Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: wsh wsh 30. 06. 2022, 13:50:28
-
Nesetkali jste se také někdo s problémem, že se vám někdo vloupal do účtu na Alza.cz?
Mám účet zabezpečený náhodně vygenerovaným heslem z password manageru a dvoufázovou autentizací přes SMS. Přesto se mi o víkendu objevila v účtu cizí objednávka za 18 tisíc. Kupodivu ne s použitím uložené karty (omylem jsem ji jednou uložil a pak zapomněl, že ji chci odstranit), ale s platbou při vyzvednutí - takže podvodným úmyslem si nejsem jistý.
Objednávku jsem hned stornoval a kontaktoval support, které mu to bylo naprosto šumák. Druhý den se objevila stejná objednávka, tak jsem ji opět stornoval, změnil si heslo a důrazně kontaktoval support, kterému to opět bylo jedno.
Další den jsem opět urgoval support, jestli něco zjistili a po dalších pár dnech mi přišlo:
"Dobrý deň, bohužiaľ nedokážeme zistiť kto sa pod registráciu nabúral, prajete si Vašu registráiciu prípadne zrušiť, aby ste si mohli vytvoriť novú?"
Od kolegy mám zprávu, že i když má zapnuté 2FA, přihlášení proběhne bez SMS.
Je to jen eshop, ale zase největší u nás a tak by mě zajímalo, jestli se i někdo jiný s tím setkal - zaprvé, že to mají děravá a za druhé, že je jim to zcela jedno. U nás, kdyby zákazník nahlásil, že se mu někdo naboural do účtu, tak se to bude hodně řešit na technické úrovni a ne že necháme support mlžit.
-
Osobně bych spíše řekl, že to někdo kliká z jejich podpory, mohou totiž kdykoliv přiřadit objednávku komukoliv, takže možná nějaká chyba párování. Je nepravděpodobné, že při změně hesla se ti objednávka okamžitě objeví znovu.
Alza poslední dobou hodně šetří a propouští, asi stavět růst na loňských covidových číslech, kdy jako jedni z mála fungovali bylo dost odvážné.
Stejně tak je dost nepěkné, když společnosti pořád tvrdošíjně používají validace přes sms ač si nastavíš cokoliv jiného.
-
Jsou to uplný idioti.. mně se někdo zkoušel přihlásit na učet ale neprošel přes dvoufázovou kontrolu. Odmítali mi sdělit IP že prej by to bylo porušování soukromí (někoho kdo se mi zkoušel nabourat do učtu), takže jsem neměl šanci zjistit odkud kdo to zkoušel. Ale měl jsem tam mail a heslo co byl v nějakým listu uniklých hesel takovy to jak tam jsou ty weby co před rokem 2010 ukládali hesla v MD5. Takže moje chyba že jsem to tam neměl zmeněný. Zmenil jsem tam mail a od tý doby klid.
Alza super vrací peníze bez keců, snaží se ted i mít dobrý ceny, ale tohle je tam hruza no.
u tebe to hádám na nějakou jejich interní chybu a nebo máš vir k kompu nebo jsi se někde neodhlásil? V práci apod?
-
Osobně bych spíše řekl, že to někdo kliká z jejich podpory, mohou totiž kdykoliv přiřadit objednávku komukoliv, takže možná nějaká chyba párování. Je nepravděpodobné, že při změně hesla se ti objednávka okamžitě objeví znovu.
jo to je taky pravda oni můžou dělat objednávky přes telefon apod, tak to tam spíš někdo naklikal že třeba jmenovec. Jestli se jmenuješ Jan Novák, Pospíšil apod, tak je to jasný.
-
Taky jsem tipoval spíš interní chybu, ale tam bych trochu doufal, že uvidí, kdo to tam interně zadal (aspoň my to vždycky v interních nástrojích logovali) a stačilo to přiznat.
Jestli jim přijde lepší to zatlouct a tvářit se, že se mi někdo nabourává do účtu a oni k tomu neumí zjistit vůbec nic, tak jim na jejich reputaci vůbec nezáleží.
-
S tím, že je jim úplně jedno cokoli, co vypadne z jejich happy path, jsem se u Alzy setkal před několika lety a od té doby u nich nenakupuju. Když si od nich vymažete uloženou platební kartu, nemusíte se bát o peníze, a když smažete/změníte telefonní číslo (pokud nejde smazat, tak změnit na jejich), nebudou vás otravovat ani kurýři, kteří se vám budou pokoušet nějakou cizí objednávku dokončit.
-
Jestli jim přijde lepší to zatlouct a tvářit se, že se mi někdo nabourává do účtu...
Tak to záleží, jak probíhal ten hovor. Pokud jsi nastoupil rovnou s tím, že se ti někdo naboural do účtu, tak se nediv, že neřešili, jestli se někdo neuklikl.
mně se někdo zkoušel přihlásit na učet ale neprošel přes dvoufázovou kontrolu. Odmítali mi sdělit IP že prej by to bylo porušování soukromí, takže jsem neměl šanci zjistit odkud kdo to zkoušel.
IP adresa je za určitých okolností osobní údaj, takže to udělali správně. Ostatně, co myslíš, že bys z ní zjistil? Stejně to nejspíš byl nějaký vyhackovaný počítač a ne přímo počítač útočníka.
