Új hozzászólás Aktív témák
-
pyxystyx
tag
Facebook zárt szülői csoportban kaptuk az osztályfőnök üzenetét. Ilyet hivatalosan, az igazgató aláírásával nem adnak ki, annyira azért nem amatőrök.
Egyébként a gyerek már kb. egy héttel korábban jelezte, hogy szóltak nekik, hogy gond volt a Krétával.
Screenshotot természetesen csináltam, de azt nem szeretném ide kitenni. -
-
Mr.Csizmás
félisten
[A fejlesztőcég megpróbálta elhallgatni a KRÉTA feltörését]
DDDDD de azért hápogjunk, hogy nem történt semmi látnivaló, elvtársak
"Szólítson csak Cirminek." | B&B XI | 3D nyomtatás Bp és környéke |
-
dolon75
aktív tag
válasz Mr.Csizmás #103 üzenetére
eddig bíztam abban, hogy nem. pedig de.
elég csúnya dolgok jutottak eszembe, inkább nem írom le őketPa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
F.E.K..
senior tag
válasz Mr.Csizmás #103 üzenetére
"
Ez mindenképpen felvethet olyan hiányosságokat, mint például a kétfaktoros hitelesítés vagy a szofisztikált jogosultságkezelés hiánya” – mondta a szakértő, aki a téma érzékenysége miatt névtelenséget kért.
"Ebben szinte minden benne van, a záró megjegyzéssel egyetemben...
Legyen olyan szép és vidám napod amilyet csak szeretnél!
-
Mr.Csizmás
félisten
azért ottvan az is, hogy a hacker úgy igazolja magát, hogy az újságíró korábbi emailjét mutatja be. és ez csak egy állami rendszer, milyen lyukacsos szita lehet random más közigazgatási dolog?!
bezzeg a pegasus..."Szólítson csak Cirminek." | B&B XI | 3D nyomtatás Bp és környéke |
-
dolon75
aktív tag
válasz Mr.Csizmás #106 üzenetére
az is nagyon meredek nekem, hogy rajottek, baj van, és nem vették észre, hogy még mindig gond van.
Bár azok után, hogy valószínűleg nem is volt szeparalva az éles rendszer egy mezei géptől, sok mindent elmond.
na meg a sunnyogás...ehh...
Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
nagyúr
válasz Mr.Csizmás #106 üzenetére
Szerintem az a legszebb az egészben, hogy a hackertől kapjuk meg a nyugtatót - a gyerekeink teljes KRÉTÁban tartott profilja nem lesz közzétéve...
Pedro... amigo mio... ma is konzervvért iszunk! Kár lenne ezért a tehetséges gyerekért...
-
nagyúr
-
nagyúr
-
nagyúr
és #109 aprokaroka87:
a teljes megnyugtatástól olyan messzire vagyunk az ügyben, hogy még a kéményének a füstje sem látszik a horizonton... Jelen remek helyzetben már annak is tudok örülni, hogy nem kell arra számítsak, hogy két héten belül minden adat megy az online vásártérre...Pedro... amigo mio... ma is konzervvért iszunk! Kár lenne ezért a tehetséges gyerekért...
-
dolon75
aktív tag
válasz aprokaroka87 #111 üzenetére
nem tudom, hogy mennyire érdemes bízni abban, amit a hackerek állítanak.
en azt várom, hogy izibe adjon tájékoztatást a cég arról, pontosan milyen adatokat tartottak nyilván.
most. azonnal.Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
Silεncε
őstag
válasz Mr.Csizmás #103 üzenetére
Már várom, hogy jönnek a cikkek, hogy a soros által pénzelt, baloldali ELLENSÉG tönkre akarja tenni a szegény krétát.
-
Egon
nagyúr
válasz Aprósólyom #77 üzenetére
Ti nem veszitek észre azonnal, ha szar helyre kattintottatok? Ha igen, nem reagáltok rá azonnal? Mire a támadó használta volna az információkat, már csak lejárt, használhatatlan azonosítók lehettek a birtokában.
LOL. Egy célzott adathalász támadás (spear fishing) felismerése simán meghaladhatja nem csak random user, hanem képzett IT-s képességeit is - egészen egyszerűen azért, mert sok esetben szinte lehetetlen felismerni.
