hakira (jel ima HAK neke veze s tim?) se samo novi oblik života. mi stari smo zasad sigurni. 
Kako su napisali: "Izloženi podaci su ime i prezime, adresa, OIB te broj telefona."
I šta mogu s time?
Puno, puno toga 
Neštp ovakvo?
" Slavko Jozić, medicinski tehničar iz Zagreba, postao je za poreznike vlasnikom prezadužene tvrtke Abduco građevinarstvo “krivnjom”– OIB-a!
Ili ovo
"Ako netko dođe do vašeg OIB-a, može ga pokušati podvaliti kako bi se lažno predstavio."
I tako, GDPR nešto i tako..
Koji pushing. Maznu ti osobne podatke, adrese, oibe i sve ono što su skupljali godinama na razne legalno ilegalne načine, a sad samo adio :D
Prvi korak do bank hackinga i krađe identiteta je da ti hakiraju ISP i mobile providera.
Sad svi s virtualnim sim karticama mogu očekivat SIM hijack, a pozivi ekipe sa engleskim i španjolsko balkanskim naglascima da ne pričamo.
Zagreb, 24. studenoga 2021. – Poslovni korisnici A1 Hrvatske na raspolaganju imaju novo, inovativno rješenje za sigurnost podataka i uređaja povezanih na mobilnu mrežu. A1 Net Protect blokira prijetnje poput krađe identiteta, zlonamjernog softvera, mreže kompromitiranih računala, spam stranica, hakiranih stranica te neovlaštenog kriptorudarenja. Riječ je o prvom rješenju na domaćem tržištu koje pruža zaštitu na razini mobilne mreže.
I tak svi imaju neki super trooper compliance dok ne isplivaju podaci. Kao isplivali su samo oni nebitni podaci, tipa OIB, Adresa, Broj telefona, Ime i Prezime, spol,
ali zato Ime vašeg kućnog ljubimca nismo dali.
Već vidim, zove vašu banku:
Haker: Dobar dan, Ja sam <insert ime> i <insert prezime>,
Banka: Izvolite...
H: ma nešto mi se dogodilo sa emailom, možete li updejtati email adresu, nisam u mogućnosti , a na službenom sam putu...
B; gospodine, ali ne mogu to ovako, možete li se identificirati,
H: nema probema , zovem se Tadić Stanko, OiB 23422, Adresa ta i ta.
B: Ok, poslat ćemo vam sms kod na mobitel. Ili je već spoofal telefon
H: SIM Hijack, eto čitam kod i mjenjam email.
B: evo promjenili smo.
H: hvala vam, potpišem što trebam u poslovnici, i kupim vam veliku čokoladu.
B: flushng.
H: registrira novi token za vaše mobilno bankarstvo,
- gleda vašu poreznu, logira se u vaše e-građane
- mjenja vam email, kupi podatke od servera, mjenja 2FA od vašeg emaila ako imate SMS/Phone validation
- otvara firmu na vaše ime, bankovne račune u nekoj banci, diže online zajam itd itd.
Pa ono, cca 10% ljudi je samo iscurilo, ali kao ne brigate :D :D
bravo. Čim je netko išao sisat tu bazu sigurno je imao cilj zbog kojeg to ide radit u ovoj banana državi.
Imao sam prepisku s AZOP-om i nekoliko sisača proračuna i voditelja IT sigurnosti u jednom od ministarstva, gdje sam im slao opis i tražo da maskiraju osobne podatke na njihovim javno dostupnim servisima.
Lik koji tamo prima plaću čudio se pojmovima poput socijalnog inženjeringa i pozivao se kao oni nisu dužni implmentirati GDPR, te da su ti podaci moraju biti u njihovim bazama.
Pišem mu , da me ne muči što nekom u uredu trebaju ti podaci jednom u 10 godina, da mi ne smeta ni ako netko ima potrebu pretraživati po bazi, ali da bi trebali implementirati neku vrstu autorizacije i logiranja tko je tražio te podatke i s kojim razlogom je otvarao.
