Mică lecție de asumare a răspunderii

Asta așa, ca să continuăm știrea de ieri într-o notă similară.

Ce știm după mai bine de 24 de ore de la “bubița” de ieri ? Păi mai nimic oficial. Doar că toate acuzele (a se interpreta “pulile”) se îndreaptă (și pe bună dreptate) spre rotld. Iar ăștia tac mâlc și nu știe nimeni ce fac exact.

Mai apare un nou indiciu cum că ceea ce-mi spunea ieri un cititor ar fi adevărat (SQL Injection). Rotld a schimbat TOATE parolele de pe domeniile .ro. De exemplu eu am în administrare circa 20-25 de domenii, am verificat pe sărite câteva din ele, toate cu parole schimbate.

Și cum în baza aia de date parolele sunt ținute în clar (pentru că ei trimit pe mail la password recovery parola setată de tine, nu generează o nouă parolă), e cam nasol dacă baza de date a fost afectată. Și sunt cu atât mai interesat să aflu ce s-a întâmplat exact pe acolo ca persoană fizică care are datele personale păstrate prin bazele lor de date.

Să nu uităm, vorbim de responsabilul de tld care, în anul 2012, are pe site formularul ăsta pentru plata cu cardul (până mai acum un an DOAR așa puteai plăti cu cardul). Adică le dădeai practic lor în mânuță toate datele de pe card (copie după card față/verso)  pe care ei le păstrau pe niște foi de hârtie. Fantastic aș spune.

Mi se pare incredibil să stârnești o asemenea furtună la un asemenea nivel (să nu uităm că știrea a fost comentată și la nivel internațional) și să taci mâlc fără să zici absolut nimic. Și un “am avut o problemă la <x> lucrăm în continuare la foc continuu să o remediem și să ne asigurăm că nu se va mai întâmpla altădată” era mai bun decât liniștea totală.

29 Comments Mică lecție de asumare a răspunderii

    1. Sabotor

      Daca ar fi sa fiu putin carcotas, din ce scrie in articolul ala, s-ar face vinovat pentru ceva phishing. Iar de la phising la hacking e cale lunga.
      Dar na, poate numai cu asta l-au prins.

    2. Meekuu

      Unde-ai văzut tu jurnalist de știri care să facă diferența între phishing/hacking/cracking și altele ? Sau să știe exact ce-a făcut ăla acolo ?

    1. Meekuu

      Da, eu îi înjur la greu pentru chestia asta, am înregistrat în decursul anilor domenii pentru diverși clienți la când am terminat de lucrat cu ei le-am dat într-un document parola de la rotld și mail-ul folosit la înregistrare (mail-ul lor evident). Dar cum majoritatea sunt complet atehnici (sau aveau mail-uri pe yahoo la care nu mai au acces) parcă văd c-o să înceapă să mă sune că parolele alea nu merg dacă au ceva de modificat.

  1. ABS

    Mie mi-e neclar un lucru aici: ce responsabilitate JURIDICA are Rotld? Are vreuna? Poate sa-i traga cineva la raspundere in vreun fel? Adica daca de exemplu eu, gigel, am fost afectat in vreun fel cuantificabil de muia data de ei (phishing, nu mi-a iesit o afacere si pot dovedi ca din cauza lor etc), pot sa-i fac cumva sa plateasca? Este vreun organism de control deasupra lor, unde sa se poata face o sesizare? Am impresia ca nu…
    [toata discutia este ipotetica, nu ma refer la mine, nu am nici un domeniu .ro cumparat de la ei/administrat de ei, am observat ieri dimineata ca nu imi merge google.ro si am ignorat, crezand ca e o buba de la ISP].

    Reply
    1. Meekuu

      rotld e sub umbrela ICI. Probabil o plângere de gen poate fi făcută direct la ICI. Pentru domenii sunt delegați de către ICANN dar nu ICANN sunt responsabili.

    2. Meekuu

      Extras de aici : http://portal.rotld.ro/pages/ro/2/

      Competenta ROTLD. Atat cat permite legea, registrul ROTLD nu va raspunde pentru utilizarea defectuoasa, intreruperea activitatii sau pentru diferite pagube indirecte, accidentale sau rezultate, de orice tip (inclusiv pierderi financiare), indiferent de forma de actionare (contract, ofensa, prejudicii, neglijenta), chiar daca registrul ROTLD a fost avertizat de posibilitatea unor astfel de pagube.