A #76-os háeszben van a lényeg: egyszerűen nem megengedhető, hogy egy szimpla adathalász támadással ekkora mértékben kompromittálni lehessen egy rendszert (csak egy példa: ha nincs kétfaktoros authentikáció a külső hozzáférésekhez, az már önmagában erősen problémás)."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Látom naon beégett neked ez a Soros-szál, már a második kommented csak ebben a topicban, ami erről szól.
Amennyire gáz volt már az első pillanatban az erre épülő kormánypropaganda, annyira fárasztóak már az ezzel kapcsolatos "poénok"."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
strogov
senior tag
"az is nagyon meredek nekem, hogy rajottek, baj van, és nem vették észre, hogy még mindig gond van."
A beszélgetésükből nekem egyértelműnek tűnik, hogy nem jöttek rá a valós problémára. "Fori" jelszó váltását gondolták problémának, azaz azt hitték az az account kompromitálódott. Ezt kezelték, és úgy gondolták így minden rendben. De valójáb a PM gépét használták. Valószínű azóta kiterjedt backdoor rendszert építettek ki, különben a gmail-es beszólás nem hangzott volna el.
Megjegyzem egy egyedi szoftvert amit a vírusírtók nem vesznek észre, elég nehéz (szinte lehetetlen) megtalálni. A linkre kattintás után nullázni kellett volna a gépet egy hálózattól elzárt helyen, de még így sem biztos, hogy ennyi idő alatt nem jutnak ki a gépből.Mivel a gépen voltak, így a 2 faktoros azonosítás sem biztos, hogy megoldás. A user munkaidőben biztosan állandó kapcsolatban van a rendszerrel. Ezért hoppnak használva nem kell semmilyen azonosítás.
-
-
Alogonomus
őstag
Na de mennyire lehetett az a támadás célzott? Azért itt valószínűleg nem a billiárd dolláros nyugati titkosszolgálati érdekszövetség vetette be az eszközparkját a KRÉTA feltörése érdekében. Aki ilyen szintű hozzáféréssel rendelkezik, az legyen a hozzáférési szintjével arányos mértékben gyanakvó, és szükség esetén ellenőrizze le a helyzetet több oldalról is, mielőtt elhiszi a levél tartalmát.
Maximum abban az esetben lehet az érintett projektgazda felelősségét némileg enyhíteni, ha nem volt tudatában a jogosultságainak, mert az IT lustaságból inkább minden jogosultságot eleve hozzáadott a fiókhoz, hogy a későbbiekben ne kelljen a fiók jogosultságkérelmeivel foglalkozniuk. -
dabadab
titán
válasz Alogonomus #119 üzenetére
Na de mennyire lehetett az a támadás célzott?
A mai telexes cikk alapján teljes mértékben.
DRM is theft
-
dolon75
aktív tag
válasz Alogonomus #119 üzenetére
az egész az IT biztonságért felelős személy felelőssége.
neki kell olyan szabályozókat létrehoznia, hogy betörés esetén ez az egész ne fordulhasson elő.
ha nincs ilyen dedikált személy, akkor a cég vezetője a felelős ezért.
aki úgy tűnik, a csendben megbujunk taktikát választotta.Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
"neki kell olyan szabályozókat létrehoznia, hogy betörés esetén ez az egész ne fordulhasson elő."
Meg mindig vannak akkora főnökök, akikre azok a szabályok nem vonatkoznak.@Alogonomus : Nem volt tudatában, az mindenhogyan gáz lenne, de jelen esetben még tudatában is volt, hogy ő mindenen is admin
" az IT lustaságból inkább minden jogosultságot eleve hozzáadott a fiókhoz, hogy a későbbiekben ne kelljen a fiók jogosultságkérelmeivel foglalkozniuk."
Vagy, mint fentebb említettem, mindig van akkora b@szdszájba a cégben, aki mindenek felett áll.. amíg nem történik baj.[ Szerkesztve ]
Mutogatni való hater díszpinty
-
Alogonomus
őstag
Egy autóbaleset esetén sem a jogosítványt kiállító hatóság a felelős, hanem a jogosultsággal balesetet okozó.
Amíg nem tudjuk - valószínűleg nem is tudjuk meg - a megadott jogosultságok körét, addig nem lehet kijelenteni, hogy milyen szabályozók értek volna egyáltalán valamit az adott jogosultsági szint mellett.
Az biztos, hogy az IT biztonságért felelős személy cselekedeteiben mindig lehet utólag hibát találni.
