Dzień dobry, Niestety musimy Was przywitać dzisiaj bardzo złymi wieściami. Dzisiejszej nocy mieliśmy bardzo duży wyciek danych.
Wczoraj wieczorem zgłosił się do mnie użytkownik @Obserwuj z informacją, że mamy „bug”, który powoduje, że ktoś może uzyskać dostęp do wszystkich zdjęć, które do nas nadesłaliście. Niestety, bug okazał się prawdziwy – i to jest pierwszy błąd, który popełniłem. Na dwa tygodnie przed rozpoczęciem tej edycji przeniosłem Wykopocztową stronę na nowe serwery. Główny serwer, na którym znajduje się strona internetowa i na którym znajdują się Wasze dane osobowe jest całkowicie bezpieczny.
Niestety, w tym roku postanowiłem przerzucić wszystkie zdjęcia na serwery Amazona, po to, aby odciążyć główny serwer i skrócić czas ładowania strony do minimum. Popełniłem przy tym jeden z najbardziej trywialnych błędów, którego się na tym etapie nikt by się nie spodziewał – na jednym Buckecie włączony był tzw. listing plików. Jest to błąd w konfiguracji, który powodował, że przy odpowiedniej modyfikacji URL zdjęcia można było wyświetlić linki do wszystkich plików, które znajdowały się w danym momencie na serwerze. Tym sposobem @Obserwuj uzyskał dostęp do zdjęć, do których nie powinien. Po paru godzinach (około 5) zgłosił nam ten błąd, który w ciągu 10 minut od wiadomości naprawiliśmy. @Obserwuj w wiadomościach do nas, wyrażał nadzieję, że tylko jemu udało się ten błąd znaleźć i w którym zaproponował darmowe pentesty (sic!).
I w tym momencie popełniłem drugi błąd – zaufałem temu człowiekowi. Oczywiście, natychmiast wyłączyłem listing plików oraz natychmiast przerzuciłem zdjęcia do innego folderu, aby zmieniły swój układ URL, jednak w ostatnim dniu weryfikacji zdjęć nie miałem czasu zrobić tego „jak należy” i nie zmieniłem URL każdego zdjęcia z osobna, tylko dokonałem hurtowej zmiany z zamiarem całkowitego naprawienia problemu jak tylko sytuacja z weryfikacjami się „uspokoi”.
Około 23:40 @Obserwuj wrzucił wpis na mirko, w którym zaczął grozić aferą po wycieku (o którym de facto tylko on wiedział) i finalnie ok. 00:30 w nocy wrzucił link do pastebin z linkami do wszystkich zdjęć (już z poprawionym URL). Niestety, zanim wrzucił link pobrał 626 zdjęć na swój komputer przy użyciu HTTrack’a i nie mogę Was zapewnić czy nie udostępni dalej tych zdjęć.
Niestety, zanim udało mi się całkowicie zablokować dostęp do tych zdjęć pięć osób pobrało po około 50 zdjęć łącznie. Mam login jednej z nich, liczę, że jeszcze dzisiaj uda się uzyskać pozostałe z logów, które posiadamy. Wiem, że taka sytuacja NIGDY nie powinna mieć miejsca – przepraszam. Mogę Was jedynie ‘trochę’ uspokoić: nie wyciekły ŻADNE DANE OSOBOWE. Wyciekły tylko (i aż) zdjęcia. Wiem też, że ta sytuacja spowoduje całkowitą utratę zaufania w tej kwestii, dlatego też jest to moja ostatnia Wykopoczta w roli organizatora. Oczywiście, tę edycję doprowadzę do końca i zrobię wszystko co w mojej mocy, aby każda osoba otrzymała swoją paczkę.
Cześć z Was czeka jeszcze na informacje o nowej parze – przepraszam, z powodu tego zamieszania te informacje otrzymacie dopiero w poniedziałek na wieczór. Na chwilę obecną muszę zająć się sprawą wycieku i doprowadzić ją do końca.
Jeszcze w tym tygodniu zlecę przeprowadzenie audytu bezpieczeństwa przez firmę zewnętrzną pod kątem ewentualnych uchybień, aby mieć pewność, że niczego nie przeoczyłem i deklaracja, że Wasze dane osobowe są bezpieczne jest prawdziwa.
