Hvordan informerer man om sikkerhedsbrist hos DK-Firma

#1| 2

Hej PNVA

Er faldet over en mindre Database med 300k+ emailadresser, navne, fødselsdato og specifikke interesser.
Databasen er åben for os alle sammen ved en fejl, og den tilhører et selskab som vi alle har interesse for til tider.

Hvad bør man gøre ud over at henvende sig til selskabet?


Det skal tilføjes at jeg for nyligt landede på et sted på nettet, hvor en større dansk konsulentvirksomhed havde deres forretningsplaner liggende til offentligt skue. Belønningen for at fortælle dem om brøleren var et "tak".
Min interesse og grund til at spørge jer, er et stille ønske om at finde vinklen der ev-optimerer undertegnets udspil således at 3 flasker hæderlig drue eller lignende "tak" kommer min vej.


Hvordan spilles hånden?

a) Folder preflop; sender mail til øverst ansvarlige for Databasen (Har mailadresse, link-in etc på vedkommende)

b) Sender mail til både selskabet og EB.dk, således at vi alle får historien og info om at vores mailadresse endnu engang er blevet sluppet fri på nettet, sammen med vores personlige interesser i særlige henseender.

c) Tipper EB.dk eller BT.dk i drømmen om en hurtig skilling i dusør, og lever med den dårlige samvittighed over at bidrage til sentastionpressen.

d) Lader som ingenting og tænker at det alligevel er ligemeget?


Det skal understreges at ingen hackning eller anden ulovlig ageren har fundet sted. De har blot glemt at rydde op efter sig selv på nettet.


VH
Inched

Skolelærer og It-nørd



PS. Som altid er jeg ringe til at svare på noget på nettet, så jeg ser frem til at læse jeres respons men regner ikke selv med at bidrage yderligere til tråden. Dog skal jeg nok berette hvad jeg valgte at gøre, når jeg får taget mig sammen i morgen. Nu kalder netflix og den bedre halvdel.


16-10-2017 21:49 #2| 5

Det vigtigste må være at få folks oplysninger sikret hurtigst muligt, dine 3 flasker vin er knap så vigtige. Mulighed 'A' er den bedste, 'D' er den værste.

16-10-2017 23:03 #3| 0

https://www.dr.dk/nyheder/penge/gjorde-opmaerksom-paa-cpr-hul-nu-bliver-han-politianmeldt-hacking


Man skal i alt passe på med at rode for meget rundt i deres systemer. De kan hurtigt opfatte det som et angreb.

16-10-2017 23:34 #4| 0

Som lettere ideologisk belastet stemmer jeg på B... Det har vel så meget almen interesse at få den slags ud i åbne at det faktisk er vigtigt... Kan du lave en skilling på det samtidig er det ikke et problem som jeg ser det... Men det skal frem i vores fælles interesse. Det er jo ret alvorligt sjuskeri i bedste fald og helt uacceptabelt.


Edit: kan det ikke kombineres med A i en halvgardering :)

Redigeret af Iznogood d. 16-10-2017 23:36
16-10-2017 23:35 #5| 0

a

17-10-2017 00:13 #6| 0

Lækker historien til Version2 anonymt

17-10-2017 00:53 #7| 0

A, og håber på mere end bare en tak.


Er der i øvrigt nogen der ved, hvad EB, BT osv giver for sådanne tips?

17-10-2017 00:53 #8| 0

Hvis ikke disse sager bliver offentliggjort bliver situationen næppe forbedret, hverken i virksomheden eller i samfundet generelt. B eller C imo (måske der er mindre click-baity nyhedsmedier der kunne være interesserede).

17-10-2017 01:02 #9| 0
GodPreben skrev:A, og håber på mere end bare en tak.

Er der i øvrigt nogen der ved, hvad EB, BT osv giver for sådanne tips?

Læste vidst engang 5k hvis det var sådan en okay lands dækkende nyhed med interesse


Eller var det for nyttig information som kunne lede til skrivning af artikel..