Naravno da je visoko kompetentni stručnjak ignorirao sve i dalje imaju ogroman bazen osobnih podataka otvoren public na internet gdje doslovno bilo tko može posrkat cijelu bazu hrvatske.
I naravno, mi takve plaćamo. Živjele naše agencije. Naravno iz AZOPa koji je bio u CC-u nije se nitko udostojio odgovoriti ili komentirati.
...
A1 Hrvatska krajnje ozbiljno shvaća ovu neugodnu situaciju te je odmah po prvim znakovima sumnje na nedopušteni pristup korisničkoj bazi trenutačno i bez odlaganja onemogućila daljnji neovlašteni pristup i poduzela dodatne mjere zaštite. Također je odmah podnesena kaznena prijava Policijskoj upravi zagrebačkoj, te su informacijski stručnjaci uključeni u otkrivanje počinitelja kaznenog djela. Također, informirane su i nadležne institucije HAKOM i AZOP s kojima intenzivno surađujemo.
A1 Hrvatska drži se najviših sigurnosnih standarda i zaštite podataka te ćemo nastaviti s dodatnim ulaganjima u poboljšanje sigurnosnog okruženja. Ponavljanje navedenog sigurnosnog incidenta nije moguće te nije imalo niti će imati utjecaja na pružanje usluga korisnicima.
...
Zapravo što više ovo čitam to mi više žuč radi. Znači iscurili su podaci stvarnih osoba, njihove adrese, OIBi i brojevi mobitela. Kartice nisu, jer se plaćanje vrši preko trećeg PCI DSS sustava i zaista se nadam da ne pohranjuju ostale podatke lokalno.
Ali gnjev zaista raste i postoji. Broj mobitela možeš promijeniti u banci i baciti, ali OIB, Adresu i ostalo vrlo teško ako ne i nemoguće. Ti podaci su sad negdje na internetu i više se nikad ne mogu obrisati.
To što će netko dobiti prijavu ili što su oni podigli kaznenu prijavu apsolutno ništa ne znači kad će ti podaci kolati internetom od sad do kraja svijeta.
Ovo me podsjeća na Ledger leak prije koju godinu i tamo ima isto tako hrpa osobnih podataka koji će se sada moći upariti s ovom bazom.
BRAVO A1, mislim da je vrijeme da se aktiviraju GDPR mehanizmi i zatraži brisanje podataka, kupi neki SIM na kiosku i pređe kompletno na pre-paid.
Za što im trebaju OIB brojevi? I njima i HT-u? Dođeš u poslovnicu, ugovoriš uslugu, pokažeš dokumente i oni utvrde da si to ti. I bok. A kod sebe stavi seqvencu i vozi.
Al ovak im treba za razmjenu po ostalim bazama. Ugovaranje na daljnu i slanje ugovora zadnji dan. Koji cirkus od države.
Ako se može povezati u jednu temu...
https://forum.bug.hr/forum/topic/vijesti-by-forumasi/hakiran-a1/287167.aspx
Nisam informaticar ali nesto na faksu je bilo osnova programiranja.
Ok pokrali im podatke. A zar nisu mogli srediti da OIB se nemoze ukrasti i svi bitni podatciu neg da interno imaju umjeto OIB-a generiran user ID broj s kojim je OIB poveza a do OIB-a je kriptiran?
Nisam informaticar ali nesto na faksu je bilo osnova programiranja.
Ok pokrali im podatke. A zar nisu mogli srediti da OIB se nemoze ukrasti i svi bitni podatciu neg da interno imaju umjeto OIB-a generiran user ID broj s kojim je OIB poveza a do OIB-a je kriptiran?
Naravno da su mogli... ali to nitko ne radi jer "neće se desit baš njima". A i kad se desi, "obavijestili su korisnike" i "stručnjaci rade na tome"
Znaci zavrsit ce kao klasicna prica u HR. Vec su poceli prodavati pricu kako se drze najvisih sigurnosnih snandarda itd.
