogy tényleg megcsinálták, teszteltük. De ez csak annyit jelent, hogy innentől másnak hiszek bemondásra, nem az eredeti cégnek. Szóval ott vagyunk ahol a part szakad. Nem véletlen, hogy senki nem írt példát, hogy mégis mi lehetne ez a kézzelfogható bizonyíték.
Az pedig, hogy valaki őszinte és nem érdekli, hogy a másik megsértődik-e az igazságon vagy sem azzal nincs komoly gond, csak valahogy ahhoz vagyunk hozzászokva, hogy mindenki finomkodik. Ráadásul általános dolgokról van szó egy független fórumon és nem konkrét ügybe/konkrét céget képviselve történik a beszélgetés.
-
"A legközelebbi az talán az, hogy lenne valami külsős auditor cég, aki megmondja, hogy tényleg megcsinálták, teszteltük.": ezzel meg az a gond, hogy az auditor az igazolást egy adott időpillanatra adja ki. tehát nem mond semmi olyat, hogy 2019. május 1-i határnappal auditáltuk a rendszert és az akkor x évig hibamentes. azt mondja, hogy május 1-én az általuk ismert hibáktól mentes a rendszer. hogy más hiba van-e benne, derül-e ki később újabb sebezhetőség, történik-e bármiféle változás a rendszerben, amitől kerül bele hiba, arról nem mond semmit az auditor.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Ghoosty
őstag
Az eredeti felvetés az volt, hogy "fogyasztó várna el bizonyítékot arra vonatkozóan, hogy javították a problémát". Ha az auditori jelentést elfogadjuk, mint bizonyíték, akkor megfelel a kritériumoknak. A támadást kielemezték, megállapítják, hogy x okozta. Szupergyorsan kijavítják, rá 2 napra jön az auditor, megnézni, hogy tényleg kijavította és kiállítja a papírt, hogy támadás után y-dik napon ez a hiba már nem áll fenn.
Nyilván másik hiba még fennállhat és audit után is azonnal törölhetik a hibajavító patch-et, erre aztán végkép senki sem tud garanciát nyújtani.[ Szerkesztve ]
-
félisten
-
#70234880
törölt tag
válasz FoxiestFox #26 üzenetére
Ha elolvastad akkor látod.
de ha nem akarod még 1x elolvasni akkor itt a link. rackforest.com
Az incidens valós, és még nincs lezárva.[ Szerkesztve ]
-
félisten
-
#70234880
törölt tag
válasz FoxiestFox #28 üzenetére
Való igaz, egy Bank ilyet sose tenne. Vagy valami nagyon nagy botránynak kell lennie ahhoz. Mármint ennyire részletesen. A IT-belül megy ott is kommunikáció, de a többi osztályt, fő osztály tájékoztatása már ott is lemarad.
De ez nem is tartozik rájuk. Pl, Mit kezdjen egy olyan levelezéssel amiben le van írva, ma este 00:00 Kapiti update, ez ez a felelős. Ez és ez a külső cég emberei, vesznek részt.
De a Bank szektor, kicsit más téma. Sokkal érzékenyebb ilyen tekintetben.
Az Internet szolgáltatók ismét más téma, Mondjuk időnként illene, ha nem is ennyire részletesen, de időnként valami tájékoztatót küldeniük. Akár modem update-ről, amiben leírják milyen változás történt, esetleges meglévő hibák kijavítása, stb...[ Szerkesztve ]
-
winhate
őstag
Hoho vegre egy jo cikk! Hozom a popcornt ;-)
http://pouet.net/prod.php?which=5633
Új hozzászólás Aktív témák
- Folyószámla, bankszámla, bankváltás, külföldi kártyahasználat
- PlayStation 5
- Autós topik
- Xbox Series X|S
- Brave
- Vezetékes FEJhallgatók
- Vodafone otthoni szolgáltatások (TV, internet, telefon)
- Statikus nyomásra kiélezett ventilátor jött az Arctictól
- Olasz autó topik (Fiat, Lancia, Alfa)
- OnePlus 8T – fazonigazítás
- További aktív témák...
- Újszerű iPad Air 3 2019 64GB Space Gray Cellular US-5016
- Dell XPS Precision 5530 i7-8850H 4.3GHz 16GB 512GB Nvidia Quadro P2000 (1650Ti) 4K IPS TouchScreen!
- Dell XPS Precision 5530 i7-8850H 4.3GHz 32GB 1000GB Nvidia Quadro P2000 (1650Ti) 4K IPS TouchScreen!
- Zyxel GS1100-10HP switch
- Szinte új Samsung Galaxy S23+ 8GB/256GB