Måske OPs nyhed er størrer ? Dont know

Redigeret af gizzar d. 17-10-2017 01:04
17-10-2017 01:47 #10| 5
Moderator

Gør det rigtige, og skid hul i dine 15 minutes of fame. Alle laver fejl. Der er ingen grund til at fodre EB.


Kontakt de ansvarlige. Forvent ingen tak eller druer, men vær glad for at du gør det rigtige.

Redigeret af NanoQ d. 17-10-2017 01:54
17-10-2017 01:53 #11| 4
Moderator

...at tippe EB eller lignende kan have alvorlige konsekvenser for virksomheden og de ansvarlige IT folk. Konsekvenser der ikke nødvendigvis er berettigede eller rammer de rigtige folk.


Det kunne også være en idé at kontakte Datatilsynet. De vil være noget mere kompetente til at vurdere om der skal rejses sigtelse end proletariatets domstol.

17-10-2017 03:02 #12| 2

Ok - er det en lille virksomhed - skriv til dem - de sagsøger næppe - de er bare glade (det ville jeg være - ved ikke om jeg ville sende en flaske vin - kommer nok lidt an på)


Er det en stor virksomhed - så sagsøger de tit for alt muligt opdigtet "hacking" - så er EB bedre anonymt tip.

17-10-2017 04:51 #13| 1

Pressen. Jeg syntes det er vigtigt at folket bliver informeret omkring dårlig håndtering af deres informationer. Ja det er træls vis nogen i den pågældende virksomhed mister deres job eller lignende, men tror det forbedre chancen for det ikke sker igen.

17-10-2017 06:40 #14| 0

EV—optimering, man er sig selv nærmest.

17-10-2017 07:26 #15| 0

imo skal pressen informeres, ellers er der en risiko for at hullet bare lukkes uden en seriøs gennemgang af sikkerheden. Muligvis de overordnede ikke engang hør om den sikkerhedsansvarliges inkompetence.


Bøderne for denne slags eksploderer snart med den nye persondatafordning, så virksomheden skal bare være glad for det bliver opdaget.


Jeg havde sendt min viden i en hurtig budrunde blandt de forskellige aviser, tænker umiddelbart dette vil blive en af landets største nyheder dem pågældende dag, hvad det så er værd aner jeg ikke. Og ja, det er ren for egen vindings skyld det sidste, synes det er fair du selv får lidt løn for arbejdet.


Spændene at følge med i, vil faktisk være overrasket, hvis du ikke allerede er blevet kontaktet af et par journalister

17-10-2017 08:11 #16| 1

Som ejer af et it-firma kan jeg love dig, at jeg ville belønne sådanne oplysninger, såfremt du har fundet dem lovligt... Du kan overveje at kontakte adm dir i stedet for den teknisk ansvarlige, da han kan have en interesse i at skjule fejlen.

Det lyder som en kæmpe brøler, der kan have alvorlige konsekvenser, hvis du går til sladderpressen.

17-10-2017 08:36 #17| 0
Bishop skrev:EV—optimering, man er sig selv nærmest.

Sludder.

17-10-2017 09:58 #18| 1

Fuck, nogle usympatiske argumenter der er i denne tråd!

17-10-2017 10:12 #19| 0

Du får ikke penge for sådan et tip til pressen :-)

17-10-2017 10:41 #20| 0

*popcorn* please giv updates på hvad du endte med at gøre og hvad resultatet blev.

17-10-2017 10:46 #21| 2

Lige meget hvad du gør, så lad lige PN høre hvilken virksomhed det var :-))))))))

17-10-2017 10:59 #22| 6
Moderator

Budrunde, pis og papir... Hvert sekund der går, før de ansvarlige bliver gjort opmærksomme på problemet, øges risikoen for at data falder i de forkerte hænder. Et ansvar der i en hvis grad ligger hos OP, som er personen der kan forhindre det.


