Dzisiejsza dawka spamu przypomniała mi... ale nie uprzedzajmy faktów.
Jak pewnie każdy programista, przez lata dorobiłem się swoich gotowców, czyli uniwersalnych fragmentów oprogramowania, które wykorzystuję w projektach.
Parę dobrych lat temu pracowałem w zespole. Wykorzystałem tam jeden z moich gotowców. Dzięki temu praca poszła nam szybciej i klient był zadow... mniej wściekły na opóźnienia.
Niestety jeden z kolegów postanowił ukraść mój gotowiec, a następnie używać go w swoich fuchach.
I wszystko byłoby fajnie, a ja żyłbym w nieświadomości, gdyby nie jeden szczegół. Mój kod czasami wysyła mi informacje diagnostyczne na maila. Informacje takie jak adres serwera, nazwy usług, maile, użytkownicy i hasła.
Więc od paru lat dostaję spam, wysyłany przez klientów tego kolegi. Najwyraźniej zrobił strony dla kilkunastu firm, w tym jednej dużej sieci komórkowej, a do mnie przychodzą loginy, adresy, hasła... Informacje, za które hakerzy daliby się pokroić. Dziś znowu przyszło kilkaset maili, nie nadążam z kasowaniem.
Nauczka - jak kradniesz cudzy kod, sprawdź, co on robi.
kradzież oprogramowania
Zgłoś się do tych klientów że ich projekty wykorzystują twoją własność intelektualną.
Odpowiedz@iks: Myślałem nad tym, ale wyobraziłem sobie rozmowę: - sieć komórkowa X słucham - chcę zgłosić, że Państwa firma wykorzystuje moją własność intelektualną - czy lampki w modemie się świecą? - ale jakie lampki? państwa firma wykorzystuj moj oprogramowanie - dodatkowe oprogramowanie może Pan instalować na telefonie we własnym zakresie - ale Panie mnie w ogóle nie słucha! - jeśli nie słychać dźwięku może Pan oddać telefon do naprawy w dowolnym punkcie naszej sieci ... itd.
Odpowiedz@glan: ok a na serio: piszesz pismo, w którym domagasz się zaprzestania wykorzystywania twojej własności intelektualnej. Wskazujesz w nim, jakie składniki tej własności wykorzystują i jakie masz na to dowody. Właściwie powinieneś skorzystać z usług jakiejś kancelarii, raz że wezmą na serio, dwa, prawnik będzie wiedział, jak te pisma formułować, nie musisz się znać na wszystkim. Ostatecznie powinieneś wywalczyć ugodę i gratyfikację finansową, którą sobie niech potem odbijają na koledze złodzieju.
Odpowiedz@Taczer: ok, tak na serio to facet najwyraźniej nie wykorzystuje już mojego kodu bo już przychodzi mi go mnij niż przed laty. Musiałbym najpierw rozstrzygnąć czy kod jest mój czy firmy, której go udostępniłem robiąc projekt z tym kolesiem. Zgłosiłem to firmie ale olali sprawę więc mi też się nie chce.
Odpowiedz@glan: JAk nie chcesz z tym nic robić to się nie żal. Kumpel nauczki żadnej nie ma, więc może to robić nadal.
OdpowiedzAutor powinien podziękować koledze za wypasioną emeryturę w przyszłości: "To gdzie pan się chce zalogować i jakie dane wydobyć? Aha. Tak. To będzie kosztowało [tu suma np. sześciocyfrowa]" ;)
OdpowiedzTu racja, przecież on codziennie dostaje kilkanaście maili pozwalających na wzięcie chwilówki (przyjmijmy na 1000zł) na dane pana X, Y, Z .....
Odpowiedz@BlackAndYellow: Na szczęście nie ma tam PESELi ani bardzo szczegółowych danych osobowych. Poza tym czym jest chwilówka w obliczu późniejszego lęku że się wyda? Mój spokojny sen jest więcej wart.
Odpowiedz@glan: Pełen szacunek za odpowiedzialność i uczciwość. :)
Odpowiedz"Informacje takie jak adres serwera, nazwy usług, maile, użytkownicy i hasła." Serio zainstalowałeś kiedyś komuś soft szpiegowski, który wysyła ci ich hasła użytkowników ? Może jeszcze nie szyfrowane? Po co? Ciekawe informacje diagnostyczne zbierasz...