Na kraju nitko nije kriv... a to sto sto ce netko neciji OIB zloupotrijebit.. pa dok kod nas dokazes kako to nisi ti vec je FINA sjela s ovrhom
Ma mogli su da su htjeli, ali to je samo do tvoje sigurnosti, a onda nije moguće da ti neki tamo third party podugovarač prodaje njihvoe usluge preko tel poziva.
Osim toga, vrlo je vjerojatno da te preko tvog oiba prate kroz ostale baze, od dužnika do međusobne razmjene, odprilike isto kao i u kasinima. Ubrzana razmena na CNUMu i sl.
Kako god, brijem da je cijela baza skinuta, jer kako to obično biva, priznaju kad je već voda prešla preko grla, malo po malo cure informacije van, a ovih 10% je očito ono što im je haker poslao kao dokaz da raspolaže podacima. Sad je već i neka ucjena objavljena, a brijem da možemo komotno očekivati da će uskoro cijela baza biti rasprodana po hakerskim forumima, a onda nakon toga besplatno podjeljena na istim tim forumima kako bi se sakrili tragovi.
Već viđeno. A ovi kokošari iz vipa, prave se grbavi. Stvarno, ne zaslužuju ništa više neg da im se terminira usluga.
"Izloženi podaci su ime i prezime, adresa, OIB te broj telefona. Naglašavaju i da informacije o bankovnim karticama i računima nisu kompromitirane, jer nisu dostupne u navedenoj bazi podataka. Sve korisnike čiji su osobni podaci potencijalno kompromitirani A1 Hrvatska će o tome i izravno obavijestiti."
Ovaj dio "... Naglašavaju i da informacije o bankovnim karticama i računima nisu kompromitirane, jer nisu dostupne u navedenoj bazi podataka...".
To znači da A1 sprema podatke o kartica u neku svoju bazu?
Zar to nije suprotno pravilima. Tj. podaci o karticama se ne spremaju.....
Al ovak im treba za razmjenu po ostalim bazama. Ugovaranje na daljnu i slanje ugovora zadnji dan. Koji cirkus od države.
Ne treba nitko ni tvoje podatke s kreditne kartice svakodnevno pa ih opet čuvaju u bazama da ne bi jadan morao upisivat ponovno kad zatreba (ili bi to bar trebao biti razlog).
Kad se radi o kontaktima - email i mob ajde, ali u slučaju OIB-a kao i kod kreditnih kartica trebali bi ponuditi opciju korisniku - da li pristaje da se ti podaci čuvaju u bazi ili će ih davati po potrebi. S tako nečim bi i GDPR imao više smisla.
A1 inče kod nas u provinciji imaju malo jače prodajne predstavnike, pogotovo po pitanju prikupljanja podataka - jedan se pojavio u firmi sa našim računima od konkurentskog telekoma i nonšalantno zaključio da može nadmašiti tu ponudu. Naravno da uopće nije vidio problem da mu je "kolega" iz konkurentskog operatera dao na raspolaganje te račune.
Šlag na tortu je da su valjda bezbroj puta zvali i nudili nešto, pa su (kad sam im se jednostavno prestao javljati na telefon) nazvali moju suprugu i pitali "...da nije možda muž negdje u bilizini..." Da li uopće trebam pripomenuti da niti ja niti supruga nismo, niti smo ikada bili njihovi korisnici? Čini mi se da svi operateri imaju sličnu praksu (pogotovo kad se u priču uključe "vanjski suradnici/agencije/partneri"), ali čini mi se da su u A1 ipak nadmašili sve ostale, tako da me ovaj incident zapravo i ne čudi.
Znaci zavrsit ce kao klasicna prica u HR. Vec su poceli prodavati pricu kako se drze najvisih sigurnosnih snandarda itd.