Det er aldeles usmagelige at tænke egen vinding i denne slags sager.


Med GDPR på vej, er ALLE virksomheder der opbevarer personfølsomme data på dupperne. Men selv de bedste kan fejle.


Helt grundlæggende, synes jeg det er forkert og ekstremt usympatisk at "tippe" sensationsmedier inden man har været i kontakt med de involverede. Det er absolut sidste skridt man skal tage, og kun hvis de ansvarlige ikke agerer fornuftigt efter man har talt med dem.



17-10-2017 11:33 #23| 1

Jeg har prøvet noget lignende et par gange:

Første tilfælde var et teleselskab - de skrev mange tak og bad om adresse, så de kunne sende et sagsanslæg - nååh, nej, det var noget lækkert chokolade, de sendte :)

Andet tilfælde var en kommune - der fik jeg et svar med mange tak fra borgmesteren indenfor halv time og en invitation til kaffe med selvsamme. Kaffen afslog jeg.

17-10-2017 12:02 #24| 1

Hvis du vælger presse-vejen, så gå til et seriøst medie.

EB og BT vil givetvis lave de største overskrifter, men tilgangen til problemet vil være mere seriøst via andre kanaler.

Jeg vil heller ikke føle mig tryg ved at give info på 300k personer til EB

17-10-2017 12:38 #25| 0
Moderator

Insisterer OP på at gå til et medie, jeg kan ikke pointere nok, hvor dårlig en idé det er, så vælg Computerworld.

17-10-2017 14:07 #26| 0

CSC?

PostNord?

Seruminstituttet?

17-10-2017 15:44 #27| 0
Moderator

Hvem det er, kommer ikke os ved.

17-10-2017 16:13 #28| 5
NanoQ skrev:Hvem det er, kommer ikke os ved.

Så hvis dine oplysninger er i blandt, ønsker du ikke at vide det?

17-10-2017 16:32 #29| 6

Hvis det har betydning for folk, at andre ikke får adgang til disse informationer - Så giver jeg dig 3 flasker druer, og du kontakter firmaet, så det kan lukkes inden nogle uskyldige folk får blotlagt ting, de ikke ønsker kommer til offentlig skue

17-10-2017 17:18 #30| 0
ERH4RDT skrev:Lige meget hvad du gør, så lad lige PN høre hvilken virksomhed det var :-))))))))

+1

17-10-2017 17:27 #31| 0

Alt efter hvilken virksomhed det er, kan det imo godt have offentlighedens interesse, at de har haft en sikkerhedsbrist.


Men det er med offentlighedens interesse for øje samt for at undgå fremtidige gentagelser, at du har mulighed for at kontakte et medie. Ikke for at score en findeløn for et godt tip.

17-10-2017 17:46 #32| 0
Moderator
nothing878 skrev:
Så hvis dine oplysninger er i blandt, ønsker du ikke at vide det?

Det vil ikke gøre nogen forskel om jeg ved det eller ej.


17-10-2017 17:49 #33| 1
NanoQ skrev:

Det vil ikke gøre nogen forskel om jeg ved det eller ej.




Så du ville overveje at stoppe med benytte denne virksomheds produkt eller service, hvis du fandt ud af det?
Det vil eventuelt give dig mulighed for at skjule fremtidige oplysninger, som fx ny e-mail, tlf nr, adresse osv.
17-10-2017 17:53 #34| 1

Ring til firmaets administrerende direktør, president eller hvad de nu har.

Fortæl om firmaets problem og bed dem om at fikse det.

End of story.

17-10-2017 18:00 #35| 2
Moderator

ERH4RDT skrev:

Så du ville overveje at stoppe med benytte denne virksomheds produkt eller service, hvis du fandt ud af det?
Det vil eventuelt give dig mulighed for at skjule fremtidige oplysninger, som fx ny e-mail, tlf nr, adresse osv.

Nej... Jeg ville forvente at virksomheden retter op på sikkerheden, så samme fejl ikke gentager sig. Dermed vil jeg føle mig mindst lige så sikker der, som alle andre steder.