  2. Arhi

    si la paypal trimiti acte tot prin fax. si la ebay. banuiesc ca in mintea lor creata, astfel nu poti contraface un buletin:)

    Reply
    1. Meekuu

      Nu acte nene, cardul scanat față/verso. Cardul. Aia a calului, buletinul și pașaportul îl mai trimit, da’ să dau cuiva prin fax scan după card față/verso ? Niciodată…

    2. ABS

      Mie nu mi-au cerut niciodata tembelitati d-astea aia de la paypal sau ebay. In schimb mi-au cerut unii de la TheHut un document bancar cu numele si adresa mea, in final s-au multumit cu un PDF cu un extras de cont de pe Homebank.
      In schimb eu ma gandesc la alta dracie: daca astia au spart ROTLD si astia de la ROTLD primeau cardul scanat fata/verso pe mail, garanteaza cineva ca nu pastrau scanurile alea undeva? Si daca au fost furate, e nasol. Pe fata ai seria cardului, pe spate ai codul ala de securitate, deci se pot face plati online cu datele din scanurile alea. Oarecum trist…

    1. Meekuu

      Shit happens. Asta este, nu există sistem invulnerabil. Dar atunci când pățești o d’asta nu taci mâlc.

  3. Jules (@maibinecaieri)

    Uite o teorie a conspiratiei: daca parolele au fost schimbate de algerian? Asta ar fi o bomba micuta si foarte interesanta.
    Personal nu am de unde sa stiu daca rotld.ro a facut schimbarea ori persoana care le-a spart serverele.
    Lipsa de comunicare o sa-i doara la un moment dat indeajuns de rau. Sper!

    Reply
  4. nexus

    Tehnic nu are rost sa mai comentez. Cand exista parole tinute “in clar”, inseamna ca o cauti cu lumanarea.
    Amuzanta regula de la inregistrare legata de raspundere, dar nu asa merge. Nu retin legea si articolul, dar ma refer la prevederea ca nu poti stabili unilateral conditii contractuale de acest gen (‘nu-mi asum nici o raspundere chiar daca era in sarcina mea” in cazul de fata).
    Sunt expusi oricui doreste sa le “arda” un proces pentru daune/despagubiri, cat timp detine dovezi si poate oferi o estimare credibila sumei solicitate. Daca s-ar merge pe “nu raspund chiar daca e treaba mea”, oricine ar putea inregistra 100 domenii si sa greseasca ordinul de plata (scrie gresit o cifra din IBAN) , iar pe urma sa faca scandal “unde sunt domeniile???”. Ca “era sarcina lui sa plateasca in contul X, dar nu-si asuma raspunderea ca nu a scris corect IBANul”. :))
    Cat timp raspunederea este in seama unei institutii de stat (ICI), la ce sa te astepti altceva decat lingai, pilosi si incompetenta? Chiar daca se lasa cu platit daune/despagubiri unor clienti, “le plateste statul” si angajatilor li se rupe ca si pana acum. Sau poate “iau masuri” si mai angajeaza cativa “specialisti in securitate” (niciodata nu pot fi prea multe locuri pentru rubedenii…).

    Reply
  5. Gabriel

    Cu ocazia asta mi-am adus aminte ca si noi avem CERT ( http://www.cert-ro.eu ). Care nici ei nu zic nimic. Probabil nu e de competenta lor… Alti inutili, alaturi de cei de la MCSI (remember timp.mcti.ro?) si ICI…

    Reply
  6. Xborne

    LOOOOOOL … CERT sunt exact in aceeasi cladire cu ROTLD … deci cumva ei fumeaza si beau cafea impreuna si tu vrei sa puna alerta de securitate legata de tovarasii lor (si cand spun tovarasii nu gresesc deloc. Nu de alta dar pe acolo misuna niste dinozauri din aia comunisti de iti sta mintea in loc)

    Reply
  7. ABS

    Apropos de incompetentii nostri de la stat (MCSI, ICI, ROTLD etc), am trimis acum vreo 3 saptamani o sesizare de spam catre cei de la MCSI, la care nu mi-au raspuns nici pana acum. Din cate stiu, si astia sunt institutie publica, adica dupa 30 de zile pot sa fac sesizare la Avocatul Poporului ca nu am primit raspuns, sper ca macar aia sa-i arda nitel, desi nu sunt prea convins. Abia astept…

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *