Wyciek danych Polaków w sieci. M. Maj: "Nie musimy polegać w tej sprawie na polskich stronach rządowych"

AUTOMATYCZNA TRANSKRYPCJA PODCASTU

Rozwiń » Romany awarc 2022 kg ekonomia kapitał gospodarka i jest dziewiąta 6 to jest magazyn kg Maciej Głogowski. Dzień dobry, a dziś naszym gościem jest pan Marcin maj serwisu niebezpiecznik PL dzień dobry, dzień dobry. W sieci pojawił się duży zbiór loginów i haseł obywateli tą sprawą nawet zajął się minister do spraw cyfryzacji, wyciek przejęcie danych w każdym razie niepokój, bo chodzi o dane i to z kilku serwisów, więc na pewno wielu klientów niektóre banki Platformy sprzedażowe, co każdy z nas powinien w tej sprawie zrobić, co wiedzieć, jak się zachowywać? Czy zachować spokój?
Zachować spokój. Zawsze, natomiast oczywiście możemy podjąć pewne działania zaradcze. I cieszę się bardzo, że TOK FM jako pierwsze radio nie nazwał tego wyciekiem, bo rzeczywiście to nie był wyciek danych, tylko po prostu opublikowanie danych wykradzionych z komputerów użytkowników poprzez oprogramowanie, tzw stlery, a więc pierwsza sprawa, jeśli mamy w miarę aktualny system i zainstalowanegontwirusa, to prawdopodobieństwo, że to nasze dane zostaną wykradzione, jest znacznie mniejsze. Natomiast ponadto tam, gdzie można włączajmy dwu składnikowe uwierzytelnianie, czyli już teraz dostawcy poczty dostawcy różnych podstawowych usług dają nam możliwość włączenia tego np. dodatkowego kodu smsowego przy logowaniu. Włączmy to, bo wtedy nawet w razie wycieku haseł i loginów 1 ten 1 składnik może powstrzymać przestępcę przez wejściem na nasze Konto.
To pan od razu wyjaśnił, czym jest to dwuetapowe, bo wspomniał pan o SMS ach, ale ja to sobie myślę, że najlepiej każdą rzecz, tak praktycznie opowiedzieć codziennie. Ja okej mogę mówić o sobie nie czuje się tutaj specjalistą, więc będę opowiadał proszę państwa, słuchaczki słuchacze by wybaczyli, że będę mówił na swoim przykładzie. Ja codziennie loguję się do poczty, także tej prywatnej nie tylko służbowej, bo w służbowej mam takie dwuetapowe obowiązek zalogowania się nie wystarczy, że wpisze swoje hasło, ale muszę jeszcze dokonać dodatkowej czynności, czy każdy z nas w swojej prywatnej poczcie może włączyć takie dodatkowe powiadomienie i czy właśnie jest możliwość tylko SMS ową czy można sobie wymyślać jeszcze jakąś inną, czy to po prostu zależy od dostawcy usługi?
Zależy oczywiście, od dostawcy usługi, niektórzy to oferują niektórzy nie, ale np. popularny dżima ma.
Choć nie będziemy teraz żadnych usług reklamodawcze.
Nie okej, ale popularne usługi mają mają też popularne serwisy społecznościowe, nie tylko poczty. I teraz tak możemy rzeczywiście korzystać z weryfikacji SMS owej, gdyby ktoś z nas chciał podnieść swój poziom bezpieczeństwa, to możemy jeszcze kupić sobie urządzenie, które nazywamy kluczem u 2 f. To jest małe urządzenie USB, które, którego używamy przy logowaniu, je trzeba na początku sprząt z daną usługą, czyli logujemy się, mówimy chce używać tego klucza i to urządzenie jest o tyle ciekawe, że ono wydaje na moment logowania podpis, ale ten podpis jest charakterystyczny dla domeny, na której się logujemy, jeśli więc zostaniemy kiedyś przekierowani na domenę fałszywą w celu wyłudzenia loginu i hasła, to wtedy dane z klucza ubf przejęte nawet przez przestępców. No nie zadziałają, bo nie zadziałają na fałszywej domenie.
Rozumiem, że pan mówi teraz o urządzeniu, a nie o konkretnym urządzeniu, bo pewnie różni różnych firmy, oczywiście, więc nikt nas nie będzie mógł posądzić o reklamowanie tego, ale sama usługa być może jest Warta rozważenia i to już zostawiamy do państwa słuchaczek i słuchacze decyzji. No ale pierwsze pytanie, które wpadło mi do głowy, gdy słyszałem, jak pan o tym mówił, czy to jest droga inwestycja? Czy to ja rozumiem, że bezpieczeństwo często jest bezcenne. No ale.
Od kilkudziesięciu do kilkuset złotych, bo np. możemy sobie kupić lepszy klucz, które obsługuje technologie zbliżeniowe do logowania na telefonie, ale, ale powiedzmy od kilkudziesięciu do kilkuset złotych tak standardowo liczby około 200, ale kupujemy 1 i podłączamy do wszystkich kąt, jakie mamy. Jeśli jest taka możliwość, to co mnie cieszy to, że jest w planach również niektóre banki w Polsce już mają w planach wprowadzenie tego przy kontach bankowych. Co byłoby bardzo bardzo wskazane.