Jeżeli ktoś z Was otrzymał np. na PW linki do zdjęć, do których nie powinniście dostać PW lub jakiekolwiek inne informacje bardzo proszę o wiadomość na PW @b__g, formularz kontaktowy Wykopoczty lub adres e-mail: kontakt [malpka] wykopoczta.pl
W przypadku pytań lub wątpliwości – proszę piszcie przez formularz kontaktowym – przez ostatni tydzień mam naprawdę bardzo dużo powiadomień jak i PW i Wasza wiadomość może mi uciec. Alternatywnie możecie napisac e-maila: kontakt [malpka] wykopoczta.pl
Wiem, że dzień nie zaczyna się dobrą wiadomością, życzę Wam jednak, aby reszta niedzieli była dla Was lepsza. @b__g
@Wykopoczta ech, afera jakby to dane adresowe wyciekły, a to tylko zdjęcia paczek i listów, które pewnie i tak by wylądowały na Wykopie w dużej części. Nie ma co robić takiej wielkiej afery, a wiadomość prywatna to w ogóle straszy użytkownika. Spokojnie, to nie jest coś strasznego :) A co do tego #!$%@? to niestety na Wykopie są jednostki niezrównoważone psychicznie i tutaj trafił się taki debil, no bywa
@Shivaa w tresci listu podajesz imie nazwisko, adres? Albo pesel, numer dowodu? Dane wrażliwe? Dla kogo ty paczke zrobiłaś xD Nie no myślę, że nie ma tego złego. No chyba, żefaktycznie tak się przedstawiłaś w liście.
@TheMan: Ohydny jest fakt, że olałeś tą zabawę, a teraz jeszcze wykorzystujesz tą sytuację do usprawiedliwienia. Cieszę się, że nie byłeś moją parą w tej edycji i nie poświęciłem ci ani sekundy swojego czasu.
@Wykopoczta: Nie przesadzasz trochę? To tylko zdjęcia prezentów i loginów. To nie jest powód do kończenia z wykopocztą. Najgorsze co możesz zrobić to kończyć w atmosferze skandalu. Lepiej będzie jak odpłacisz swoje "winy" kolejną edycją bez wtop. Powodzenia!
@sailor_73: uwierz mi, próbowałem z nim gadać w nocy chwile po tym jak upublicznił zdjęcia. Nie dało się, to jakis dzieciak z przerostem ambicji, nic do niego nie trafiało.
@TheMan: no, kurde, wyciek zdjęć przygotowanych paczek taki poważny. Szkoda, że używasz tego jako obrony przed tym, że zwyczajnie dałeś dupy w tym roku. A miałem Cię za ogarniętego człowieka, pamiętając Ciebie jeszcze z czasów pierwszego konta.
@Wykopoczta gdyby wyciekly dane osobowe to bym juz byla zaniepokojona. Wyciekly zdjecia, co moge z nimi zrobic wykopowi hakjerzy? Zepsuc nam zabawe, ale my sie nie damy ;-) robicie kawal dobrej roboty, bedzie dobrze ( ͡º͜ʖ͡º)
@MrGreeneye: @maver: Typ chce mieć jeszcze życie na wykopie. Milion akcji, fejm, wieczne bordo, silne uzależnienie, konto wieloletnie więc coś próbuje ugrać korzystając z okazji. Może nikt nie zauważy i będzie męczennikiem :D
@TheMan: I tak lecisz na liste hańby, nawet gdyby nie było tej afery to i i tak byś się nie wywiązał. @b__g Nie ryzygnuj, masz ogromnie doświadczenie w prowadzeniu wykoppoczty, błędy zdarzają się każdemu.
Niestety musimy Was przywitać dzisiaj bardzo złymi wieściami.
Dzisiejszej nocy mieliśmy bardzo duży wyciek danych.
Wczoraj wieczorem zgłosił się do mnie użytkownik @Obserwuj z informacją, że mamy „bug”, który powoduje, że ktoś może uzyskać dostęp do wszystkich zdjęć, które do nas nadesłaliście.
Niestety, bug okazał się prawdziwy – i to jest pierwszy błąd, który popełniłem.
Na dwa tygodnie przed rozpoczęciem tej edycji przeniosłem Wykopocztową stronę na nowe serwery.
Główny serwer, na którym znajduje się strona internetowa i na którym znajdują się Wasze dane osobowe jest całkowicie bezpieczny.
Niestety, w tym roku postanowiłem przerzucić wszystkie zdjęcia na serwery Amazona, po to, aby odciążyć główny serwer i skrócić czas ładowania strony do minimum.
Popełniłem przy tym jeden z najbardziej trywialnych błędów, którego się na tym etapie nikt by się nie spodziewał – na jednym Buckecie włączony był tzw. listing plików.