Det er ikke fordi jeg er naiv. Tværtimod. Jeg er sikkerhedsnørd, hvilket er en stor del af mit professionelle virke. Jeg er realistisk, og det er skræmmende nok i sig selv.


Jeg vil påstå at INGEN er anonyme. Alle data om hvem som helst ER offentligt tilgængelige. GDPR skaber awareness on dette, hvilket er godt. Som nævnt tidligere i tråden, vil enhver virksomhed prioritere fejl som denne højt, hvis der gøres opmærksom på den. Der er ingen gevinst for nogen, på nær medier, i at smide historien for proletariatets domstol. Med mindre man ser reel gevinst i at lade sig forarge og pege fingre....



17-10-2017 18:15 #36| 2

e) gror nosser og afpresser virksomheden for et større kontantbeløb med drop off i skralderen nede i parken


f) kontakter alle 300k+ personer og afpresser DEM for 900k+ flasker god vin - samme drop off

Redigeret af Sumsang d. 17-10-2017 18:17
17-10-2017 18:19 #37| 0

Jævnfør bl.a. P1 Orienterings dækning den seneste tid, så er der pænt mange virksomheder i DK som ikke aner hvad den nye persondataforordning indebærer af risikoeksponering. Der er endda mange af dem der er bevidste som alligevel ikke prioriterer det...
Den prioritering persondatabeskyttelse generelt har i DK for nuværende lægger ikke op til at den konkrete virksomhed nødvendigvis vil tage henvendelsen særligt seriøst. At have ondt af eller tage hensyn til den pågældende virksomhed er derfor ikke naturgivent imo...

Det sagt så er den rigtige løsning naturligvis at gøre virksomheden opmærksom på problemet( for de eksponeredes skyld) og så kan du jo håbe på at de belønner dig som fortjent - Det burde de i hvert fald. Om et halvt års tid har den slags brølere potentiale til at udfordre virksomheden alvorligt økonomisk, hvis man ser på de bødestørrelser der potentielt kan blive udløst for den slags fejl. I den sammenhæng er det efter GDPR's ordlyd ikke et relevant hensyn at virksomheden kan gå på røven. Det væsentlige er at bøden/sanktionen har en afskrækkende virkning, så virksomheden burde jo som det mindste sende dig en kasse god drue :-)

17-10-2017 18:22 #38| 1

Resultatet af mine overvejelser blev at jeg valgte heltevejen.

Jeg henvendte mig først pr telefon og siden på Twitter til selskabet her til formiddag, mens jeg ignorerede sønens tiggeri om Zoologisk Have. Først over middag var der hul igennem, og sidst på eftermiddagen lukkede de selv ned for adgangen til DB.

Jeg er så netop blevet ringet op af stresset teknikker, som foruden at lyve om indholdet på DB (de må kunne mine fede it-fodsport over hele deres database), så valgte han i stedet for at takke mig, at bekymre sig meget om min IP-adresse, om jeg havde downloaded noget af den "meget tilfældige og ufuldstændige test-base, helt uden relevante kundeinformationer". Jeg fortalte at jeg selvfølgelig ikke længere er i besiddelse af deres data, men også at jeg fandt min venindes og hendes veninders mail, ønskelister, blowfish-hashede passwords og diverse andre tekniske oplysninger.

Nu blev det ændret til at der selvfølgelig var noget rigtig kundedate men at sættet ikke var komplet.

Med et meget stort antal brugere virker det dog til at databasen var en meget stor ukomplet del.....


Så ingen rødvin, ingen tak og intet andet positivt i respons.

Det var desværre ikke hverken et datingsite eller lign., men en del af et tilbud fra en virksomhed der fungerer som mellemled i vores allesammens hverdag. Desuden er staten inden over....