Ja pamiętam naszą rozmowę sprzed kilku tygodni i wtedy umówiliśmy się na jej kontynuację. Pan co prawda zgodził się rozmawiać ze mną na temat sztucznej inteligencji i tego jak ona może nas proszę wybaczyć, sformułowanie naciągać na czy możemy padać ofiarą przestępstwa, ale pan zwracał wtedy uwagę, no właśnie, ale przecież dzisiaj już dziś bez sztucznej inteligencji. Czy bezmartwienia się o jej konsekwencje powinniśmy wykorzystywać o metody do obrony przed tymi, którzy chcą nas oszukać? Czy określić dwuetapowe powiadomienie logowanie potwierdzanie przelewów w bankach? Jeśli tego nie mamy, to powinniśmy domagać się od swojej instytucji, by nam łączyła tę usługę.
Obecnie banki w dużej mierze stosują to domyślnie wymaga tego też od nich dyrektywa PS 2, a więc często jest tak, że musimy potwierdzić w aplikacji, musimy podać tylko jednorazowy. To już jest dwuetapowo uwierzytelnianie. Problem w tym, że dwuetapowe uwierzetelnianie np. SMS em mogą w pewien sposób przestępcy obejść. To znaczy jeśli przekierują nas na fałszywą stronę, gdzie podamy Logi i hasło to następnie zostaniemy poproszeni, o kot np. o dodatkowy kot w celu logowania. Tak nas będzie przekonywała ta strona to już może być kot użyty przez przestępcę np. do ustawienia odbiorcy zaufanego, do którego nie będzie trzeba przerzucać pieniędzy z kolejnymi kodami. I dlatego czytajmy SMS z banku, bo jeśli ktoś z nas zleca przelew, a dostaje SMS, a o treści ustalać nowego odbiorcy zaufanego, to znaczy, że coś jest nie tak. I ja wiem, że większość z nas w momencie otwierania tego SMS, a widzi tylko też 6 czy 8 cyferek kodu jednorazowego. Natomiast czytajmy treść SMS ów, bo może się okazać, że wcale nie wykonujemy tej transakcji, którą się wydaje.
Muszę się przyznać, że jestem aż zawstydzony, dlatego że pan mówi o tak właściwie oczywistych rzeczach tak łatwo się okazuje, nie dać się nabrać, tym bardziej. No nie jestem pewien, czy ja to jestem zawsze czytam, czy nie tylko patrzę na te ostatnie cyfry. Bardzo dziękuję bardzo, wydaje mi, się były to praktyczne rady, to wracając do właściwie początku naszej naszej rozmowy, czyli tego zbioru danych, który pojawił się w sieci i w mediach pojawiły się na ten temat informacje. Myślę, że wiele osób jest już świadoma, które to instytucje były narażone, czy, z których instytucji dane wypłynęły, z których to banków, czy, których Platformy handlowych jeszcze raz. A, proszę bardzo.
Te Platformy zadziałały np. wczoraj wiem, że moi znajomi np. otrzymali telefony ze szkoły, że administrator Dziennika librus poinformował konkretnych użytkowników, faktycznie firmy dostały kopię tego wycieku, sprawdziły, któryrzy ich klienci mogli paść ofiarą i niektóre poblokowały im konta albo wymusiły zmianę hasła.
I jeszcze 1 rzecz mnie interesuje przy okazji tego, o czym teraz mówimy, czyli tego zbioru danych, pan powiedział, żeby unikać sformułowania wyciek tak to już mamy.
Tak, bo wyciek to jednak by oznaczało, że wiele polskich serwisów nagle stało się dziurawych, a tak się nie stało, dziurawe były komputery użytkowników. I chodzi o to, żeby nie przekierowywać niepotrzebnie uwagi na Platformy, które tutaj nie zawiniły.
Pewnie pan spotkał się z taką informacją z takim komunikatem w ostatnich godzinach podano stronę bezpieczne dane go w PL i zachęcano nas obywatelki obywateli by sprawdzić, czy nasze dane właśnie nie są gdzieś dostępne? Czy jesteśmy bezpieczni, prawda i to jest rządowa strona. No zresztą pan minister odcyfyzacji też popularyzował tę informację, można było sprawdzić, logując się za pomocą profilu zaufanego. Jak przyznam takie ćwiczenie, też chciałem wykonać m.in. by być lepiej przygotowanym do rozmowy z panem i jak już się zalogowałem przez swój profil zaufane, to by zweryfikować, czy moje dane gdzieś się nie pojawiły. Musiałem podać logginy lub adres mailowy, którym posługuje się, korzystając z tych usług, instytucji platform banków, których dane mogły się też mnie to zastanawiało. To jest bezpieczne, czy nie jest bezpieczne?
Powiem tak, mamy inne strony internetowe, które umożliwiają sprawdzenie czy nasze dane wyciekłły.
Andrzej pan minister jest rządowa?
