Pytanie dotyczące wycieków

[fikusny]

Witajcie. 

Od dłuższego czasu planuję swoje forum. Będzie oczywiście one na dhostingu, domena z dhistingu i płatny ssl. 

Jakie konsekwencje bym poniósł, jeśli jakimś cudem, ktoś by połamał wszystkie zabezpieczenia i np. udostępnił bazę danych użytkowników? Forum póki co, nie będzie miało totalnie żadnych reklam, żadnych sklepów czy wpłacania donejtów. Zwykłe forum dyskusyjne, które nie zarabia i nie prosi o żadne wpłaty pomocowe dotyczące utrzymania forum. 

Gdzie w takim razie zgłosić, że było włamanie, aby to wszystko było zgodne z prawem polskim? Wiem że to są jakieś organy, ale pomijam policję bo to wiadomo. Nigdy nie wiadomo czy takie coś się komuś nie stanie a zawsze lepiej być ubezpieczonym i mieć wiedzę niż potem przekichane ?

Forum będzie stać na IPS4. 

[DawPi]

Tak myślę o co Ci chodzi i nie bardzo rozumiem. Co ma tematyka albo czy forum zarabia do włamu.

Jakie są Twoje największe wątpliwości i obawy?

[fikusny]

10 godzin temu, DawPi napisał:

Tak myślę o co Ci chodzi i nie bardzo rozumiem. Co ma tematyka albo czy forum zarabia do włamu.

Jakie są Twoje największe wątpliwości i obawy?

@DawPi

No tak jak każdy. Kiedyś znajdzie się jakiś jeleń, któremu się nie spodoba kogoś własność i zaczyna robić sobie ddosy, próbuje się włamać, a jak już tego jakimś cudem tego dokona, to bierze baze i "dawaj kase" albo udostepniam. Wtedy trzeba to zgłaszać do odpowiednich organów i jak forum jest dość duże (Być może będzie, fajnie by było) Zaczynają się kary pieniężne a także złość i utracenie większości użytkowników(czek)

 

[aXen]

Według rodo informujesz wszystkich użytkowników że była taka sytuacja. Od IPS 4.5 możesz wymusić reset hasła w przypadku takich sytuacji. Możesz też oczywiście zgłosić to na policję.

[fikusny]

13 minut temu, aXen napisał:

Według rodo informujesz wszystkich użytkowników że była taka sytuacja. Od IPS 4.5 możesz wymusić reset hasła w przypadku takich sytuacji. Możesz też oczywiście zgłosić to na policję.

Myślę, aby zrobić jeszcze tak, żeby było wymuszane włączenie weryfikacji dwuetapowej konta. Generowanie kodów co 60 sekund w aplikacji np. google authenticator.

 

Edytowane 17 Października 2020 przez fikusny

[DawPi]

Możliwe oczywiście. Tylko czy bardziej nie zniechęci ludzi do takiego forum to sam sobie musisz odpowiedzieć.

[fikusny]

1 godzinę temu, DawPi napisał:

Możliwe oczywiście. Tylko czy bardziej nie zniechęci ludzi do takiego forum to sam sobie musisz odpowiedzieć.

Bezpieczeństwo ma ludzi zniechęcać? 

[DawPi]

Sprawdź i sam zobaczysz i odpowiesz na pytanie.

Ja tylko głośno myślę.

 

Jakie to forum masz, że tak obawiasz się bezpieczeństwa?

[Dynloth]

Siemanko, moje forum sportowe tworzyło dziennie ok. 300 postów i posiadało w swojej bazie ok. 2tyś Użytkowników. Miałem włamanie, które polegało na wyczyszczeniu serwera i bazy danych. Według hostingu włamanie zostało dokonane poprzez lukę w systemie, dokładnie to w jakiejś wtyczce. (to był 2013/2014r) Po wczytaniu kopii zapasowej poinformowałem Użytkowników o tym fakcie. (Pomijając część z problemem wczytania kopii zapasowej, w którym pomógł mi @DawPi - szybko i profesjonalnie). Reakcja była oczywiście negatywna. gdyż dużo osób posiadało takie samo hasło na forum jak i do FB czy Insta. Poinformowałem wszystkich mailowo o zmianie haseł do swoich innych kont. 

Czy moja baza danych została sprzedana? Nie mam pojęcia. 

 

[macfanpl]

W dniu 17.10.2020 o 09:26, aXen napisał:

Możesz też oczywiście zgłosić to na policję.

Tylko jeśli jesteś adminem głównym danego forum

[slu12345]

W dniu 21.10.2020 o 09:23, Dynloth napisał:

Siemanko, moje forum sportowe tworzyło dziennie ok. 300 postów i posiadało w swojej bazie ok. 2tyś Użytkowników. Miałem włamanie, które polegało na wyczyszczeniu serwera i bazy danych. Według hostingu włamanie zostało dokonane poprzez lukę w systemie, dokładnie to w jakiejś wtyczce. (to był 2013/2014r) Po wczytaniu kopii zapasowej poinformowałem Użytkowników o tym fakcie. (Pomijając część z problemem wczytania kopii zapasowej, w którym pomógł mi @DawPi - szybko i profesjonalnie). Reakcja była oczywiście negatywna. gdyż dużo osób posiadało takie samo hasło na forum jak i do FB czy Insta. Poinformowałem wszystkich mailowo o zmianie haseł do swoich innych kont. 

Czy moja baza danych została sprzedana? Nie mam pojęcia. 

 

ale luka we wtyczce tego hostingu? wyczyścili dysk cały?  hosting robił backupy? nie można było przywrócić kopi?

[Dynloth]

W dniu 11.11.2020 o 01:34, slu12345 napisał:

ale luka we wtyczce tego hostingu? wyczyścili dysk cały?  hosting robił backupy? nie można było przywrócić kopi?

Luka we wtyczce IPS ale już nie pamiętam której i czyjego autorstwa. Wyczyścili całą bazę i dysk wraz z kopiami, ale Dhosting po swojemu odzyskał bazę MySql, lecz bez dysku. (Do tej pory się zastanawiam czy to była konkurencja czy ktoś kto się po prostu bawił w "hakera")

Problem był taki że nie mogłem pobrać wersji IP.Board którą wtedy miałem, tylko musiałem aktualną, a baza była pod starą i tu był problem. Trzeba było zainstalować nowy system na czysto i przekopiować dane z bazy danych z kopii zaposowej do świeżej bazy.