Egyébként szerintem az történt, hogy a projektgazda folyamatosan csesztette az IT osztályt, hogy éppen mihez kér hozzáférést, de azonnal. Az IT-s részleg pedig megunta óránként átállítani a jogosultsági szintjeit a különböző alrendszerekben, ezért csendben inkább megadtak neki minden valaha megkért jogosultságot, csak nyugtuk legyen végre tőle. -
dolon75
aktív tag
válasz Alogonomus #123 üzenetére
jó, igaz, sarkítottam.
ha az IT megtette, lustaság miatt, hogy a szabályzás ellenére jogot adott neki akkor nagyot hibázott. ez a példáddal élve a KRESZ tudatos megszegése.ha a szabályzás ezt megengedte, akkor aki azt kiadta, az hibázott. Ez meg maga a KRESZ.
csak hát ha nincs szabályozás, akkor nincs is mit megszegni,nincs mit betartani.
Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
aktív tag
És a forráskódot publikálták is (Most töltik fel pontosabban) a Telegram csatornájukon.
[ Szerkesztve ]
-
dolon75
aktív tag
nem.
csalódott vagyok.
És dühös.
sok minden miatthogy ilyenek kezelnek ilyen adatokat, akik alapvető biztonsági dolgokat sem tartanak be
ugyanezek nem képesek felismerni hogy mekkora a baj
ugyanezek nem járnak el megfelelően, nem kérnek segítségeta másik oldalnak meg van képe azt állítani, hogy segíteni akar ezzel. hát a fenét, ezt megtehette volna más módon is
ráadásul azzal, hogy a forrást publikálják, mindenki ravetheti magát, hibákat keresve, ezzel tovább kockáztatjak az adatokategy megoldás van csak, az egészet azonnal leallitani
de ez hatalmas károkat okoz, mind politikai, mind tanítói, mind tanulói szinten, és ezt tudják jól.
ezzel nem segítenek senkinek
Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
dolon75
aktív tag
-
aktív tag
Pedig teljesen igaza van arról, hogy a kormány tehet róla.
"ezzel nem segítenek senkinek"
Nézzük másképp. Ez egy figyelmeztetés számukra, hogy kezdjenek magukkal valamit. Egyrészt magának a cégnek, hogy kapják össze magukat, másrészt a NER bandának, hogy ha már a haverok kapják a melót legalább ne az inkompetenseket válasszák.Másrészt, persze, kihasználhatnák mások is a kódjukban lévő temérdek hibát, viszont az incidens még szeptemberben volt, bőven volt idejük egy auditra kompetens fejlesztőkkel.
(Bár most raktak ki egy képet a csatornájukba, azt nem írják, hogy mikori, de ha mostani akkor még mindig hozzáférnek a rendszerhez ami egy újabb rossz pont a fejlesztőinek az eddigi 99 mellett). Ha tegyük fel mások találták volna be őket, lehet már rég kint lennének a sokszázezer tanuló adatai vagy már megzsarolták volna a Krétát és az ügy sosem kerül nyilvánosságra.Szerintem ez még a kisebb rossz volt.
[ Szerkesztve ]
-
Mr.Csizmás
félisten
elmúlt 12 év --- (nagyon hosszú kétoldalú nyíl) ---- szakmaiság
DDD
n+1 fokú rokon külügyes volt, megvoltak a bejáratott kontaktjai csomó országban, meg kit kivel kell összekötni, jött a kakadu, mindenki kapott egy keresztapa szintű ajánlatot, hogy felállhat és kikíséri a portás, vagy csendben maradhat, megpróbált csendben maradni, de inkább 3 hó után elköszönt, utána a belső infók alapján züllés és arrogancia jellemzi a helyet, just sayin', ez is csak egy terület mint az oktatás.
[ Szerkesztve ]
"Szólítson csak Cirminek." | B&B XI | 3D nyomtatás Bp és környéke |
-
dolon75
aktív tag
maradjunk abban, hogy én másképp képzelem el, ha segíteni akarok.
azzal nagyon nem értek egyet veled, hogy ez a kisebbik rossz volt.
náluk az adat, az egész rendszer mehet a levesbe, amivel rengeteg embert, tanárt, szülőt, gyereket szivatnak meg.
biztos lett volna más út, de ezt választották. nyilván nem véletlenül.Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
"nem tud izgatni az a véleményed, hogy ez is az egyik politikai oldal hibája."
