Re: home.pl - szantaĹźowane

Robert Święcki <robert@swiecki.net> wrote:
> MoĹźna teĹź tak...
>
> Znalazłeś zajebiście (najzajebiściej zejbiście) poważnego buga
> (powiedzmy, powiązanego z możliwością naprawdę dużego finansowego fraudu
> lub uzyskanie poważnej liczby danych osobowych, haseł, niejawnej
> dokumentacji etc..) w usłudze (paypala, abw, sony, mbanku, nsa, nasa,
> gadu-gadu etc.).

Zestawianie NSA z GG jest bezsensem w najczystszej formie.
Ale ja nie o tym chciałem...
 
> Teraz możesz, co jest na pewno etycznie i być może (tego nie wiem)
> prawnie naganne, zarządać od firmy powiedzmy "200.000 zł ;)" za
> milczenie, lub też zachować się zgodnie z prawem i w imię wolnego
> dostępu do informacji, bez wyciągania kasy z firmy, wypuścić informację
> na czymś poczytnym (full-dislosure i inne ciakerskie fora) o 4:30 w
> nocy (coby admini gdy się obudzą zastali już sajgon), co może oznaczać
> straty dla firmy liczone powiedzmy w mln/mld złotych/dolarów/ojro/pesos.

Odkąd pamietam jestem fanem filozofii "full disclosure" - myślę, że nie
ma lepszej metody uświadomienia "czynnikom decyzyjnym" i "czynnikom
wytwórczym", że tworzenie dobrego oprogramowania naprawdę się opłaca
i że warto poświęcić czasami doraźne "oszczędnostki", a za to dostać/stworzyć
porządny produkt, który w dalszej perspektywie zabezpieczy przed koniecznością
płacenia szantażystom, wypłacania odszkodowań i becelowania za poprawianie czegoś,
za co już raz zapłacono i miało być dobre...
 
Co do home.pl - wiem z "pierwszej ręki" (ze źródeł naprawdę
pierwszoligowych, którym chłopcy z hack.pl mogliby najwyżej sznurówki
ssać), że ta podatność była już dawno zgłaszana, tylko personel
homenetu jakoś nie znalazł wyobraźni, żeby się tym przejąć i zrzucał
odpowiedzialność na klientów. Nie sądzę, aby home.pl ponióśł w związku
z tym specjalne straty, ale mam nadzieję, że chociaż jakieś wnioski
wyciągneli - co się opłaci i tej firmie i jej klientom.

Daleki jestem od alarmistycznego tonu wypowiedzi - skompromitowanej skądinąd
- ekipy dyletantĂłw i cwaniaczkĂłw z hack.pl, jednak z drugiej strony wiem,
że dane pozyskane z logów (i ich długotrwałej obserwacji) mogą czasami
ułatwić różnego rodzaju ataki socjotechniczne (i nie tylko zresztą).
I nawet jeśli home.pl (czy inny operator/dostawca) uważa tego typu
zagrożenia za mało realne, to jednak powinni mieć świadomość ich istnienia.
W końcu jednak nikt z nas nie wygrał 6 w totka, a jednak wygrane wciąż
padają... ;-)

> Gdybyś był szefem paypala/abw/sony/mbanku/nsa/nasa/gadu-gadu wolałbyś
> szantaż czy wolny dostęp do informacji? :)

Wolność jest warta każdej ceny. Na szczęście nie jestem odpowiedzialny
przed Ĺźadnymi akcjonariuszami... :~)

Ponc

-- 
Kto misiowi urwał ucho?