Zależy Ci na bezpieczeństwie twoich danych? Uważaj więc na małe firmy.
Dodaję raz jeszcze, gdyż poprzednim razem (nie wiem czemu) wcięło treść i nie mogę edytować.
Witajcie wykopowicze, czuję się zobowiązany by przedstawić historię którą przeżyłem z firmą PROTECH24. Historia ta zaczęła się jakieś trzy tygodnie temu, w/w firma od dwóch lat udostępniała mi usługę którą był serwer VPS. Czy na pewno od dwóch lat? Dwa lata temu ta firma zwała się "Serenity", po pewnym czasie została identyfikowana jako "VPS4ALL". Z każdym krokiem było więcej dopracowania, coraz to bardziej funkcjonalny panel, lepsza strona przedstawiająca ofertę i co najważniejsze - stabilność! Była (tak, była) to sprawa, na którą absolutnie nie mogłem narzekać. W ciągu dwóch lat zdarzyły się migracje do innych serwerowni, no cóż, zmiany na lepsze, coraz bliżej lokacji w Polsce (teraz już faktycznie w Polsce). Gdzie więc leży problem? Jakieś 1,5msc firma zaoferowała przeniesienie albo do serwerowni 30km dalej, albo do Czech. Wybrałem pierwszą opcję, gdyż parametrami się maszyna nic nie różniła, a zależy mi na krótkim czasie dostępu.
Problem zaczął się, gdy nie tylko ja się przeniosłem, load na wysokości 2.xx-5.xx powodował, że maszyna była bezużyteczna. Przy kolejnym razie zapewniono mnie, że "Za 10minut będzie ok, przyracamy klientowi VPS", po czym pracownik przestał być online a problem zniknał dopiero po 2h. Kolejny dzień, wstaję z łożka i.. powtórka z rozrywki. Zdenerwowany napisałem do tego samego pracownika używając słów dość przesadnych, lecz zdenerwowanie wzięło górę. Napisałem także, ze po tym miesiącu rezygnuję z maszyny. Odpowiedź była natychmiastowa - moja maszyna została wyłączona. Zacząłem domagać się kopii swoich danych, co rozpoczęło wojnę która trwa do dziś.
Na początek wyjaśnie, adminstrator miał pełne prawo wyłączyć moją maszynę i to z mojej winy. Codziennie od 5 dni przed końcem okresu ważności, dostaje się e-mail o konieczności uregulowania finansów, zrobiłem to z pewnych powodów dopiero w ostatni dzień czyli i przez weekend pieniądze nie doszły na czas, przez co w maszyna została wyłączona w "dzień 0". Owy pracownik poinformował mnie, że moje dane zostały usunięte przez automat i są nie do odzyskania, nie wierzyłem. Dlaczego? Trudno było mi uwierzyć w zbieg okoliczności, że w momencie gdy napisałem o rezygnacji w przyszłym miesiącu, automat zaczął swoje działanie. Zadzwoniłem więc do osoby, która jest na wyższym stanowisku w firmie, pana Adama. Prosił bym oddzwonił za godzinę, on w tym czasie zorinetuje się "co i jak". Kontakt z panem Adamem wydawał się miły z jego strony, a fakt, że prosił o czas nie był czymś nadzwyczajnym. Po godzinie dowiedziałem się mniej więcej tego samego - maszyna wraz z danymi została usunięta.
Backup, backup i jeszcze raz kopia.
Za czasów "Serenity" zostałem zapewniony, że kopie zapasowe wykonuje firma, przez co sam robiłem kopie tylko baz danych, a plikami się tak bardzo nie martwiłem gdyż wiedziałem, że w razie problemu są w dobrych rękach. Okazało się, że backup to opcja dodatkowa - płatna.
Kiedy to się zmieniło i dlaczego nikt mnie nie poinformował? Nie wiem.