Pedig de. Itt minden az egyik politikai oldal érdekköre lassan. Az ő embereik specifikálják, veszik át,és üzemeltetik. Az ő embereik vezetik a nyomozást is."maradjunk abban, hogy én másképp képzelem el, ha segíteni akarok."
Másképpen eltussolódott volna a dolog, az adat ugyanúgy kikerül.
És honnan tudod, hogy koreai hackerek már nem jártak ott előttük? Vagy jöttek volna 1 hét után? Akik nem akarnak segíteni, csak eladják az adatokat.Mutogatni való hater díszpinty
-
dolon75
aktív tag
bocs, srácok, semmi kedvem politikai hitvitákba belemenni.
Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
aktív tag
Nyilván, nem ez volt a legsegítőkészebb megoldás amit ki tudtak ötletni De szerinted mi mást tudtak volna tenni?
A belső levelek alapján erősen kétlem, hogyha egyszerűen küldtek volna nekik egy üzenetet, hogy figyi, amúgy megvan a forráskódotok és a 62, 73 és a 142es sorban ez meg ez a hiba, túl jól fogadták volna. De akár mégha nem is lopják le a forráskódot és például felhívák a figyelmüket rá, hogy valamiért nincs az oldaluk védve SQL Injection ellen akkor is mi lett volna? A BKKs srácot is feljelentették pedig semmi rosszat nem tett és egyből szólt a cégnek. Ezek is ugyanolyan arrogáns (Tekintve, hogy a kréta főnök hallani se akar az ügyről a nyilvánosságra hozott levelek szerint) inkompetens gyökerek sajnos, mint a legtöbb állam által fizetettt uram bátyám kategóriájú fejlesztőcég.
Okoztak kárt? Igen. Okozhattak volna ennél 20szor nagyobb kárt is? Egyértelműen igen. Szerintem ez azért egy pozitív dolog a történetben.
-
dolon75
aktív tag
az jó kérdés, hogy mit lehetett volna mást tenni.
nem tudom.az jutott most eszembe, hogy amikor egy-egy súlyos hibát kozzetesznek, pl. bongeszben, akkor sokszor olvasni, hogy szóltunk X ideje, hogy gond van, de nem tettek semmit, ezért léptünk.
Itt ilyesmit nem olvasok sehol.
Legalább ennyit tehettek volna, nem?Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
dolon75
aktív tag
jórészt egyetértek azzal, amit írtál, csak annyiban nem, hogy nem sok pozitív dolgot látok a történetben.
nem örülnék, ha a hazamba betornenek, majd miután kipakoltak, közölnék, hogy náluk minden, de nem akarják eladni, és csak segíteni jöttek,hogy legközelebb jobb riasztót vegyek.
valahogy nem tudnék megbizni bennük.maga a. betörés is rossz. hogy ennyire könnyen ment, az is. hogy a cég sumakolt, az is.
meg minden más is.Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
Tehettek volna, csak akkor meg van ideje a propagandagépezetnek felkészülni, és eltussolni. Lelkiismeret-furdalás nélkül megtették volna.
Illetve, hát a cikkből is kiderül, hogy a cég tudott a dologról, és valószínű az iskolák is, de nem tettek semmit. Szóval pipa.Mutogatni való hater díszpinty
-
aktív tag
Igen, álhattak volna másképp a történethez, de árthattak volna nekik ennél sokkal jobban is az adatok publikásával. Igen igen, értem az álláspontodat a házas példával kapcsolatban, de te nem az adófizetők 100 millióiból vetted a szar minőségű bútorokat A pozitív oldalát ebben én ott látom, hogy remélhetőleg vagy a kormány / a NERes haver akivel jóban vannak tesz rendet köztük, vagy maguktól is rájönnek, hogy így bizony hamar repülnek és egy életképesebb rendszert alkotnak. (Őszintén, kétlem)
Másfelől a népnek is egyfajta figyelemfelhívás, hogy nesztek, erre költi a drága kormányotok a 100 millióitokat (Vagy többet, így hirtelen nem tudom mennyit tapsoltak el a Krétára, de szerintem eléri a milliárdos szintet is)
-
dolon75
aktív tag
nem tudom, melyik rosszabb.
ha tudták, csak sumakolas volt, vagy hogy ha nem is tudták. mármint a baj nagyságát, azaz hogy mindent vittek.Holnap reggel valószínűleg lesz új cikk, részletekkel, meglatjuk, mi derül még ki.