Odpowiedz@Garrett: Ten system po prostu wysyłał cały zrzut danych do celów diagnostycznych (dla znających PHP var_dump z wielu rzeczy). Jak się zorientowaliśmy, że tam są hasła to poprawiliśmy naszemu klientowi ale koleś zdążył już wtedy odejść z projektu razem z moim kodem.
Odpowiedz@Garrett: backdoor to chyba konieczność, jeśli dajesz gwarancję na swój soft. Jak miałbyś wychwycić problem, na podstawie tekstu klienta: panie, tu mie się symbol dolara wyświetla, zamiast przecinka?
Odpowiedz@Taczer: Sorry, pracuję w branży już ponad 10 lat i za coś takiego z każdej firmy, w której pracowałem zostałbym wywalony na zbity ryj. Plus być może miałbym pozew od pracodawcy. Pracowałem już w firmie, w której miałem wjazd na bazę produkcyjną - ale po zakończeniu współpracy dostępu nie mam, nic mi na prywatnego (!) maila nie przychodzi. Od tego żeby znajdować dziwne bugi są logi. Jak nie pomoże to obfuskowane dane produkcyjne. Ostatecznością jest podpięcie się debuggerem pod serwer produkcyjny. A nie spyware na koncie klienta.
Odpowiedz@Aster812: z żadnej firmy nie wywalą, jeśli takie coś jest zaaprobowaną częścią oprogramowania.
Odpowiedz@Zunrin: Z firmy która coś takiego aprobuje trzeba uciekać jak najszybciej. Albo załatwiać porządne dupochrony.
Odpowiedz@Taczer: A wiesz co to jest logowanie błędów i w jaki sposób tego użyć? Backdoor koniecznością? Ciekawe rzeczy prawisz.
OdpowiedzChyba wypadałoby to jednak zgłosić. :P Swoją drogą - hasła są niezaszyfrowane czy wysyłają się przy tworzeniu kont?
OdpowiedzŚmierdzi mi fejkiem. Duża sieć komórkowa zamówiła projekt bez zabezpieczeń ani szyfrowania? Ich bazy danych obowiązują takie przepisy, że taki błąd nie ma prawa się zdarzyć. Od kilku lat dostajesz dane, którymi nie masz prawa administrować? I myślisz, że jak to się wyda to powiesz, że to nie twoja wina i będzie ok? A w komentarzu myślisz, że w sprawie własności intelektualnej będziesz dzwonił na obsługę klienta? To wszystko jest jakieś niepoważne.
Odpowiedz@Poluck: Dobra uwaga...
Odpowiedz@Poluck: I jeszcze to nienadążanie z kasowaniem. To nawet ja, prosty użytkownik, potrafię sobie ustawić program pocztowy tak, żeby takie rzeczy automatycznie robił.
Odpowiedz@Jorn: Ręczne usunięcie "kilkuset maili" dziennie też nie wymaga rozszerzenia doby - do wyklikania w 15 minut. Nie sądzisz, że autor po prostu wykorzystał środek stylistyczny, żeby podkreślić przytłaczająco dużą ilość raportów?
Odpowiedz@kitusiek: Tak zrobiłem. Gmail grupuje mi takie maile po 100 sztuk więc to nie jest faktyczne nie nadążanie, raczej frustracja, że to wciąż przychodzi. Chyba zamknę to konto mailowe, i tak już go prawie nie używam i niech inni się martwią.
Odpowiedz@glan: A nie łatwiej filtr przenoszący maile do jakiegoś osobnego folderu, z którego będą kasowane po 24h? Skoro Gmail to grupuje, to nie powinien to być jakikolwiek problem.
OdpowiedzCo za idiota trzyma hasła w formie jawnej w bazie? Dodatkowo jesteś odpowiedzialny za dane, które otrzymujesz i przechowujesz. RODO się kłania. Masz przekichane.