Kolejna BARDZO WAŻNA ciekawostka o tej firmie. Pogodziłem się z tym, że dane zostały utracone bezpowrotnie, miałem inny wybór? Minęło kilkanaście dni, nie zamartwiałem się już tak bardzo aż do dnia, gdy włączam komputer i.. mój własny skrypt wysłał powiadomienie o pomyślnym wykonaniu się kopii bazy danych - dla ciekawskich, tak, codziennie dostawałem taką informację gdy VPS działał. Byłem zszokowany, zgłupiałem i zacząłem się zastanawiać, gdzie jeszcze ten skrypt mogł sie wykonać. Kolejny dowód ponownego działania mojego "usuniętego" VPSa pojawił sie niewiele poźniej. Nie wspomniałem wcześniej, że na moim serwerze miało konto wiele osób. Wiele osób trzymało swoje skrypty, pliki czy strony www. Dla nich to było darmowe, stabilne i rozwojowe srodowisko działania, natomiast dla mnie średniej wielkości koszt połączony z nauką - praktyką. Jeden z użytkowników miał swojego bota w sieci IRC (Nic spamującego, ot bot informacyjny na kanale pewnego forum), jakież było jego zdziwienie gdy jego usunięty bot nagle pojawił się na kanale.
Jak się okazało, maszyna ma zablokowane logowania via SSH, FTP. Serwer www został zmieniony z nginx na apache, przez co dostępny był tylko jeden pusty folder.
Co robić? Ponowny kontakt z firmą, najpierw z pracownikiem, oburzony napisałem jakim prawem moje dane istnieją, dlaczego nie dostałem do nich dostępu i co jest z nimi robione. Zostalem olany i zesłany ponownie do pana Adama. Pan Adam oczywiście nie wiedział nic (lub dobrze udawał) i poprosił o dowód istnienia maszyny, dostał nick bota IRC, przez co za pomocą /whois sprawdził, że faktycznie host bota to host maszyny. Oskarżyłem go, o użytkowanie moich danych, które wcale nie są takie małostkowe. Same bazy danych zawierały smakowitą ilość adresów e-mail polskich użytkowników (na stronach w miarę możliwości rejestracja była zabezpieczana sprawny captcha + weryfikacją e-mail, a jeśli pojawiały sie konta automatów to były usuwane). Pan był mily potwierdzić, że dane istnieją, ale gdzie mam dowód, że są one gdzieś udostępnniane. Następnie miły Pan stwierdził, bym nie zawracał mu więcej głowy. Zadałem mu następnie pytanie:
a) Dlaczego "usunięty" serwer nadal działa.
b) Dlaczego ktoś grzebie w jego danych, skoro konfiguracja została częściwo zmieniona, mam podstawy by twierdzić, że dane zostały także naruszone co jest niezgodne z prawem.
c) Czy skoro serwer jednak istnieje, dostanę dostęp do MOICH plików?
Ten e-mail pozostał głuchy i bez odpowiedzi.
Zapewne "urzekła was moja historia", ale nie napisałem tutaj tego by się żalić. Napisałem to po to, by (może wspólnie) się zastanowić się, czy jest sens oszczędzać i inwestować w małe firmy, które w teorii stoją na uszach by nam pomóc a w praktyce nie wiadomo, czy nie czerpią zyskwo na lewo z tego, co ich klienci przetrzymują na dyskach?
Jeśli się nie mylę, działanie owej firmy jest bezprawne. Nawet jeśli nie mają obowiązku przekazania mi tych danych, nie mają oni żadnego prawa przeglądać czy modyfikować tego, co należy do mnie.
Pierwszy raz spotkałem się z sytuacją (chociażby ze słuchu), że firma usuwa dane w dniu końca okresu płatniczego. Przeglądając internet można poczytać w regulaminach (którego tutaj brak), że VPS zostaje zawieszony i mamy okres około 2 tyg lub 1 miesiąca na zapłatę by odzyskać zawieszony serwer.
Może ktoś z wykopowiczów także powie, co z ową firmą zrobić?
Komentarze (12)
najlepsze
@wicherson: poprawna forma to ów :)