Det skal nævnes at et større svensk universitet og en tilsvarende stor europæisk virksomhed, der begge havde begået samme slag brøler bare i meget mindre skala, begge vendte øjeblikket tilbage med "TUSINDE TAK FOR HJÆLPEN"...
Føles stadig bedre end denne omgang, hvor HERO ser ud til end ikke at få et gg med fra bordet, selv om han har spillet med åbne kort således at modstanderen kunne lære at læse sine egne kort.


I må alle have en forsat god aften.. Hvis jeg skulle ende med et tak, eller 2 flasker gode druer eller en rød jakke til sønnen giver jeg lyd i tråden igen.

Inched

Folkeskolæreren der ikke må lære ikke at bruge SHODAN.io til overspringshandlinger.



17-10-2017 18:25 #39| 0
Moderator
ALL IN INC skrev:Jævnfør bl.a. P1 Orienterings dækning den seneste tid, så er der pænt mange virksomheder i DK som ikke aner hvad den nye persondataforordning indebærer af risikoeksponering. Der er endda mange af dem der er bevidste som alligevel ikke prioriterer det...
Den prioritering persondatabeskyttelse generelt har i DK for nuværende lægger ikke op til at den konkrete virksomhed nødvendigvis vil tage henvendelsen særligt seriøst. At have ondt af eller tage hensyn til den pågældende virksomhed er derfor ikke naturgivent imo...

Det sagt så er den rigtige løsning naturligvis at gøre virksomheden opmærksom på problemet( for de eksponeredes skyld) og så kan du jo håbe på at de belønner dig som fortjent - Det burde de i hvert fald. Om et halvt års tid har den slags brølere potentiale til at udfordre virksomheden alvorligt økonomisk, hvis man ser på de bødestørrelser der potentielt kan blive udløst for den slags fejl. I den sammenhæng er det efter GDPR's ordlyd ikke et relevant hensyn at virksomheden kan gå på røven. Det væsentlige er at bøden/sanktionen har en afskrækkende virkning, så virksomheden burde jo som det mindste sende dig en kasse god drue :-)


Jeg er sådan set enig. Mange prioriterer ikke GDPR højt nok. De står over for en brat opvågning, da kontrollen vil være omfattende.


Jeg mener dog ikke det er så udbredt som medierne gør det til. Jeg oplever stor og bred interesse for GDPR på de mange konferencer og seminarer jeg deltager i.

17-10-2017 18:30 #40| 0
Moderator
Inched Limns skrev:Resultatet af mine overvejelser blev at jeg valgte heltevejen.
Jeg henvendte mig først pr telefon og siden på Twitter til selskabet her til formiddag, mens jeg ignorerede sønens tiggeri om Zoologisk Have. Først over middag var der hul igennem, og sidst på eftermiddagen lukkede de selv ned for adgangen til DB.


Jeg er så netop blevet ringet op af stresset teknikker, som foruden at lyve om indholdet på DB (de må kunne mine fede it-fodsport over hele deres database), så valgte han i stedet for at takke mig, at bekymre sig meget om min IP-adresse, om jeg havde downloaded noget af den "meget tilfældige og ufuldstændige test-base, helt uden relevante kundeinformationer". Jeg fortalte at jeg selvfølgelig ikke længere er i besiddelse af deres data, men også at jeg fandt min venindes og hendes veninders mail, ønskelister, blowfish-hashede passwords og diverse andre tekniske oplysninger.

Nu blev det ændret til at der selvfølgelig var noget rigtig kundedate men at sættet ikke var komplet.
Med et meget stort antal brugere virker det dog til at databasen var en meget stor ukomplet del.....

Så ingen rødvin, ingen tak og intet andet positivt i respons.
Det var desværre ikke hverken et datingsite eller lign., men en del af et tilbud fra en virksomhed der fungerer som mellemled i vores allesammens hverdag. Desuden er staten inden over....