-
Na supportu jsou neschopáci, kterým je to úplně jedno. Vzhledem k tomu, že Alza nemá kontakt pro hlášení bezpečnostních incidentů, kontaktoval jsem manažera, kterého jsem vygooglil, že už jednou na chybový report reagoval. Napsal jsem:
"Jako IT profesionál si dovedu představit spoustu možných scénářů, jak se na mém účtu objevila nechtěná objednávka, vč. nějaké mé uživatelskéchyby, Vaší technické chyby, ale i bezpečnostního problému. Co mě alezaráží, že Alza nad tím mávne a nestojí ji to za prozkoumání."
Ale odpověď jsem nedostal. Myslím, že Filip Jirsák má pravdu, že optimalizují jen na happy path a nic jiného je nezajímá.
-
U nás, kdyby zákazník nahlásil, že se mu někdo naboural do účtu, tak se to bude hodně řešit na technické úrovni a ne že necháme support mlžit.
No a kolik těch zákazníků máte? Máte alespoň desetinu toho, co Alza? To těžko, protože to byste nedělali nic jiného, než že byste "hodně řešili na technické úrovni" různé podobné podivné věci.
Netuším, kolik podobných "hlášení o podivnostech" má Alza denně, ale tipoval bych minimálně desítky, spíš stovky. A že drtivá většina toho bude chyba / zmatení na straně uživatele, nebo různé náhodné chyby. U tak velké firmy prostě nejde řešit věci individuálně, to by se zbláznili. Musí na to jít statisticky. Kdyby jim za den najednou přišlo třeba o sto hlášení víc, že se lidem objevila na účtu cizí objednávka, tak by to už asi někdo řešil, protože to už smrdí nějakou systematickou chybou.
-
Může být, že váš jmenovec náhodou používá podobnou emailovou adresu - třeba jen s + nebo - ve jménu před zavináčem (např seznam takové zaregistruje). Některé parsery emailu to prostě odmažou a ignorují. Potom jednorázová objednávka bez registrace může přihodit objednávku na váš účet - taková je moje domněnka.
Osobně jsem takhle zrušil několik obskurních objednávek z pochybných e-shopů na moje jméno a email, ba dokonce mi přišlo cizí potvrzení termínu očkování na covid. To jsem teda nerušil.
-
IP adresa je za určitých okolností osobní údaj, takže to udělali správně. Ostatně, co myslíš, že bys z ní zjistil? Stejně to nejspíš byl nějaký vyhackovaný počítač a ne přímo počítač útočníka.
Nechápu proč to, že někdo chce vědět IP vždycky ve forech triggeruje nějakýho mravokárce, že na co ji potřebuje apod. z ní se dá zjistit spousta věcí. Facebook nebo google bežně ukazují IP posledních přihlášení, aktivních relací a nepovedených přihlášení na vlastním účtu, aby právě člověk měl přehled jestli tam nedochází k nečemu nežádoucímu nebo jestli se nezapomněl někde odhlásit a když jo, tak aby poznal kde a dokonce s geolokací.
Proč by alza měla bejt výjimka a vymlouvat se na osobní údaje, když to vyžaduju jako majitel účtu kvuli bezpečnosti, zvlášt když se tam manipuluje s penězma/kartama. Kdyby tam tu historii měli automaticky jako ostatní služby, tak se na to nikoho neptám. Já to chtěl pro ujasnění, abych viděl jestli to je nějakej omyl třeba i z mojí strany jestli se třeba znovunepřihlásila appka v mobilu nebo jestli se na to neklikalo někde kde jsem se mohl přihlašovat. Když by to byl pokus o přihlášení z Indonesie nebo nějaký VPN datacentrum, tak by to bylo alespoň jasno že to je zloděj co jen zkouší kombinace. Kdyby to ukázalo ČR tak by to asi bylo k dalšímu zamyšlení.
IP je osobní údaj, jen když to vede ke ztotožnění osoby, ne když je to jen "plain" IP adresa, to je asi jako registrační značky na autech, to je prostě veřejnej údaj dokud to nemáš spojený s osobou. I sem může kdokoliv hodit pixel nebo obrázek na vlastním hostingu a bude taky mít IP všech návštěvníků, wiki ukazuje bežně IP lidí co editovali články. Já to ale od te Alzy chtěl k výše uvedenému vyjasnění lokace přihlašujícího se a ne na nějaký kiddos hacky.
-
Facebook nebo google bežně ukazují IP posledních přihlášení, aktivních relací a nepovedených přihlášení na vlastním účtu, ...
Ta to asi používáte nějaký jiný Facebook a Google než já. Protože mě to ukazuje pouze info typu "Android on Blackberry v Praze", ale IP rozhodně ne.
-
No a kolik těch zákazníků máte? Máte alespoň desetinu toho, co Alza? To těžko, protože to byste nedělali nic jiného, než že byste "hodně řešili na technické úrovni" různé podobné podivné věci.
Netuším, kolik podobných "hlášení o podivnostech" má Alza denně, ale tipoval bych minimálně desítky, spíš stovky. A že drtivá většina toho bude chyba / zmatení na straně uživatele, nebo různé náhodné chyby. U tak velké firmy prostě nejde řešit věci individuálně, to by se zbláznili. Musí na to jít statisticky. Kdyby jim za den najednou přišlo třeba o sto hlášení víc, že se lidem objevila na účtu cizí objednávka, tak by to už asi někdo řešil, protože to už smrdí nějakou systematickou chybou.
Právě naopak, tak velká firma jako Alza by měla umět zvládat i ty výjimky, protože se s nimi musí setkávat dnes a denně. To, že takováhle každá podivnost tu firmu vykolejí, je naopak dost drahé. Alza je zatím nádherný lowcost, který svoje náklady dokonalé zvládá přenášet na zákazníky. Akorát se jí zatím úspěšně daří vytvářet dojem, že je něco lepšího.