[ Szerkesztve ]
Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
aktív tag
És ki ellen hadakozna a kréta és az állam propagandagépezete? Jaj, a csúnya hackerek ellopták a tanulók adatait? Csak majd véletlen kifelejtik, hogy ja hát a milliárdos rendszerünk amúgy egy kalap szar, de az senkit ne érdekeljen, mostmár 5 csillagos.
Sajnos vagy nem sajnos, így lehetett az egészre a legjobban felhívni a nyilvánosság figyelmét és szerintem az sikerült nekik.
-
nagyúr
Az iskolák így általánosságban nem tudtak róla, korrekt általános tájékoztatás nem volt. Hogy suttyomban, fű alatt szóltak-e pl. az igazgatóknak (vagy a párttitkárnak ), esetleg csak "bizonyos" iskoláknak ment az info, azt nem tudom.
#146 Remov: igen, abból a hsz-ből annyi kiderül, hogy volt olyan iskola, akinek szóltak. Vagy akár az is lehet, hogy a sasszemű iskolatitkár kiszúrta, hogy valamilyen adattal gond van, rákérdeztek, aztán arra kaptak valami half-assed választ, amiből azért kiderült, hogy nem kerek minden.
[ Szerkesztve ]
Pedro... amigo mio... ma is konzervvért iszunk! Kár lenne ezért a tehetséges gyerekért...
-
net84
őstag
Csinalhattak volna maskepp. Mi is tortent korabban azokkal, akik johiszemuen szoltak egy-egy felfedezett hiba miatt (nem csak a BKK-s eset volt)? Meghurcolas, lejaratas, eljaras… errol a reszerol ennyit.
Politika! Ez az egesz politika, nem lehet elvonatkoztatni tole. Ha megtehetnenk, akkor nem beszelgetnenk most a Kretarol, mert nem is letezne. Nem lehet kikerulni, hiszen a kormanyunk tette azza. Mikor meglattak egy piaci szereplo rendszereben a potencialt, elkezdtek osszekalapalni egy sajatot, majd gyorsan kizarolagossa tettek “magukat”. A piacon akkor fellelheto masik rendszer egybol el is lett lehetetlenitve (versenyhelyzet OFF).
A Kreta rendszert emlegeti mindenki, de mi van a tobbi, kapcsolodo rendszerrel? Pl. a Poseidonnal? Ott is vannak nem kicsit kenyes adatok. A diakok adatait emlegetik, de messze tobb minden volt/van a rendszerben (pl. dolgozoi adatok a szuletesi adatoktol kezdodoen a munkaugyi adatokon at az igazolvanyszamokig).
Komoly kerdeseket vet fel, hogy a mai napig nem tortent semmi biztonsagi lepes a ceg reszerol. Ha mar a valoszinusege is fennall egy adatszivargasnak, az elso, hogy levagom az ellenorzesig a rendszert a halorol, majd mindenkivel jelszot csereltetek (az utolso utani takaritoval is, ha volt felhasznaloi fiokja a rendszerben).
A biztonsagi oldalt biztosan meg kell reformalniuk, de nem csak maguknal, hanem a legalsobb szintekig. Emellett pedig el kellene gondolkodni nehany oktatason, tovabbkepzesen is, hogy azok, akik a rendszeren belul admin joggal birnak, ne csak droidkent tudjak azt hasznalni…A betoros tortenet annyiban santit, hogy a lehetoseg elotted all, hogy kivalaszd a piacon a neked legjobban megfelelot. Emellett ha betornek hozzad, nem pislogsz boci szemekkel a feltort ajto elott hetekig-honapokig, hanem intezkedsz es cselekszel, hogy ne fordulhasson ilyen elo ujra. Emellett a hasonlat butorok elvitelenek reszere is akkor lenne jo, ha ransomware tamadassal neztek volna szembe.
Elitelem-e a “tolvajt”? Igen.
Elitelem-e a rendszer uzemeltetojet? Igen.
Azonban, ha az egyiket mosdatjuk es artatlannak allitjuk be, akkor ez megjar a masiknak is…Valahogy most szerencsesnek erzem magam, hogy mar csak mezei szulokent szerepelek (es csak a Kretaban) a rendszerukben . Itt mindenki is szorulni fog (csak az nem, akinek igazan kellene).