Det skal nævnes at et større svensk universitet og en tilsvarende stor europæisk virksomhed, der begge havde begået samme slag brøler bare i meget mindre skala, begge vendte øjeblikket tilbage med "TUSINDE TAK FOR HJÆLPEN"...
Føles stadig bedre end denne omgang, hvor HERO ser ud til end ikke at få et gg med fra bordet, selv om han har spillet med åbne kort således at modstanderen kunne lære at læse sine egne kort.

I må alle have en forsat god aften.. Hvis jeg skulle ende med et tak, eller 2 flasker gode druer eller en rød jakke til sønnen giver jeg lyd i tråden igen.

Inched
Folkeskolæreren der ikke må lære ikke at bruge SHODAN.io til overspringshandlinger.




Well played.


En introvert IT tekniker er ikke nødvendigvis en fantastisk kommunikator 😀


Shodan er et spændende stykke værktøj. Det kan være lidt en øjenåbner for mange.

17-10-2017 18:43 #41| 0
NanoQ skrev:
Jeg er sådan set enig. Mange prioriterer ikke GDPR højt nok. De står over for en brat opvågning, da kontrollen vil være omfattende.

Jeg mener dog ikke det er så udbredt som medierne gør det til. Jeg oplever stor og bred interesse for GDPR på de mange konferencer og seminarer jeg deltager i.



Hvis man ser på den seneste budgetbevilling så er det heller ikke nødvendigvis naturgivent at kontrollen vil være omfattende/intensiv i DK. Som en advokat fortalte mig, så skal man mere frygte en anmeldelse end en random kontrol.



https://www.computerworld.dk/art/240265/datatilsynet-11-maaneder-foer-persondataforordningen-vi-kan-ikke-haandhaeve-loven-med-de-nuvaerende-ressourcer


Edit: sidder på iPad, men er 100% sikker på at jeg har set direktøren for Datatilsynet udtale at den den nye bevilling(efter den nye bevilling(efter ovennævnte rtikel) kun lige muliggør iagtalelse af GDPR, men ikke på en proaktiv måde.

Redigeret af ALL IN INC d. 17-10-2017 18:49
17-10-2017 18:50 #42| 0
Moderator

Værdi af budgetbevilling afhænger i høj grad af, hvordan man vælger at forvalte den pålagte kontrol.


Audits og oplysningspligt behøver ikke at være resursetungt.

17-10-2017 19:08 #43| 0
NanoQ skrev:Værdi af budgetbevilling afhænger i høj grad af, hvordan man vælger at forvalte den pålagte kontrol.

Audits og oplysningspligt behøver ikke at være resursetungt.



Der er bare stor forskel på om du har 1 eller 10 personer til udføre kontrol. Anmeldelsespligten er i det store og hele aflyst med GDPR så det er jo enten anmeldelser eller proaktiv kontrol der fremadrettet afgør overholdelsen. I den sammenhæng er budget ret relevant imo..

Redigeret af ALL IN INC d. 17-10-2017 19:08
17-10-2017 20:09 #44| 0
Moderator

Måske... indtil videre forholder jeg mig afventende, da jeg mener de pålagte kontrolkrav burde sikre korrekt fokus. Nu er jeg ikke så naiv, at jeg tror offentlige myndigheder som udgangspunkt gør et strålende job. Men jeg vil ikke kritisere før jeg har fakta. Og SÅ skal jeg nok råbe højt ;)


Jeg arbejder i en UK baseret organisation, og her er fokus på GDPR kæmpe stort. Vi er i tæt dialog med de engelske myndigheder, som har et fint fokus på udfordringerne imo. Jeg erkender at mit kendskab til danske myndigheders håndtering ikke er helt så stort.

17-10-2017 20:48 #45| 0

2 minutter på shodan.io og så hovsa CSC:

sysinfo-demo.cpr.dk/cpr-online-sysinfo/

https://cprdocs.atlassian.net/wiki/spaces/CPR/overview?mode=global

17-10-2017 21:24 #46| 0
Moderator

Hvorfor hovsa? - overvågning af et demomiljø og en Wiki?