-
Proč by alza měla bejt výjimka a vymlouvat se na osobní údaje, když to vyžaduju jako majitel účtu kvuli bezpečnosti, zvlášt když se tam manipuluje s penězma/kartama. Kdyby tam tu historii měli automaticky jako ostatní služby, tak se na to nikoho neptám. Já to chtěl pro ujasnění, abych viděl jestli to je nějakej omyl třeba i z mojí strany jestli se třeba znovunepřihlásila appka v mobilu nebo jestli se na to neklikalo někde kde jsem se mohl přihlašovat. Když by to byl pokus o přihlášení z Indonesie nebo nějaký VPN datacentrum, tak by to bylo alespoň jasno že to je zloděj co jen zkouší kombinace. Kdyby to ukázalo ČR tak by to asi bylo k dalšímu zamyšlení.
IP je osobní údaj, jen když to vede ke ztotožnění osoby, ne když je to jen "plain" IP adresa, to je asi jako registrační značky na autech, to je prostě veřejnej údaj dokud to nemáš spojený s osobou. I sem může kdokoliv hodit pixel nebo obrázek na vlastním hostingu a bude taky mít IP všech návštěvníků, wiki ukazuje bežně IP lidí co editovali články. Já to ale od te Alzy chtěl k výše uvedenému vyjasnění lokace přihlašujícího se a ne na nějaký kiddos hacky.
Pro obchodníka je IP adresa osobní údaj, protože ji má svázanou s konkrétní registrací osoby, u které zná jméno i adresu. To ke ztotožnění osoby bohatě stačí. A protože je to osobní údaj, musí s ním firma jako s osobním údajem nakládat a nemůže ho vykládat každému, kdo si řekne. To, že jde o nějakou bezpečnost, tvrdíte vy. Pokud se obáváte o bezpečnost svou nebo svého majetku, obraťte se na Policii. Ta má možnosti, jak to řešit, a firma jí tu IP adresu bude muset poskytnout, pokud k tomu bude důvod.
-
hlavně z pohledu Alzy nikdo neví, jestli znalost IP adresy může vést ke ztotožnění či nikoliv. Nezapomeň, takže logicky se jí zdráhají prozradit. Wikipedia si s veřejnění poradila trochu jinak a jsou na hraně, ví ale co dělají. Alza se ale nejspíš řídí doporučením ÚOOÚ (https://www.uoou.cz/desatero-omylu). Neměl bych jim to za zlé, jdi na to ale opačně, nepožaduji IP adresu domnělého útočníka, ale podle GDPR si vyžádej výpis svých osobních údajů vč. historie přihlášení, to by ti měli dát.
-
Ale odpověď jsem nedostal. Myslím, že Filip Jirsák má pravdu, že optimalizují jen na happy path a nic jiného je nezajímá.
Takhle bych to neřekl. Ten support mají by default fakt na nic - holka přečte v systému to, co tam vidím taky. Tzn. informaci o tom, že zásilku měli odeslat podle plánu před pár dny a když se jí zeptáš, v jakém to je skutečně stavu, neví nic. Když jsem ale naléhal (šlo o dárek pro dítě a další odklad byl dost nežádoucí), poslala požadavek někam dál a za pár hodin mi přišel mail, že objednávku už fakt připravili k odeslání. Je to tedy tak trochu i otázka komunikace ze strany zákazníka.
Alzu používám dál, ale chce to zvážit pro a proti - nedávno jsem něco sháněl, Alza byla dražší než CZC a pak jsem tu položku našel na Datartu ještě o dost výhodněji. Přijde mi zbytečné si odřezávat takhle velkého prodejce, zároveň je ale nesmysl se na něj vázat.
-
Facebook nebo google bežně ukazují IP posledních přihlášení, aktivních relací a nepovedených přihlášení na vlastním účtu, ...
Ta to asi používáte nějaký jiný Facebook a Google než já. Protože mě to ukazuje pouze info typu "Android on Blackberry v Praze", ale IP rozhodně ne.
Asi ano, asi mam jiný google a facebook a nebo mám lepší přehled když chci něco tvrdit. Teda abych to upřesnil to druhé je Gmail což považuju taky za google, u čistě google účtu mám záznam aktivity vypnutý.
(https://i.postimg.cc/FYGgjPC1/face.jpg) (https://i.postimg.cc/8CgKg9hd/face.jpg)
(https://i.postimg.cc/PLXH7qM2/google.jpg) (https://i.postimg.cc/Dzsz8J4k/google.jpg)
-
Pro obchodníka je IP adresa osobní údaj, protože ji má svázanou s konkrétní registrací osoby, u které zná jméno i adresu. To ke ztotožnění osoby bohatě stačí. A protože je to osobní údaj, musí s ním firma jako s osobním údajem nakládat a nemůže ho vykládat každému, kdo si řekne. To, že jde o nějakou bezpečnost, tvrdíte vy. Pokud se obáváte o bezpečnost svou nebo svého majetku, obraťte se na Policii. Ta má možnosti, jak to řešit, a firma jí tu IP adresu bude muset poskytnout, pokud k tomu bude důvod.
ano, ale když majitel účtu požaduje sdělit historii aktivity na vlastním účtě, tak já to zcela logicky považuju za stejnou informaci jakou poskytuje i google nebo facebook a nebo z reálného života jako když mi někde v obchodáku ukážou záznam kdo se mi snaží vloupat do auta na parkovišti nebo například u banky když dojde ke zneužití platební karty. Záznam ukážou i bez policie aby se vyloučilo že se třeba nejedná o členy rodiny.