Ta jest rządowa, ale ona, ale teraz np. ja sprawdzałem niedawno pewien adres internetowy na stronie hewabin pomt Troja hanta i na bezpieczne da go w PL i bezpieczne dany go w PL pokaże, że wycieku nie było, a ewabin po troechanta, że był, bo teraz tak z tego, co rozumiem, to ta strona rządowa obejmuje ten 1 wyciek, tymczasem mamy takie strony jak choćby wspomniana hewajbin poądkom, ona jestprowadzona przez świetnego specjalistę od bezpieczeństwa Troja haanta, który skupuje wycieki danych i udostępnia serwis, który pozwala ci sprawdzić wyciekły twoje dane czy nie wyciekły serwis Troja haanta ma już skupione ich dość dużo. Robi to zresztą zgodnie z prawem australijskim. Ja rozumiem, że logowanie się do tego rządowego serwisu być może było próbą pogodzenia się z polskim prawem, które mówi, że masowe udostępnienie informacji o wyciekach mogłoby być traktowane jako naruszenie. Natomiast udostępnienie danych konkretnej pytającej o sobie być może nie, choć tutaj też można wiele ciekawych dyskusji prawnych.
Rozwinąć, ale ja rozumiem, bo no nie proszę mnie, dobrze zrozumieć, ja nie twierdzę, że coś jest nie tak, ale to jest zgodne ze sztuką, którą panu uprawia, to bezpieczeństwo zstawienie tam na tej stronie rządowej np. tego adresu mailowego to jest jedyną możliwość, żeby poddać się tej weryfikacji.
Czy ja zakładam, że strony rządowe i tak dużo nas wiedzą.
Czyli mogę powiedzieć jeszcze więcej mieć bazę.
Dodatkowo tak, i ja mam tu pewne wątpliwości przyznam i sam sprawdzałem, jak ta strona działa z ciekawości, natomiast osobiście mam zamiar polegać w przyszłości na stronach wyciekowych innych, to znaczy wyciekowych tych, które informują też. Zauważmy, np. przeglądarki takie jak mocno Firefox wprowadzają u siebie usługę, która też sprawdza automatycznie np. zapisane w przeglądarce hasła w bazach wyciekowych informują od razu użytkownika. Hej, to jest kompromitowane, więc te usługi się rozwijają, powiedzmy na całym świecie. Ja co ciekawe, jak to zobaczyłem, to miałbym taki apel do ministra cyfryzacji, być może nas słucha, żeby w ogóle zastanowić się nad polskim prawem dotyczącym funkcjonowania takich usług, bo np. prawa australijskie pozwalało trojowych chntowi zrobić taką stronę bardzo pozwalającą w zabezpieczeniu ludzi, a u nas np. przepisy dotyczące tzw przestępstw komputerowych czy przestępstw przeciwko informacji. To są czasami takie trochę lata dziewięćdziesiąte i na pewno dałoby się tu coś fajnego zrobić, chociaż z drugiej strony nie chciałbym, żeby to było pośpiesznie. I źle no różnie wychodzą te zmiany prawa. Natomiast powiem tak rozumiem, dlaczego ta rządowa strona może być tak zrobiona, bo rzeczywiście masowe informowanie o skutkach wycieku mogłoby być po prostu uznane za niezgodne z prawem cel, który tu był niezły. Natomiast zwrócę tylko uwagę na to, że nie musimy tutaj polegać na polskich stronach rządowych, są takie, które poinformują nas o większej liczbie wycieków, które mogły nas dotknąć i a jednak polecałbym te nierządowe na razie przynajmniej.
Bardzo dziękuję, i znów mieliśmy poruszyć jeszcze szereg innych tematów m.in. jednak spróbować zmierzyć się z tymi najnowocześniejszymi. Czy najnowszymi przepraszam, zagrożeniami wynikającymi z rozwoju sztucznej inteligencji, więc mam nadzieję, że przyjmie pan kolejne zaproszenie z niedługim czasie.
Jak tak.
By kontynuować naszą rozmowę bardzo panu dziękuję. Pan Marcin maj serwisu niebezpiecznik PL, był gościem pierwszej części magazynu EKG teraz zapraszam państwa do wysłuchania informacji. Zwiń «

Wyciek danych Polaków w sieci. M. Maj: "Nie musimy polegać w tej sprawie na polskich stronach rządowych"

AUTOMATYCZNA TRANSKRYPCJA PODCASTU

PODCASTY AUDYCJI: EKG - EKONOMIA, KAPITAŁ, GOSPODARKA

POSŁUCHAJ RÓWNIEŻ

DOSTĘP PREMIUM

SERWIS INFORMACYJNY

Wydanie z godziny 18:00

Najnowsze Podcasty

"Wszędzie tam, gdzie jest kobieta, to jest pomniejszana"

"Jesteśmy o krok od wygrania z PiS-em, ale potrzeba mobilizacji"

RPP znów obniża stopy - przedwczesne otwieranie korków od szampana? Inflacja będzie przez to dłuższa?

Normalsi, lokaliści, samotnicy ... – jak dzielą się Polacy? I czy coś nas łączy? [badanie]

TOK FM

Polecamy

Popularne

GOŚCIE TOK FM

Gazeta.pl

WYBORCZA.PL