Na kraju nitko nije kriv... a to sto sto ce netko neciji OIB zloupotrijebit.. pa dok kod nas dokazes kako to nisi ti vec je FINA sjela s ovrhom
Upravo tako, nitko neće biti kriv, hakeri su dobili finu bazu za dodatnu zaradu kroz hakiranje svakog pojedinačnog korisnika A1 bez njegovog znanja, a potencijalno ako su došli do ovog sigurno su ostavili još neki trojanac da čuči na A1 serverima pa da mogu dobiti dodatne informacije kad im zatrebaju
Bravo A1, odmah se osjećam sigurnije ako nisu (odmah) došli do podataka moje kreditne kartice
...
A1 Hrvatska krajnje ozbiljno shvaća ovu neugodnu situaciju te je odmah po prvim znakovima sumnje na nedopušteni pristup korisničkoj bazi trenutačno i bez odlaganja onemogućila daljnji neovlašteni pristup i poduzela dodatne mjere zaštite. Također je odmah podnesena kaznena prijava Policijskoj upravi zagrebačkoj, te su informacijski stručnjaci uključeni u otkrivanje počinitelja kaznenog djela. Također, informirane su i nadležne institucije HAKOM i AZOP s kojima intenzivno surađujemo.
A1 Hrvatska drži se najviših sigurnosnih standarda i zaštite podataka te ćemo nastaviti s dodatnim ulaganjima u poboljšanje sigurnosnog okruženja. Ponavljanje navedenog sigurnosnog incidenta nije moguće te nije imalo niti će imati utjecaja na pružanje usluga korisnicima.
Ovo je u biti čista laž jer da se drže najviših standarda i poštuju GDPR smjernice onda bi svi osjetljivi podaci bili kriptirani, a pristup bi im imao ograničeni broj osoba, a ne svaki djelatnik.
Ovako i ja mogu staviti PVC vrata na ured i onda izjaviti da je isti zaštićen u skladu sa najvišim sigurnosnim standardima. 
Kako su tako sigurni da ponavljanje istog nije moguće, hrabra izjava. 
Iz napisanog moj je dojam da nikakve provale nije ni bilo već je netko imao pristup njihovim računalima i došao do exporta podataka iz baze, bilo to lokalnom konekcijom ili preko softwarea koji njihovi djelatnici koriste, ne bi me čudilo da ima negdje gumb za export svih podataka.
Al ovak im treba za razmjenu po ostalim bazama. Ugovaranje na daljnu i slanje ugovora zadnji dan. Koji cirkus od države.
Ne treba nitko ni tvoje podatke s kreditne kartice svakodnevno pa ih opet čuvaju u bazama da ne bi jadan morao upisivat ponovno kad zatreba (ili bi to bar trebao biti razlog).
Kad se radi o kontaktima - email i mob ajde, ali u slučaju OIB-a kao i kod kreditnih kartica trebali bi ponuditi opciju korisniku - da li pristaje da se ti podaci čuvaju u bazi ili će ih davati po potrebi. S tako nečim bi i GDPR imao više smisla.
Onaj tko čuva podatke o karticama u bazi mora ispoštovati strogo propisanu regulativu PCI DSS i dobiti certifikat. Ova procedura se ponavlja svake godine. Onaj tko sprema podatke bez toga je u prekršaju.
Tko će odgovarat?!!???
Tko će odgovarat?!!???
A jel itko ikad u Hrvatskoj odgovarao za nešto? Ovo je samo tema za novinare da naprave neki dobar članak, neka emisija Otvorenog i sve je zaboravljeno, a nitko nije raspravio što se treba napraviti da to ovakvog ili goreg slučaja ne dođe za koji dan. I sad piše da je maloljetnik upao i pokrao im podatke, a što da je bio netko ozbiljniji ili ako je netko ozbiljniji ostavio nešto da čuči u njihovim sustavima pa se može poslužiti s time kad god zatreba?