To že mi Alza dá IP která se zkoušela přihlásit na můj účet nemůže nikoho ztotožnit, protože tím dotčeným zákazníkem jsem já a oni k nějaký random IP nemají co spárovat, leda by to byl taky jejich zákazník a na to samozřejmě právo nemám aby mi řekli jméno. Za mě se jedná z jejich strany o alibismus, aby si ušetřili práci, protože jak tu někdo psal, oni takových telefonátů asi budou mít 100 denně, myslím že jsem snad i řekl že nechci teda celou IP ale že mi stačí první dvě čísla abych si aspoň určil, jestli to nebylo někde z míst kde se běžně přihlašuju a stejně se vymluvili. Jak výše uvádim, jiný společnosti s historií aktivity problém nemají.
-
Takhle bych to neřekl. Ten support mají by default fakt na nic - holka přečte v systému to, co tam vidím taky. Tzn. informaci o tom, že zásilku měli odeslat podle plánu před pár dny a když se jí zeptáš, v jakém to je skutečně stavu, neví nic. Když jsem ale naléhal (šlo o dárek pro dítě a další odklad byl dost nežádoucí), poslala požadavek někam dál a za pár hodin mi přišel mail, že objednávku už fakt připravili k odeslání. Je to tedy tak trochu i otázka komunikace ze strany zákazníka.
Moje zkušenost byla jiná. Zásilka byla asi 3 týdny ve stavu „připraveno k odeslání“. Ten balík evidentně někam zapadl a nenaložili ho do auta. Už jenom to, že je balík v tomhle stavu déle než den, by jim mělo automaticky spustit nějaké varování. Po třech týdnech spustila Alza předvánoční reklamy, tak jsem poslal e-mail s dotazem, jak to vypadá s tou mou objednávkou z půlky listopadu. Číslo objednávky jsem uvedl v předmětu i těle e-mailu – v rozumném systému by tu objednávku viděli hned vedle e-mailu. Po týdnu přišla ručně psaná odpověď, zda je můj dotaz ještě aktuální. I když to byl copy&paste text, poslat ten e-mail muselo zabrat stejně času, jako zjistit, že ta objednávka je opravdu stále ve stavu „připraveno k odeslání“. Pár dnů před Vánocemi spustila Alza reklamu, kde se tvářili, že ještě když u oběda objednáte dárek, budete ho mít pod stromečkem (přeháním, ale deadline byl 23. snad někdy odpoledne). Poslal jsem tedy dotaz (stále ve stejné konverzaci, aby to systém mohl zařadit k něčemu, co se řeší už dva týdny a bylo by tedy záhodno s tím pohnout), jestli tu objednávku z půlky listopadu vážně stihnout doručit do Vánoc – a zase jsem dostal odpověď, že určitě. Předpokládám, že dotyčný o objednávce vůbec nic nezjišťoval. Jestli se nemýlím, dostal jsem pak cca 28. „odpověď“, jestli je s objednávkou stále problém, takže jsem jen odpověděl, ať ji stornují (protože jsem to 25. objednal jinde a 27. jsem to měl doma).
Prostě ta objednávka vypadla z happy path, je vůbec nic nevarovalo; a pak nebyli schopni za dva měsíce to vrátit zpátky na koleje, resp. ani se nepokusili zjistit, jaký je stav, a nějak to řešit. Nemuseli ten balík hledat, úplně by stačilo zabalit to znovu a poslat.
To není problém komunikace ze strany zákazníka, já jsem Alze naservíroval vše potřebné na stříbrném podnose, a oni to stejně nezvládli. Alza je v tomhle ještě horší než České dráhy – když nastane nějaká nestandardní situace, Alza ani ČD o tom neumí komunikovat se zákazníky, ale ČD se aspoň nějak snaží problém vyřešit, Alza není schopná ani toho. Alza funguje jenom díky tomu, že zvládli zařadit reklamaci do svého standardního procesu, takže reklamace neřeší, rovnou vracjí peníze a vše nestandardní se snaží hrnout přes reklamace (zase ten low cost – prostě náklady, které mohou, přehodí na zákazníka).
Přijde mi zbytečné si odřezávat takhle velkého prodejce, zároveň je ale nesmysl se na něj vázat.
Já prostě nenakupuju v diskontu z palet, radši si za služby připlatím, protože mne nebaví dělat skladníka, řidiče, závozníka apod. Alza je úplně to samé, akorát jako e-shop – akorát se jí daří spoustu let předstírat, že to tak není, a že je něco pro vyšší střední třídu. Jenže já na tuhle hru nehraju. Kapitalismus je založený na tom, že špatné firmy zaniknou, protože u nich nikdo nebude nakupovat. Takže u špatných firem nenakupuju. Pokud tu firmu někdo jiný nepovažuje za špatnou, nebo je ochotný nakupovat i u špatné firmy, je to jeho problém – ale já to dělat nebudu.
-
ano, ale když majitel účtu požaduje sdělit historii aktivity na vlastním účtě, tak já to zcela logicky považuju za stejnou informaci jakou poskytuje i google nebo facebook
Pokud vím, Google ani Facebook takové informace neposkytují. A i kdyby ano, nesrovnával bych to s českou firmou – Google i Facebook umí s regulátory v oblasti ochrany osobních údajů docela zamést, ale jsou úplně jiná váhová kategorie.
a nebo z reálného života jako když mi někde v obchodáku ukážou záznam kdo se mi snaží vloupat do auta na parkovišti nebo například u banky když dojde ke zneužití platební karty. Záznam ukážou i bez policie aby se vyloučilo že se třeba nejedná o členy rodiny.