17-10-2017 21:34 #47| 0
NanoQ skrev:Hvorfor hovsa? - overvågning af et demomiljø og en Wiki?

Prøv at skrive til dem, så ser vi om det er der om en uge.

Hvis det er væk, så fik jeg ret og ellers du.

17-10-2017 21:45 #48| 0
Moderator

Hvor er relevansen?

17-10-2017 21:51 #49| 0
Moderator

Det er helt ok at gøre testmiljøer åbne... det kan lette arbejdet collaboration-wise... og så længe der er styr på den bagvedliggende sikkerhed, er det intet problem.


Det samme med en Wiki. Ud fra den relativt korte tid jeg brugt på den, ser det, for mig, ikke ud til at den indeholder noget der burde være konfidentielt.

17-10-2017 22:11 #50| 0
NanoQ skrev:Ud fra den relativt korte tid jeg brugt på den, ser det, for mig, ikke ud til at den indeholder noget der burde være konfidentielt.

Det kan jeg fortælle at den gør. Så håber da de får siden lukket ned.

17-10-2017 22:26 #51| 0
Moderator

specificer?

17-10-2017 22:42 #52| 0
Moderator

Jeg har gravet dybere... jeg ser intet i Confluence der kunne være konfidentielt... alle kodeeksempler ligger i bitbucket som også er åben. Andre dele er beskyttede, og her er der ikke adgang.


Confluence er et fint collaborationtool, hvor man kan beskytte konfidentielle data og gøre andet tilgængeligt. Som jeg ser det, benyttes det her helt efter hensigten.


Driftinfo er helt uinteressant. Jeg formoder den kun kigger på et dev-miljø, men selvom det ikke er tilfældet, er der intet farligt i det. Det er kun frontend der er tilgængelig. Intet spændende i det.

18-10-2017 00:16 #53| 0
NanoQ skrev:specificer?

Tænker det ikke vil være det smarteste at skrive det her :)

18-10-2017 00:38 #54| 0
Moderator

Du er velkommen til at skrive i PM. Så skal jeg af- eller bekræfte... og gerne tage kontakt til virksomheden, hvis der er en brist der skal skal lukkes.


Jeg har være igennem en del javasource og kigget på en stor del af det der er tilgængeligt på Confluence. Som jeg ser det, er der pænt styr på sikkerheden. Der ligger et par hardcodede links i javaen, der måske kunne udnyttes. Umiddelbart ser det dog ud til at være links til døde miljøer eller dev.

18-10-2017 08:00 #55| 3

Der er kun en måde virksomheder lær af deres fejl i denne slags sager, og det er ved at brænde nalderne. Du skulle have gået til Computerworld som er et af de mere seriøse medier på området.


Det er så frustrerende at sikkerhed, udadtil ligger højt på prioritets listen men det reflekterer bestemt ikke i budgettet.



18-10-2017 14:47 #56| 19

Nu hvor vi nærmer os juletiden skal vi alle sammen finde en måde at få vores ønsker ud til venner og bekendte. En del mennesker bruger Ønskeskyen.dk fra Postnord. Dette ville jeg personligt holde mig fra i disse usikre tider.

Postnord er presset økonomisk, og man ved aldrig om de selv eller nogle af deres samarbejdspartnere kunne være blevet stresset her i starten af efteråret.

Stress kan medføre at man glemmer dele af sine arbejdsrutiner, og pludseligt har kan man glemme hvordan man konfigurerer en database/server i forhold til internettet.


Personligt er jeg på brevduer og æselrygge denne jul. Ikke af nogen særlige grunde. Jeg stoler bare ikke på virtuelle ønskelister denne jul.

Hav en god efterårsferie, hvis man ligesom undertegnet er hjemme på forberedelse.

Mørbradgryden, sønnikke og svigermor venter skræmmende allerede om 70 minutter.

Inched - aka papirpusheren.