Jest to błąd w konfiguracji, który powodował, że przy odpowiedniej modyfikacji URL zdjęcia można było wyświetlić linki do wszystkich plików, które znajdowały się w danym momencie na serwerze.
Tym sposobem @Obserwuj uzyskał dostęp do zdjęć, do których nie powinien.
Po paru godzinach (około 5) zgłosił nam ten błąd, który w ciągu 10 minut od wiadomości naprawiliśmy. @Obserwuj w wiadomościach do nas, wyrażał nadzieję, że tylko jemu udało się ten błąd znaleźć i w którym zaproponował darmowe pentesty (sic!).
I w tym momencie popełniłem drugi błąd – zaufałem temu człowiekowi.
Oczywiście, natychmiast wyłączyłem listing plików oraz natychmiast przerzuciłem zdjęcia do innego folderu, aby zmieniły swój układ URL, jednak w ostatnim dniu weryfikacji zdjęć nie miałem czasu zrobić tego „jak należy” i nie zmieniłem URL każdego zdjęcia z osobna, tylko dokonałem hurtowej zmiany z zamiarem całkowitego naprawienia problemu jak tylko sytuacja z weryfikacjami się „uspokoi”.
Około 23:40 @Obserwuj wrzucił wpis na mirko, w którym zaczął grozić aferą po wycieku (o którym de facto tylko on wiedział) i finalnie ok. 00:30 w nocy wrzucił link do pastebin z linkami do wszystkich zdjęć (już z poprawionym URL). Niestety, zanim wrzucił link pobrał 626 zdjęć na swój komputer przy użyciu HTTrack’a i nie mogę Was zapewnić czy nie udostępni dalej tych zdjęć.
Niestety, zanim udało mi się całkowicie zablokować dostęp do tych zdjęć pięć osób pobrało po około 50 zdjęć łącznie. Mam login jednej z nich, liczę, że jeszcze dzisiaj uda się uzyskać pozostałe z logów, które posiadamy.
Wiem, że taka sytuacja NIGDY nie powinna mieć miejsca – przepraszam.
Mogę Was jedynie ‘trochę’ uspokoić: nie wyciekły ŻADNE DANE OSOBOWE. Wyciekły tylko (i aż) zdjęcia.
Wiem też, że ta sytuacja spowoduje całkowitą utratę zaufania w tej kwestii, dlatego też jest to moja ostatnia Wykopoczta w roli organizatora.
Oczywiście, tę edycję doprowadzę do końca i zrobię wszystko co w mojej mocy, aby każda osoba otrzymała swoją paczkę.
Cześć z Was czeka jeszcze na informacje o nowej parze – przepraszam, z powodu tego zamieszania te informacje otrzymacie dopiero w poniedziałek na wieczór.
Na chwilę obecną muszę zająć się sprawą wycieku i doprowadzić ją do końca.
Jeszcze w tym tygodniu zlecę przeprowadzenie audytu bezpieczeństwa przez firmę zewnętrzną pod kątem ewentualnych uchybień, aby mieć pewność, że niczego nie przeoczyłem i deklaracja, że Wasze dane osobowe są bezpieczne jest prawdziwa.
Jeżeli ktoś z Was otrzymał np. na PW linki do zdjęć, do których nie powinniście dostać PW lub jakiekolwiek inne informacje bardzo proszę o wiadomość na PW @b__g, formularz kontaktowy Wykopoczty lub adres e-mail: kontakt [malpka] wykopoczta.pl
W przypadku pytań lub wątpliwości – proszę piszcie przez formularz kontaktowym – przez ostatni tydzień mam naprawdę bardzo dużo powiadomień jak i PW i Wasza wiadomość może mi uciec.
Alternatywnie możecie napisac e-maila: kontakt [malpka] wykopoczta.pl
Wiem, że dzień nie zaczyna się dobrą wiadomością,
życzę Wam jednak, aby reszta niedzieli była dla Was lepsza.
@b__g
#wykopoczta #wykopocztaorganizacja #wykopocztaogloszenie
A co do tego #!$%@? to niestety na Wykopie są jednostki niezrównoważone psychicznie i tutaj trafił się taki debil, no bywa
@Jade: bagiety już jado.
Nie no myślę, że nie ma tego złego. No chyba, żefaktycznie tak się przedstawiłaś w liście.
Komentarz usunięty przez moderatora
@b__g Nie ryzygnuj, masz ogromnie doświadczenie w prowadzeniu wykoppoczty, błędy zdarzają się każdemu.