Jenže z toho záznamu nedokážete určit, o koho se jedná. Navíc si myslím, že i v tomhle případě by mohli mít problém.
To že mi Alza dá IP která se zkoušela přihlásit na můj účet nemůže nikoho ztotožnit, protože tím dotčeným zákazníkem jsem já a oni k nějaký random IP nemají co spárovat, leda by to byl taky jejich zákazník a na to samozřejmě právo nemám aby mi řekli jméno.
Pro Alzu je IP adresa osobní údaj. To chápete?
Správce osobních údajů nesmí osobní údaj sdělit třetímu subjektu, pokud to neplyne přímo ze zákona nebo k tomu subjekt údajů nedal souhlas. To také chápete?
No, a to je celé. Že vy nemáte jak zjistit, komu ta IP adresa patří? Že pro vás by to osobní údaj nebyl? To je úplně jedno. Je zakázáno sdělovat osobní údaje a je úplně jedno, zda by vám to k něčemu bylo nebo ne.
oni takových telefonátů asi budou mít 100 denně
Já bych to viděl na opačný poměr, jednou za sto dnů. Nebo vy tam voláte tak často?
abych si aspoň určil, jestli to nebylo někde z míst kde se běžně přihlašuju
K čemu by vám to bylo?
-
Asi ano, asi mam jiný google a facebook a nebo mám lepší přehled když chci něco tvrdit. Teda abych to upřesnil to druhé je Gmail což považuju taky za google, u čistě google účtu mám záznam aktivity vypnutý.
Asi máte i jiný monitor – ukazuje vám něco jiného, než je na screenshotech. Od Googlu tam nemáte IP adresy, ale lokalitu – přesně jak psal L. U Facebooku tam máte IP adresy úspěšných přihlášení – tedy se předpokládá, že jste to byl opravdu vy. Což je úplně jiná situace, než když se někdo neúspěšně pokouší přihlásit na účet – tudíž se dá předpokládat, že to nejste vy.
-
Asi ano, asi mam jiný google a facebook a nebo mám lepší přehled když chci něco tvrdit. Teda abych to upřesnil to druhé je Gmail což považuju taky za google, u čistě google účtu mám záznam aktivity vypnutý.
Asi máte i jiný monitor – ukazuje vám něco jiného, než je na screenshotech. Od Googlu tam nemáte IP adresy, ale lokalitu – přesně jak psal L. U Facebooku tam máte IP adresy úspěšných přihlášení – tedy se předpokládá, že jste to byl opravdu vy. Což je úplně jiná situace, než když se někdo neúspěšně pokouší přihlásit na účet – tudíž se dá předpokládat, že to nejste vy.
u google jsou IP, jen jsem je zamazal nebudu je tu ukazovat, ale říkal jsem si jestli tam nenechám první čísílko kvuli hnidopichům, je to ve formátu Czechia(xxx.xxx.xxx.xxx) je to i v hlavičce té tabulky Location(IP adress)... nechápu tu tendenci mi vyvracet dokázanej fakt screenshotem tvl, nebo ze mě dělat blba co nepozná IP od názvu státu, zvlášt když si to můžte každej třema klikama otevřít taky.
A facebook neúspěšný pokus o přihlášení ukáže minimálně lokaci včetně města, posílá to i na mail, žádný takový login tu momentálně nemám takže vidim jen ty uspěšný s IP.. ale u té alzy by to taky stačilo mít v záznamech.. neuspěšný pokus o přihlášení Praha, Kladno nebo Nigérie, asi bych věděl odkud je problém. Anonymizovat se dá už jen neuvedením kompletní adresy.
vlastně nechápu tohle 20 let starý typický forum klišé, snažit se napadnout každej detail. Nedá se o tom bavit normálně? alza neukáže/nesdělí lokaci přihlášení ani orientačně anonymě a já to chci vědět, tečka. A kdo jste kdokoliv další, že mi budete říkat že to nemám chtít věd jestli mi na učet leze někdo z Nigerie nebo Prahy, to není nic konkretního dělá to ještě mnohem víc služeb než s tou IP a mě by to tenkrát vyjasnilo kdo to kde zkoušel. Kdyby to (hypoteticky) bylo dokonce přihlašování z mé domácí IP tak by to bylo na kontrolu PC, takhle je to naslepo a můžu hrát jen s pravděpodobností různých vysvětlení.
-
u google jsou IP, jen jsem je zamazal nebudu je tu ukazovat, ale říkal jsem si jestli tam nenechám první čísílko kvuli hnidopichům, je to ve formátu Czechia(xxx.xxx.xxx.xxx) je to i v hlavičce té tabulky Location(IP adress)... nechápu tu tendenci mi vyvracet dokázanej fakt screenshotem tvl, nebo ze mě dělat blba co nepozná IP od názvu státu, zvlášt když si to můžte každej třema klikama otevřít taky.
Když vy tvrdíte, že jsou tam IP adresy, a někdo jiný vám to vyvrací s tím, že je tam jenom lokalita, pak screenshotem, na kterém nejsou žádné IP adresy a je tam jenom lokalita dokazuje tvrzení toho druhého, ne vaše. Takže blba ze sebe děláte akorát sám. Kdybyste napsal, kudy se tam proklikat, bylo by to lepší – nastavení Google účtu je dost komplikované a na tři kliknutí je to jenom tehdy, když víte, kam přesně máte kliknout.
Pořád ale platí, že tam máte jenom ta úspěšná přihlášení.