18-10-2017 18:09 #57| 0
NanoQ skrev:Budrunde, pis og papir... Hvert sekund der går, før de ansvarlige bliver gjort opmærksomme på problemet, øges risikoen for at data falder i de forkerte hænder. Et ansvar der i en hvis grad ligger hos OP, som er personen der kan forhindre det.

Det er aldeles usmagelige at tænke egen vinding i denne slags sager.

Med GDPR på vej, er ALLE virksomheder der opbevarer personfølsomme data på dupperne. Men selv de bedste kan fejle.

Helt grundlæggende, synes jeg det er forkert og ekstremt usympatisk at "tippe" sensationsmedier inden man har været i kontakt med de involverede. Det er absolut sidste skridt man skal tage, og kun hvis de ansvarlige ikke agerer fornuftigt efter man har talt med dem.


"Alle virksomheder" er vist lidt af en overdrivelse. Men hvis du kender nogle der mangler konsulenthjaelp paa omraadet siger du bare til.

18-10-2017 19:39 #58| 0
Inched Limns skrev:Nu hvor vi nærmer os juletiden skal vi alle sammen finde en måde at få vores ønsker ud til venner og bekendte. En del mennesker bruger Ønskeskyen.dk fra Postnord. Dette ville jeg personligt holde mig fra i disse usikre tider.
Postnord er presset økonomisk, og man ved aldrig om de selv eller nogle af deres samarbejdspartnere kunne være blevet stresset her i starten af efteråret.
Stress kan medføre at man glemmer dele af sine arbejdsrutiner, og pludseligt har kan man glemme hvordan man konfigurerer en database/server i forhold til internettet.

Personligt er jeg på brevduer og æselrygge denne jul. Ikke af nogen særlige grunde. Jeg stoler bare ikke på virtuelle ønskelister denne jul.

Hav en god efterårsferie, hvis man ligesom undertegnet er hjemme på forberedelse.
Mørbradgryden, sønnikke og svigermor venter skræmmende allerede om 70 minutter.

Inched - aka papirpusheren.

nu fortryder jeg næsten mit råd, den skulle sgu have været en tur på eb...

18-10-2017 20:10 #59| 0

Jeg giver gerne 2 flasker druer for det.. send en pb.

19-10-2017 10:05 #60| 0

Sorry for derail, men er det også et sikkerhedsbrist hvis man kan logge på bookmakers uden nemid, ved først at gøre det ved at spoof'e browseren til at tro den er en mobilenhed og logge på uden nemid og derefter gå tilbage til alm. pc version og stadig være logget på?

19-10-2017 12:06 #61| 1
Moderator
Duracell skrev:Sorry for derail, men er det også et sikkerhedsbrist hvis man kan logge på bookmakers uden nemid, ved først at gøre det ved at spoof'e browseren til at tro den er en mobilenhed og logge på uden nemid og derefter gå tilbage til alm. pc version og stadig være logget på?

Det vil jeg ikke mene. Det er grundlæggende forkert at der ikke kræves fornuftig 2-faktor autorisation ved mobillogon. Men det er en bevidst beslutning og by design.

19-10-2017 18:19 #62| 0
Duracell skrev:Sorry for derail, men er det også et sikkerhedsbrist hvis man kan logge på bookmakers uden nemid, ved først at gøre det ved at spoof'e browseren til at tro den er en mobilenhed og logge på uden nemid og derefter gå tilbage til alm. pc version og stadig være logget på?

Måske ikke en sikkerhedsbrist men en omgåelse af ROFUS-systemet, hvilket bør rettes.

God praktik ville så være ved et ethvert load af side af tjekke, om brugeren benytter en computer eller en mobilenhed.

Så send en mail til Spillemyndigheden, så de er bekendt med problematikken.

20-10-2017 15:52 #63| 2

25-10-2017 09:45 #64| 0

Bt bringer også historien i dag :-)

25-10-2017 09:53 #65| 0
Moderator

Mere uddybende på version2

← Gå til forumoversigtenGå til toppen ↑
Skriv et svar