Biztos vagyok abban, hogy az utolso utani Marika neni, a vilagvegi kisiskola takaritojakent is szivni fog emiatt.
Abban pedig csak bizni tudok, hogy anno kitoroltek minden munkaugyi adatot a rendszerbol utanam es a gyerek iskolaja sem lihegte tul az adatok rogzitgeteset.Az ekezetek hianya reszben BUG, reszben lustasag - a mai nap utan magyar billentyuzetet es gepet keresni volt a legkevesebb kedvem…
Read only...
-
net84
őstag
Nana! Be lehet nezni egy-ket dolgot. Mondjuk at IT oldalnak egy mail-t nem kellene. De gyakorlott felhasznalo is gond nelkul megoldja. Amivel addig nincs gond, mig nem sumakol. Az meg egy jo rendszernel ugyis kiugrik az IT-nal . Aztan max egy ethernet kabel banja (a leggyorsabb elszigeteles kitepni az aljzatbol).
Read only...
-
Egon
nagyúr
Nos, írtam már adathalász levelet, nem is egyet, cirka tízet. Apró, de nem elhanyagolható különbség, hogy azt egy cég (nagy magyar energetikai cég) megrendelte, a saját szervezetére, egy biztonságtudatosító projekt részeként.
Mindenki, ismétlem mindenki, kortól, nemtől, beosztástól függetlenül benyalta a levelet, és megnyitotta a csatolt preparált pdf-et. Ehhez elég volt előtte némi OSINT az illetőről, a neten fellelhető infók alapján.
Egyszerű példa: küldesz random HR-esnek egy levelet, egy adott pozícióra jelentkezvén (amit akár tényleg hirdet is a cég), és megírod, hogy csatoltad a CV-det (ami mondjuk egy preparált pdf). Szerinted nem fogja megnyitni?"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
net84
őstag
Az IBSZ es a gyakorlati protokollok megismertetese, elsajatitasa utan, mint egy vizsga gyanant gondolkodom valami ilyenen en is.
Legalabb az lathato lenne, hogy egy tamadas kiserletet vagy fertozesi veszely figyelmeztetest hanyan jelentenek azonnal - a jelenelegi arany siralmas, pedig mindig kiemeljuk, hogy inkabb az IT legyen turaztatva feleslegesen 2 percig, mint az egesz ceg szivjon napokig egy kenyszerleallassal.Read only...
-
nagyúr
-
-
nagyúr
-
-
dolon75
aktív tag
tudták, hogy valami van, es hogy valaki piszkálta a rendszert.
azt nem biztos hogy tudták, hogy mindenhez hoztafertek, hozzafernek.
én igy értettem, de lehet, hogy rosszul.Ami érdekes, hogy a telexes cikk végén mondja egy szakértő:
"A jogszabály szerint tehát az eKRÉTA Zrt.-nek a NAIH felé közvetlen bejelentési kötelezettsége a KRÉTA-rendszerrel kapcsolatban nincs, de az adatkezelő intézmények felé értesítési kötelezettsége igen."ez azt jelenti, hogy jogszerűen járhattak el, ha akkor írtak az iskoláknak? és az iskoláknak kellett volna bejelentést tenni a hatosagi felé?
Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
-
Egon
nagyúr
A szervezet érettségétől és a dolgozók hozzáállásától, valamint nem utolsósorban a vezetői elkötelezettségtől a biztonság iránt érdemes vagy nem érdemes ilyet csinálni (kellemetlen pl. ha megverik az egyszeri IBF-et.. ).
Arra mindenképp ügyelni kell, hogy az oktatott anyag alapján azért fel lehessen ismerni, hogy egy adathalász levél volt, nem érdemes (és nem is korrekt) tökéletes levélre törekedni (ha célzott, emberre szabott levélről van szó)."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Ami érdekes, hogy a telexes cikk végén mondja egy szakértő:
"A jogszabály szerint tehát az eKRÉTA Zrt.-nek a NAIH felé közvetlen bejelentési kötelezettsége a KRÉTA-rendszerrel kapcsolatban nincs, de az adatkezelő intézmények felé értesítési kötelezettsége igen."
ez azt jelenti, hogy jogszerűen járhattak el, ha akkor írtak az iskoláknak? és az iskoláknak kellett volna bejelentést tenni a hatosagi felé?Az adatvédelmi jogszabályok megkülönböztetik az adatkezelőt (nem szeretem ezt a megnevezést, a definíciója szerint inkább adatgazdának kellene hívni), és az adatfeldolgozót (ebben a sztoriban értelemszerűen az e-KRÉTA Zrt adatfeldolgozó a szakértő szerint). Az adatkezelő felel az adatfeldolgozó tevékenységéért is (adatvédelmi szempontból). Ugyanakkor nekem az a véleményem, hogy jelen esetben inkább közös adatkezelésről lehet beszélni. Majd a NAIH megmondja a tutit.