A facebook neúspěšný pokus o přihlášení ukáže minimálně lokaci včetně města
Ano, přesně jak psal L. IP adresa tam není.
ale u té alzy by to taky stačilo mít v záznamech.. neuspěšný pokus o přihlášení Praha, Kladno nebo Nigérie
Jistěže by to Alza mohla dělat podobně a používat geolokaci IP adres. Jenže vy jste psal o tom, že chcete IP adresu.
asi bych věděl odkud je problém
Opravdu? Tak co byste věděl a co byste s tím dělal?
vlastně nechápu tohle 20 let starý typický forum klišé, snažit se napadnout každej detail. Nedá se o tom bavit normálně? alza neukáže/nesdělí lokaci přihlášení ani orientačně anonymě a já to chci vědět, tečka.
Dá se o tom bavit normálně. Stačí, když nezačnete svůj diskusní příspěvek slovy „jsou to úplní idioti“, nebudete se tvářit jako mistr světa, požadovat po nich porušení zákona (protože ho neznáte) a nebudete argumentovat něčím, co není pravda a následně nepřiložíte screenshot, který potvrzuje přesně to, co tvrdil váš oponent.
A kdo jste kdokoliv další, že mi budete říkat že to nemám chtít věd jestli mi na učet leze někdo z Nigerie nebo Prahy
Nikdo vám neříká, že to nemáte chtít vědět. Vy to můžete chtít vědět a Alza vám to zase může neříct. Tak prosté to je.
mě by to tenkrát vyjasnilo kdo to kde zkoušel
Když si to myslíte… Zkoušel to někdo, kdo se dostal k té databázi uniklých hesel.
Kdyby to (hypoteticky) bylo dokonce přihlašování z mé domácí IP tak by to bylo na kontrolu PC
Nemyslím si, že by úplní idioti měli povinnost vám, mistrovi světa, radit, že si máte zkontrolovat PC.
A také nějak nechápu, proč by útočník, který zná váš e-mail a heslo, pracně hledal a nabourával váš domácí počítač.
takhle je to naslepo a můžu hrát jen s pravděpodobností různých vysvětlení.
Vysvětlení jste napsal sám – váš e-mail a heslo byl v nějaké databázi úniků.
Řešení je úplně jednoduché. Vykašlete se na nějaké pátrání po IP adresách, a udělejte úplně základní věc, kterou mají vědět už děti na základce – začněte používat pro každý web jiné unikátní heslo, pokud jste měl někdo heslo sdílené s více weby, změňte je.
Také by bylo fajn, kdybyste změnil svůj přístup k tomu, že ostatní musí být úplně dokonalí, jinak jsou to úplní idioti, zatímco vy můžete dělat jednu chybu za druhou, ale stejně jste nejlepší.
-
Pane Jirsák připadáte mi jako inteligentní člověk, který by mohl pochopit, že když v kolonce nadepsané IP adresa jsou postprodukčně zakostičkované údaje cca v délce IP adresy, tak že tam asi nebyla velikost mých bot. Stejně tak nechápu proč vlastně nestačí moje slovo a mám cokoliv dokazovat jen protože někdo neinformovaný nesouhlasí.. ale pokud vás to stále zajímá, není to ani na 3 kliky ale prakticky na jeden.. vpravo dole v Gmailu je tlačítko Detials a pod tím to je.. je třeba proscrollovat maily dolu, protože je to nalepený na spodku těch mailů, není to fixní menu.
-
Pane Jirsák připadáte mi jako inteligentní člověk, který by mohl pochopit, že když v kolonce nadepsané IP adresa jsou postprodukčně zakostičkované údaje cca v délce IP adresy, tak že tam asi nebyla velikost mých bot.
Mohla tam ale být třeba přesnější lokace, třeba „Czechia, Prague“, mohl tam být název ISP, může tam být cokoli. Pořád se na to díváte ze svého pohledu, že vy jste tam ty IP adresy viděl. Nějak vám nedochází, že my je tam po vašem zásahu nevidíme. A že dokazovat to, že jsou někde uvedené IP adresy, screenshotem, na kterém není žádná IP adresy ani její část (teda kromě části dole, která ukazuje aktuální spojení a je tudíž pro debatu nezajímavé), není zrovna chytrý nápad.
Navíc pořád tvrdíte, že by vám měla Alza ukázat cizí IP adresu z logu, a teď najednou vlastní IP adresu rozmazáváte? Proč? Zase pro vás platí jiná pravidla?
Stejně tak nechápu proč vlastně nestačí moje slovo a mám cokoliv dokazovat jen protože někdo neinformovaný nesouhlasí..
No třeba proto, že zatím vše, co jste napsal, nebyla pravda. Není pravda, že IP adresa není osobní údaj, není pravda, že Facebook a Google ukazují IP adresy neúspěšných pokusů o přihlášení.
ale pokud vás to stále zajímá, není to ani na 3 kliky ale prakticky na jeden.. vpravo dole v Gmailu je tlačítko Detials a pod tím to je.. je třeba proscrollovat maily dolu, protože je to nalepený na spodku těch mailů, není to fixní menu.
Děkuji.
-
Co takhle to zkusit opacne. Zazadat o export vsech uchovovanych informaci k vam. Na to made z hlediska GDPR pravo. A jejich povinnost je poskytnout vam nejpozdeji do 30 dnu od podani zadosti vsehcny informace, ktere si o vas uchovavaji.
-
Navíc pořád tvrdíte, že by vám měla Alza ukázat cizí IP adresu z logu, a teď najednou vlastní IP adresu rozmazáváte? Proč? Zase pro vás platí jiná pravidla?