Odpowiedz@xyRon: Raz - nie przechowuje, bo przecież pisał, że kasuje. Dwa - ciekawa interpretacja. Znaczy się od piątku każdy otrzymany spam (elektroniczny czy papierowy) z danymi osobowymi czyni nas administratorami danych?
Odpowiedz@Zunrin: A jaki to spam z danymi dostajesz? Mi się chyba nigdy nie zdarzyło. To że coś kasujesz ze skrzynki nie oznacza, że to magicznie znika z serwerów. :)
Odpowiedz@Zunrin: On nie otrzymuje spamu tylko dane wykradzione przy użyciu backdoora, który sam napisał. Nie jest istotne to, że ktoś skopiował ten kod i przeniósł backdoor dalej. A to, że maile kasuje? Panie, Internet nie zapomina... :) Swoją drogą fajna sytuacja. Gość chciał opisać jak to ktoś inny był "piekielny" i w ogóle a okazało się, że ludzie, którzy coś tam o tworzeniu oprogramowania wiedzą zjechali go z góry na dół... :D
OdpowiedzZmodyfikowano 1 raz. Ostatnia modyfikacja: 1 czerwca 2018 o 14:15
Chłopie. Na twoim miejscu poważnie cieszyłbym się, że jeszcze nie masz pozwu od klientów dla których ten soft robiłeś. A także zastanawiałbym się nad emigracją gdzieś, gdzie prawo unijne nie działa zanim GDPR wejdzie.
OdpowiedzAle przepraszam bardzo... w którym miejscu ktoś ukradł cokolwiek Tobie? Skoro wykorzystałeś swój kod w projekcie to na 99% przekazałeś prawo do jego wykorzystania zamawiającemu. To oznacza, że "kolega" jeśli już to okradł zamawiającego tamten projekt a nie Ciebie. To jedna sprawa. Druga natomiast... masz kod "diagnostyczny" z zakodowanymi na sztywno Twoimi danymi kontaktowymi? Brawo. Tylko że to nie jest "diagnostyka" a zwykły backdoor za który powinieneś oberwać od każdego jednego klienta, który zapłacił Ci za oprogramowanie w którym z tego korzystasz. Nie chce mi się nawet komentować tego, że wysyłka maili i haseł jest cokolwiek dziwna (jako szeregowy programista nie powinieneś mieć dostępu do tych danych nawet w projekcie przy którym aktualnie pracujesz) ale sam adres, na który takie logi są wysyłane powinien być konfigurowalny i zmieniony na adres będący pod kontrolą właściciela danego projektu. Niech to będzie "glan@domena-klienta.com" z przekierowaniem na Twoją skrzynkę ale kontrola MUSI być u klienta tak, żeby to przekierowanie zmienić jak z projektu odejdziesz...
OdpowiedzCzyli chwalisz się tym, że bezczelnie łamiesz RODO? Napisałeś kod, który przetwarza dane osobowe (adresy e-mail są takimi danymi) bez wiedzy i zgody osób, których dane są przetwarzane, i bez podstawy prawnej do takiego przetwarzania. Powinieneś teraz skontaktować się ze wszystkimi klientami, u których to zainstalowałeś, i usunąć z oprogramowania funkcję wysyłania danych do ciebie. Oczywiście na własny koszt i to jak najszybciej, bo możesz mieć spore nieprzyjemności, jeżeli gdzieś wyjdzie na jaw, że twój kod to robi.
Odpowiedz@raj: Tak w sumie jakby się zastanowić to oprócz naruszenia RODO kod dokonuje jeszcze jednego wykroczenia: wysyłka maila z takimi logami oznacza dodatkowe wykorzystanie łącza klienta. Niby to groszowe sprawy ale cholera wie ile się tego zbiera łącznie... aha, jeszcze adres IP serwera wysyłającego te maile trafia na stosowne listy i w rezultacie może obniżać rating w filtrach antyspamowych. Ot, psikus.
OdpowiedzCiekawa jestem, który to telkom (a pracuję w jednym z nich, w IT), który nie dość, że przez lata nie zauważył wycieku danych to jeszcze nie ma w zasadzie żadnych zabezpieczeń i pozwala produkcyjnej aplikacji wysyłać dane z bazy w świat.
Odpowiedz