[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
dolon75
aktív tag
Legalábbis gyanúsnak kellett volna lennie...
Egyáltalán ki az állam részéről a "kapcsolattartó" szerv?
Gyanítom, hogy őket is kellett volna tájékoztatni a bajról.Jogilag is fura az egész (legalábbis laikus szemmel). Nem a Krétát törték el (most), hanem csak használták fishing-re. Ami sikeres lett, és így törték fel a manager gépét.
Amin keresztül meg mindent vittek.
Az adatfeldolgozó (fejlesztők) tájékoztatta az adatkezelőket (az iskolákat), hogy valami van. Azoknak gőzük sem volt arról, miről beszél a fejlesztő, aki kapisgálta, az meg jól megijedt.
Az iskoláknak nem kellett volna bejelentést tenni hivatal felé?
Persze, ha olyan levelet kaptak, hogy "volt egy kis hiba, ellenőrizzétek le, talán némi adathiány, blablaba, de minden rendben, de azért ha gondoljátok, jelezzétek hivatalnak", akkor nem csináltak semmit.Pa-kah! Pakah-pakah Pa-kah! Bokata-Bokata Pa-kah! Pakah-pakah
-
Mr.Csizmás
félisten
50 hsz óta véded a védhetetlent, a kréta-hack egy tipikus magyar sikersztori cinikus felütéssel. bennevan minden, az inkompetens root joggal felruházott admin user, a szovjet módra történő elhallgatás, következmének nélküliség, ....
"Szólítson csak Cirminek." | B&B XI | 3D nyomtatás Bp és környéke |
-
Egon
nagyúr
Egyébként itt az adatkezelői tájékoztató (elég gagyi, van benne mondatismétlődés is, ahogy gyorsan átfutottam, egyből feltűnt): [link]
A kulcsmondatok (kiemelés tőlem):
Az Adatkezelő a nemzeti köznevelésről szóló 2011. évi CXC. törvény (a továbbiakban: Nkt.), valamint a közalkalmazottak jogállásáról szóló 1992. évi XXXIII. törvény értelmében minden esetben az intézmény.
Az Adatkezelő a KRÉTA rendszer üzemeltetésére és az ezzel együtt járó adatfeldolgozási feladatok ellátására magasabb jogszabályi előírások alapján vagy szerződéses úton más szolgáltatót bíz meg.
Az állami fenntartásban lévő intézmények esetében a 134/2016. (VI. 10.) Korm. rendelet az állami köznevelési közfeladat ellátásában fenntartóként részt vevő szervekről, valamint a Klebelsberg Központról 5. § (2) bekezdés 20. pontja a Klebelsberg Központot jelöli meg erre a feladatra. A Klebelsberg Intézményfenntartó Központ fenntartásában működő egyes szakképző intézmények átadásáról, valamint egyes kormányrendeleteknek a szakképzés intézményrendszerének átalakításával összefüggő módosításáról szóló 146/2015 (VI.12) Korm. rendelet 3. § alapján a kiválással érintett köznevelési intézmény fenntartói jogai és kötelezettségei tekintetében a szakképzésért és felnőttképzésért felelős miniszter, a munkavégzésre irányuló, 4. § (1) bekezdés b) pont ba) alpontja szerinti jogviszonyok tekintetében a szakképzésért és felnőttképzésért felelős miniszter által vezetett minisztérium, illetve az Nemzeti Szakképzési és Felnőttképzési Hivatal (továbbiakban NSZFH) a KLIK jogutódja. A Herman Ottó Intézet Nonprofit Kft., illetve a nem állami fenntartásban lévő oktatási intézmények esetében (pl. egyházi, alapítványi oktatási intézmények) az eKRÉTA Informatikai Zrt-vel kötött terméktámogatási szerződés alapján történik az adatfeldolgozás.Az Adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt, illetve az általa vagy az általa igénybe vett adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is megtéríti.