Pěkná trefa. Je to tak, IP adresa je poměrně citlivá, YourDog to sám ví, jinak by jí po té Alze ani tak moc nechtěl. Doufá, že podle ní bude schopný dál rozpoznat, co se asi s jeho účtem děje a kým. Kdyby sama o sobě IP adresa nebyla citlivý údaj, který může sloužit k identifikaci, asi by pak nebyla tak užitečná...
nula: ano, tohle jsem také radil a dá se tím to odmítnutí Alzy pěkně obejít.
-
Pane Jirsák připadáte mi jako inteligentní člověk, který by mohl pochopit, že když v kolonce nadepsané IP adresa jsou postprodukčně zakostičkované údaje cca v délce IP adresy, tak že tam asi nebyla velikost mých bot.
Mohla tam ale být třeba přesnější lokace, třeba „Czechia, Prague“, mohl tam být název ISP, může tam být cokoli. Pořád se na to díváte ze svého pohledu, že vy jste tam ty IP adresy viděl.
Navíc pořád tvrdíte, že by vám měla Alza ukázat cizí IP adresu z logu, a teď najednou vlastní IP adresu rozmazáváte? Proč? Zase pro vás platí jiná pravidla?
Stejně tak nechápu proč vlastně nestačí moje slovo a mám cokoliv dokazovat jen protože někdo neinformovaný nesouhlasí..
No třeba proto, že zatím vše, co jste napsal, nebyla pravda. Není pravda, že IP adresa není osobní údaj, není pravda, že Facebook a Google ukazují IP adresy neúspěšných pokusů o přihlášení.
ale pokud vás to stále zajímá, není to ani na 3 kliky ale prakticky na jeden.. vpravo dole v Gmailu je tlačítko Detials a pod tím to je.. je třeba proscrollovat maily dolu, protože je to nalepený na spodku těch mailů, není to fixní menu.
Děkuji.
ano mohl by tam být ISP v nějakým formátu 91.88.poskytovatel.cz, ale v tom případě bych netvrdil že tam je IP. Máte předpokládát že je pravděpodobnější že mám pravdu než to že si vymýšlím nebo nepoznám IP.
nechápu jakou má spojitost to, že nechci zde ve foru vystavovat svou IP s dotazem na identifikaci neoprávněné aktivity na soukromém účte na alze.
A IP adresa není osobní udaj dokud není spárovaná se jménem. Doplňte si informace co platí v ČR než si začnete někoho osočovat ze lži.
"IP adresa je osobním údajem vždy, když se vztahuje k určené nebo určitelné osobě" zdroj: úřad pro ochranu osobních údajů
"Podle dostupných zdůvodnění nepovažuje český Úřad na ochranu osobních údajů IP adresu za osobní údaj, protože “ve vztahu k IP adrese zcela chybí jednoznačně určený nebo určitelný subjekt a jako samostatný údaj tedy ani nemůže být IP adresa považována za osobní údaj.” (ze stanoviska ÚOOÚ č. CJ08469/05UOOU ze dne 1. listopadu 2005)."
-
Navíc pořád tvrdíte, že by vám měla Alza ukázat cizí IP adresu z logu, a teď najednou vlastní IP adresu rozmazáváte? Proč? Zase pro vás platí jiná pravidla?
Pěkná trefa. Je to tak, IP adresa je poměrně citlivá, YourDog to sám ví, jinak by jí po té Alze ani tak moc nechtěl. Doufá, že podle ní bude schopný dál rozpoznat, co se asi s jeho účtem děje a kým. Kdyby sama o sobě IP adresa nebyla citlivý údaj, který může sloužit k identifikaci, asi by pak nebyla tak užitečná...
jo k identifikaci jestli se někdo přihlašoval na místě kde se vyskytuju nebo v zahraničí.. kdo mě nezajímalo, to je celé..
-
Co takhle to zkusit opacne. Zazadat o export vsech uchovovanych informaci k vam. Na to made z hlediska GDPR pravo. A jejich povinnost je poskytnout vam nejpozdeji do 30 dnu od podani zadosti vsehcny informace, ktere si o vas uchovavaji.
dobrý nápad.. to se může někdy hodit. tenhle problem s Alzou jsem měl X let zpátky, takže u toho mi je to už jedno.
-
Stačí se podívat přes Operu na mobilu se zapnutou úsporou dat a na Alzu se nepodíváte.
-
ano mohl by tam být ISP v nějakým formátu 91.88.poskytovatel.cz
Nebo tam mohlo být to, co jsem napsal v předchozím komentáři.
ale v tom případě bych netvrdil že tam je IP
To je od vás dost silné předsevzetí. Budu držet palce, ať se podaří ho splnit.
Máte předpokládát že je pravděpodobnější že mám pravdu než to že si vymýšlím nebo nepoznám IP.
To já předpokládám u lidí, kteří se ještě nijak neprojevili nebo kteří převážně tvrdí pravdu. Ale když vy jste napsal tři tvrzení a všechna tři jsou špatně, musel bych být svatý, abych u vás po čtvrté předpokládal, že tentokrát máte pravdu.
nechápu jakou má spojitost to, že nechci zde ve foru vystavovat svou IP s dotazem na identifikaci neoprávněné aktivity na soukromém účte na alze.
Svou IP adresu zveřejnit nechcete, ale po Alze byste chtěl, aby zveřejnila IP adresu někoho jiného.
A IP adresa není osobní udaj dokud není spárovaná se jménem.
Nesmysl, takhle ochrana osobních údajů nefunguje. Při ochraně osobních údajů se nerozlišuje, jestli víte, o jakou osobu se jedná, nebo jestli to s přimeřeným úsilím můžete vědět.
