Bezpieczeństwo

Upsss... Programista przypadkowo ujawnił prywatne dane miliarda ludzi

przeczytasz w 1 min.

Nie ma miesiąca, abyśmy nie słyszeli o wycieku poufnych informacji w mniejszej lub większej skali. To co się jednak ostatnio wydarzyło w Chinach można nazwać prawdziwą katastrofą.

Dane miliarda Chińczyków w sieci. Wszystko przez drobny błąd programisty

Podczas wdrażania Elastic Search, czyli oprogramowania służącego wyszukiwaniu informacji, jeden z programistów przypadkowo udostępnił prywatny klucz do interfejsu programowania (API), endpoint oraz nazwę konta.

Jak łatwo się domyślić, pomyłka okazała się katastrofalna w skutkach. Udostępnione dane pozwoliły postronnym osobom uzyskać dostęp do interfejsu programowania i skopiować dane obywateli z rządowej strony. Niestety, luka najprawdopodobniej została wykorzystana przez przestępców.

O sprawie poinformował Changpeng Zhao, założyciel i dyrektor generalny Binance, największej na świecie giełdy kryptowalut. Według Zhao, od pewnego czasu Dark Webie krąży oferta sprzedaży bazy miliarda chińskich obywateli - podobno obejmuje ona imię, nazwisko, adres, dane dowodu osobistego, telefon komórkowy, a także policyjną i medyczną dokumentację. Jeśli informacje się potwierdzą, będziemy mogli mówić o jednym z największych wycieków danych w historii Internetu (mówimy o wycieku danych około 1/8 wszystkich ludzi na świecie!).

Zhao sugeruje, że hakerzy będą mogli wykorzystać ujawnione informacje do przejmowania kont chińskich obywateli. Binance z tego powodu już wzmocnił procedurę weryfikacyjną użytkowników i sugeruje wdrożenie podobnej procedury innym giełdom.

Źródło: Changpeng Zhao, inf. własna

Komentarze

13
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    suntzu
    4
    Czyli w zasadzie bez powodu przechowywali dane wrażliwe- bo jeśli obywatel przeszedł weryfikacje to tych danych już nie potrzebowali.
    • avatar
      piterk2006
      3
      Fajnie, że ktoś trzyma takie dane jak numer dowodu w bazie :)
      • avatar
        Konto usunięte
        2
        "prywatny klucz do interfejsu programowania (API), endpoint oraz nazwę konta."
        czyli udostępnił tzw. credentials do autoryzacji. pytanie @Paweł , czemu nie napisałeś jak on to zrobił?

        takie rzeczy wynikają ze stosowania złych praktyk, w szczególności hardkodowania w kodzie publicznym danych do autoryzacji. a to się robi przez referencję do pliku poza katalogiem repozytorium. tak więc w ogóle nie wygląda mi to na przypadek.

        także nic nie napisałeś co to jest ten Elastic Search . wykaż się :)
        • avatar
          gromzjasnegonieba
          1
          Takie rzeczy nie dzieja sie przypadkowo.
          • avatar
            Adrianwo
            1
            Gratuluję wycieku! Jeszcze zabić Xi Jinpinga i wszystko będzie na najlepszej drodze aby zredemokratyzować Chiny! Trzeba światu ujawnić NAJCZARNIEJSZĄ prawdę o drugiej najbrutalniejszej dyktaturze w Azji (tylko Korea Północna jest brutalniejsza)
            • avatar
              Batyra
              1
              I teraz miliard ludzi dostanie telefon w sprawie fotowoltaiki lub ze się umowa na telefon kończy! Niech zaznają nasz ból!!!!!
              • avatar
                pawluto
                0
                Przypadkowo ...To napewno nie było przypadkowe...
                • avatar
                  Towarzysz_Pizza
                  0
                  Towarzysz Maziarzenko nadal w formie.