Az adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Nem a Krétát törték el (most), hanem csak használták fishing-re.
Ke? Értem, tehát az adatok amit elloptak, nyilván egy Excel táblából származnak, és nem az e-Krétából...
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Jogilag semmi különbség nincs.
Elektronikus információs rendszerről van szó, annak része az infra (ezen belül a hardver, a VM, és az oprendszer is, no meg a hálózat, határvédelem stb.) és az alkalmazás is."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Z_A_P
addikt
"küldesz random HR-esnek egy levelet, egy adott pozícióra jelentkezvén (amit akár tényleg hirdet is a cég), és megírod, hogy csatoltad a CV-det (ami mondjuk egy preparált pdf). "
Na ez realis, ok.
Ha idegeketől várok levelet+csatolmanyt, akkor evidens.
Kérdés, mi az a preparalt PDF?OK
-
Egon
nagyúr
Nyilván egy olyan pdf, ami valami extrát művel a háttérben láthatatlanul, mondjuk egy zero day sérülékenységen keresztül tud valami csúnyaságot csinálni.
Amit mi használtunk, az mindössze annyit csinált, hogy egy külső webhelyre kiküldött egy jelzést, hogy megnyitották a pdf-et, így egy kis adatbázisban letárolódott, hogy ki (mivel minden pdf egyedi volt) és hányszor próbálta megnyitni (egyébként üres lap nyílt meg, ennek ellenére volt olyan user, aki tizenpárszor próbálta megnyitni - nem tudom az mire számított... ).
Egyébként nem csak várt levelet nyitnak meg. A cég akinél ez a kampány volt, működtetett egy sportegyesületet is, és emlékeim szerint a céges e-mailek voltak megadva kapcsolattartásra. Az egyik szakosztályi elnöknek ment levél, hogy a csatolt képen látható kárt okozta az egyik (nem közúti) járművük egy másik járműben (az egyszerűség kedvéért mi csak pdf-et használtunk csatolmányként, de nyilván sokféle fáljt lehet preparálni), és ha X időn belül nem térítik meg, akkor megy a feljelentés blabla. Nyilván megnyitotta az ürge.[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
net84
őstag
Nem személyre, maximum munkakörre szabottan küldenék levelet. Ellenségem van elég, nekem sem kell több (és csuklani sem szeretek). A szabályok, protokollok betartását mérném meg (ezt fel is dobom a következő megbeszélésen ). Adtál néhány ötletet...
#158 hcl - az a levél vagy nem ért oda minden iskolába (megakadhatott a tankerületi szinten is az információ) vagy nem gondolta minden intézményvezető, intézményi adminisztrátor, hogy lenne további teendője... Mivel amúgy is gyengém az adatvédelem - a gyerek iskolája pedig páros lábbal tiporta a szabályokat - és még rendkívüli szülői értekezletet is összehívtak (a szóbeszéd szerint más miatt), így lesz módom meginterjúvolni és irányba állítani az intézmény vezetését.
#167 Egon - mondtam én, hogy bárki/mindenki más fogja elvinni a balhét, csak nem ők...
A legideálisabb esetben az infra is a KK tulajdona és a manager is nála volt megbízásban abban az óra-perc-másodpercben, amikor kattintott .
Mindentől függetlenül én úgy gondolom, ott hibáztak, hogy nem ment egyértelmű jelzés, utasítás az intézmények (vizsgálandó a tankerültei központok felelőssége) felé az incidensről. Az intézmények, tankerületek nem jelezték a NAIH felé, illetve ha a HW oldal a eKRÉTA Zrt. tulajdona, a támadás után szerintem bejelentést kellett volna tennie (adat ment ki tőle, csak nem az övé, így a az adatkezelőnek is kellett volna jelentenie). De a jelek szerint mindenki határozott kussban töltött több mint 1 hónapot.Már csak az a kérdés, hogy ebben a bő egy hónapban mi volt a minisztériumi álláspont az ügyben?
Szerintem el jött az idő, hogy a KIFÜ (tudom, ők sem egy mintapéldányok, de legalább náluk szigorúbb a rendszer) alá legyen beforgatva a Kréta rendszere és az a temérdek pénz, ami erre az egész sz@rra kifolyik és elöntik papírral és szabályozással az összes érintettet.
Read only...
-