Doplňte si informace co platí v ČR než si začnete někoho osočovat ze lži.
V ČR platí GDPR.
"IP adresa je osobním údajem vždy, když se vztahuje k určené nebo určitelné osobě" zdroj: úřad pro ochranu osobních údajů
Zaměřte se na to slovo „určitelné“.
"Podle dostupných zdůvodnění nepovažuje český Úřad na ochranu osobních údajů IP adresu za osobní údaj, protože “ve vztahu k IP adrese zcela chybí jednoznačně určený nebo určitelný subjekt a jako samostatný údaj tedy ani nemůže být IP adresa považována za osobní údaj.” (ze stanoviska ÚOOÚ č. CJ08469/05UOOU ze dne 1. listopadu 2005)."
Jo, stanovisko z roku 2005 je fakt relevantní, když GDPR je účinné od roku 2018.
-
nechápu jakou má spojitost to, že nechci zde ve foru vystavovat svou IP s dotazem na identifikaci neoprávněné aktivity na soukromém účte na alze.
Svou IP adresu zveřejnit nechcete, ale po Alze byste chtěl, aby zveřejnila IP adresu někoho jiného.
Rozdíl je v tom "svou" - pokud by ji tady ukázal, tak ta adresa by už byla spojená s konkrétní osobou (byť pseudonymizovanou). Po Alze ale chce IP bez jakéhokoliv dalšího identifikačního údaje. Z toho konkrétní osobu nijak neurčí, k tomu by potřeboval například seznam přihlášení do Alza účtů z daného IP.
-
Rozdíl je v tom "svou" - pokud by ji tady ukázal, tak ta adresa by už byla spojená s konkrétní osobou (byť pseudonymizovanou). Po Alze ale chce IP bez jakéhokoliv dalšího identifikačního údaje. Z toho konkrétní osobu nijak neurčí, k tomu by potřeboval například seznam přihlášení do Alza účtů z daného IP.
Rozdíl je opravdu v tom „svou“ – ale jen pro to, že na sebe uplatňuje úplně jiná kritéria, než na ostatní. YourDog celou dobu tvrdí, že IP adresa nemůže být osobním údajem, tedy nemůže být spojená s konkrétní osobou.
-
Facebook nebo google bežně ukazují IP posledních přihlášení, aktivních relací a nepovedených přihlášení na vlastním účtu, ...
Ta to asi používáte nějaký jiný Facebook a Google než já. Protože mě to ukazuje pouze info typu "Android on Blackberry v Praze", ale IP rozhodně ne.
Fakt to funguje, i když nějak polorozbitě,jako vše kolem UI na facebooku. Stačí na příšlušný řádek kliknout prstem (nebo najet myší???) a ukáže se šedá komiksová bublina s IP. Polorozbitě kvůli tomu, že asi po 4 kliknutí (když si jich chci prohlídnou víc nebo jejich permutaci), tak to po chvíli přestane fungovat. ALe stačí reload stránky. Takže ne běžně, ale po najetí :)
Ale zajímalo by mě, kde ukazuje login attempts, to jsem neviděl nikde.
Jinak alza měla nějaký velký bezpečnostní problém s nějakýmí notifikacemi na e-mail, že tam byly linky přes plain HTTP. A nevím co už byla pointa, jestli jen že útočník viděl obsah komunikace (myslím, že mohl vidět pin pro vyzvednutí a dojít si tam dřív) a nebo druhá věc že ten link obsahoval v sobě něco jako token pro přihlášení (přece když vám na mail přijde nějaké potvrzení s odkazem do klientské sekce tak proč se obtěžovat s přihlašováním, když to přece přišlo do mailu)... Ale nevím, už je to minimálně rok.
Wikipedia si s veřejnění poradila trochu jinak a jsou na hraně, ví ale co dělají
Jak jinak? Všem se liší 255.1.2.3 od 255.1.2.3 ? a co "ví"?že dělají dobře, na základě čeho
Pro Alzu je IP adresa osobní údaj. To chápete?
Ale ta IP adresa ani nemusí být být jejích klient/zákazník. V tom případě stačí říct najděte který z vašich zákazníků to udělal, pokud ho dohledáte podle IP anebo mi tu ip pošlete a nemusíte být předposraný, že sdělujete osobní údaj
A není náhodou vyjímka pro kriminálníky, že se na ně práva nevztahují? To pak je blbý, když ten zloděj (který ani není zákazník) nedá souhlas. To je ale gauner, nedal souhlas,.
Je to trochu těžší, že pod jednou adresou mohou být i normální zákazníci (nesouvisí to s NATem :D ) a může se se to měnit v čase.
Souhlasím, že není nutné /32.
Navíc pořád tvrdíte, že by vám měla Alza ukázat cizí IP adresu z logu, a teď najednou vlastní IP adresu rozmazáváte? Proč? Zase pro vás platí jiná pravidla?
Tak tohle už je Jirsákovův argumentační způsob "tah koněm", když se má hrát rovně nebo zašmodrchání kolejnice
-
Na supportu jsou neschopáci, kterým je to úplně jedno. Vzhledem k tomu, že Alza nemá kontakt pro hlášení bezpečnostních incidentů,
A co je tohle? https://www.alza.cz/.well-known/security.txt
-
Člověk, který není pravomocně odsouzen, není kriminálník.
A není náhodou vyjímka pro kriminálníky, že se na ně práva nevztahují? To pak je blbý, když ten zloděj (který ani není zákazník) nedá souhlas.
Zrovna u alzy asi bude problém najít IP z rezidenčního rozsahu, ze které nikdy nikdo nenakupoval.