Vlákno názorů k článku
Mall.cz musí odškodnit uživatele za únik hesla, rozhodl soud od Rhinox - Celkem rad bych vedel jak se prislo na...

Celkem rad bych vedel jak se prislo na tu skodu 10tisic Kc. Mnohem dulezitejsi je, ze tohle rozhodnuti je vlastne navod jak zlikvidovat firmu. Kdyby jen pulka tech poskozenejch chtela 10 tacu jako odskodneni. pak to Mall.cz muze rovnou zabalit, protoze jiste nemaji poruce zbytecne ~3 miliardy Kc...

V rozsudku se píše, že chtěl původně 115k, ale soudy se shodly na 10k. Úplně zdůvodněné to tam není, nebo to v tom nevidím.
Ale hned mě napadlo; třeba jsem měl to štěstí, že Mallu unikl i můj účet? Narozdíl od žalujícího mám hesla různá, ale to soud konstatoval, je jeho problém, nebylo to věcí odškodnění. Náklady na vedení řízení vede Mall, takže teď hádám stačí přijít k nim na recepci, sdělit jim svojí emailovou adresu, odkliknout nějaký potvrzovací email, a desítka bude doma...
Je to trochu moc. Vzhledem k tomu, že k žádnému reálnému poškození nedošlo, jen si tři čtvrtě milionu lidí muselo změnit hesla (nebo tam třeba už nenakupovat), a je to věc, se kterou je nutné na Internetu počítat, je to odškodné fakt hodně, a pokud se ten zbytek lidí dohodne (to nebude pro nějakého advokáta problém, jejich emailové adresy má...), Mall to položí.

> V rozsudku se píše, že chtěl původně 115k

FYI tohle je anchoring.

Jak víš, že k reálnému poškození nedošlo, co je a co není reálné poškození?

Se spamem jsem měl dlouho klid. V podstatě 8 let mi chodilo úplně zanedbatelné množství, které procházelo z nějakých dříve založených freemailů přeposílaných na hlavní email na vlastní doméhně. Cca před dvěma lety mi začalo najednou chodit množství spamu i na dříve čistý hlavní email.

Nejzajímavější byly spamy, kde mi někdo vyhrožoval, že mě natočil, jak si u počítače honím péro a pokud nezaplatím, tak to zveřejní. Pro větší autentičnost v těchto vyděračských mailech nechybí heslo které jsem použil pouze jednou při registraci do jednoho konkrétního eshopu. Tím že si ten eshop nedokázal zabezpečit databází, tak mi škodu způsobil, protože teď musím řešit antispam.

Ono to jednou přijít muselo, ale kdyby to byl nějaký příjemce se zavirovaným počítačem, tak by mě to štvalo miň, než tenhle laxní přístup eshopu k uchovávaným datům.

Já dávám všude unikátní adresu (jenda.<náhodné znaky>@...). Nedoporučuji používat standardní +, protože o tom spammeři vědí. Když pak přijde spam (stejně jako u tebe to zatím vždy byly spamy „natočil jsem vás masturbovat“), vím, odkud adresa unikla. Zatím to bylo z bike-eshop.cz, plantvillage.psu­.edu a wifileaks.cz. Všem třem jsem to ohlásil, zareagoval pouze ten poslední.

Taky zacinam pouzivat unikatni adresy + unikatni hesla pro registraci - unik jsem zaznamenal od SOS electronic, prislo heslo ze spamu v plantextu! Jsem jim to nahlasil a nic.. proste se neobtezovali dat vedet uzivatelum at si hesla zmeni.. nechapu proc zatloukaji, si mysli ze se na to neprijde casem?

Neexistuje nějaká databáze serverů, odkud hesla unikla? Že by to mohl člověk použít při rozhodování, kde třeba nakoupí?

"Vzhledem k tomu, že k žádnému reálnému poškození nedošlo, jen si tři čtvrtě milionu lidí muselo změnit hesla"

To pro některé nemusí být úplně pravda... Ten únik byl rozpoznán až v době, kdy někdo na Uložto nahrál celou databázi a není (nebylo) myslím nikde uvedeno, kdy k tomu úniku původně došlo.

Tedy hesla mohla být uniklá i delší dobu, a až v době, kdy někoho napadlo to nahrát na Uložto, se na to přišlo. Tzn. ta hesla mohl útočník jednotlivým uživatelům zneužívat i delší dobu a Mall kvůli špatné úrovni bezpečnosti na to víceméně nepřišel.

Tak mohla být újma pro některé uživatele výrazně vyšší a část odpovědnosti na tom nese právě Mall, nicméně ano část odpovědnosti na tom nese sám uživatel, pokud využívá stejné heslo do více služeb (což je ale poměrně časté).

24. 10. 2019, 09:00 editováno autorem komentáře

Co by bolo predsa uplne v poriadku ked napriek roznym smerniciam a nariadeniam riesiacim zvysenie urovne zabezpecenia os. udajov vedome nechavali v svojom systeme takuto zranitelnost. Ked nemali volu zaplatit / pouzit tych par hodin programatora na prerabku autorizacneho mechanizmu, nech teraz zoznu burku ktoru zasiali.

A ako metodu mozno pouzili bulharsku konstantu ktoru pouzivaju aj nahravacie spolocnosti v sudnych sporoch na kalkulaciu vzniknutych skod ilegalnym stiahnutim skladby ;-)

23. 10. 2019, 11:59 editováno autorem komentáře

Většině lidí to za soud stát nebude.

Každopádně Mall platí za to, že se vykašlali na úplné základy.

No nevím jaké základy. Že může jeden admin dumpnout databázi a nejspíš se na to nepřijde je podle mě realita v naprosté většině malých a středních firem. Tím získá maily, telefony a fyzické adresy (což mi teda osobně přijde zajímavější než hash hesla). A MD5 nebyl v roce 2009 nebo ze kdy je ten dump ještě tak ostrakizovaný algoritmus na hashování hesel (a jinak rozsudek jsem nečetl, ale nepřijde mi, že by se točili kolem MD5, a tedy kdyby použili něco lepšího a heslo někdo cracknul stejně (vzhledem k tomu, že sám žalující přiznává, že ho používal na více místech, je to klidně možné), tak by to dopadlo stejně)

> Když uchovávám jakákoliv data, musím si je zabezpečit.

OK, jenom fakt nevím, jestli tenhle jeden náhodný případ způsobí, že všechny ostatní eshopy překopou způsob jakým data uchovávají, protože to vyžaduje docela se nad tím zamyslet a některá data vůbec neuchovávat, což zase může snížit použitelnost (a možnosti marketingu). (samozřejmě u hesel je to jednoduché, ale na maily, telefony, fyzické adresy, historii objednávek… žádný jednoduchý hotfix typu „použijte hashovací funkci XYZ“ neexistuje) Ostatně ty jsi někdy viděl nějaký eshop nebo podobnou službu této nebo menší velikosti, kde admin nemohl dumpnout databázi a dát ji ven?

Většině lidí to za soud stát nebude.

Ale může se toho chytnout nějaká právní kancelář a připravit hromadnou žalobu. Lidi se jen jednoduše k žalobě připojí, kancelář si půlku odškodného nechá a půlku lidem vyplatí.