Stimate Rxxxx Z,

In urma unei analize desfasurate in decursul unei perioade de timp, societatea Globe Hosting, Inc. a reusit sa identifice in cadrul societatii cel putin doua persoane care sustrageau si furnizau informatii confidentiale din cadrul societatii, in scopul unei concurente neloiale. In speta persoanele in cauza sunt Bobriuc Sebastian si Covaci Ciprian. Citeste mesajul integral pe arhiblog.

Nu stiu daca la noi au mai fost facute publice astfel de cazuri, dar citind anuntul celor de la Globe Hosting incep sa imi pun anumite intrebari.

Oare cate firme de hosting preiau datele clientilor si le vand sau le prelucreaza in interes propriu? Nu ma refer doar la firmele romanesti, ma refer la zecile de mii de firme de hosting din intreaga lume. Teoretic asemenea practici sunt imposibil de monitorizat. Fisierele, datele confidentiale hostate intr-un folder privat pe serverul de hosting, sursele de trafic, cuvintele cheie folosite de utilizatorii de internet la cautarile din Google sau Yahoo, sunt adevarate valori pentru cei care vor sa faca un ban “cinstit” din internet. Din pacate chiar daca platesti pentru propriul hosting nu esti singurul care are acces la toate acestea pentru ca accesul fizic este la indemana unor alti oameni.

La fel se intampla si cu serviciile de tracking al traficului de pe site-uri. Cei care iti asigura aceste servicii pot vedea de unde iti vine traficul, catre ce alte site-uri se indreapta, pot vedea ce ip are administratorul, care este path catre admin panel (in cazul in care dai click din sectiunea de administrare catre un link aflat pe partea publica a paginii). De fapt daca stai bine sa ma gandesc, unele CMS-uri de doi lei pastreaza in url hashul cu parola de admin sau de user, iar accesand acel url te poti loga fara probleme pe respectivul site. hi5 a avut problema asta si oricine putea face tracking si se putea loga pe unele conturi folosind simple imagini hostate pe propriul server, imagini care logau fiecare referrer. Probabil ca inca mai functioneaza pe hi5 acest truc dar nu am mai verificat de foarte mult timp.

Un alt exemplu perfect pentru ceea ce vreau sa spun o reprezinta www.email.ro. Scriptul de la un site care contorizeaza traficul este implementat chiar si dupa ce te-ai logat pe pagina in care iti citesti mailurile. Deci un admin de la acel site de contorizare a traficului poate avea acces la toate acele pagini si poate chiar sa extraga tot continutul html din mesajele primite de catre utilizatorul www.email.ro in inbox. Cu javascript poti extrage orice dintr-o pagina iar asta include si mesajele dintr-un cont de mail. Nu spun ca respectivul serviciu de contorizare a traficului are probleme de confidentialitate, este un exemplu legat de inconstienta celor de la email.ro.

Tu ca si furnizor de servicii in cazul in care le oferi oamenilor posibilitatea de a isi creea un cont de mail la tine pe site, macar ai bunul simt sa scoti scripturile 3rd party de pe pagina lor personala, altfel vei deveni responsabil in cazul in care se intampla ceva cu datele si mesajele confidentiale ale clientilor.

Revenind la subiectul Globe Hosting/edomenii, fraza din mesajul trimis clientilor si anume “Incepand cu data de 14 Aprilie 2010, societatea Globe Hosting nu va fi raspunzatoare in cazul in care daunele au fost provocate de aceste doua persoane“, este de-a dreptul hilara. Sunt curios daca vor fi actionati in judecata de vreun client afectat cum se vor dezice de la orice vina cand proprii lor angajati au creeat problemele.

Related Posts

• September 1, 2010 -- Hacker Uses XSS and Google Street View Data to Determine Physical Location
• July 23, 2010 -- Cyber-Bullying – palma parinteasca a noului mileniu
• June 8, 2010 -- Christopher “moot” Poole: The case for anonymity online
• May 27, 2010 -- Digital Photocopiers Loaded With Secrets
• February 5, 2010 -- Gmail uber hacking