Wyciekła baza użytkowników serwisu Wykop.pl

Sikorski

Cytat:

Z powodu włamania na serwer forum. Prosimy użykowników o zmianę swoich haseł w innych serwisach!. Gdyż złodzieje mogą użyć waszych haseł do włamań na inne konta!!!

jakaś seria

davidoski

Cytat:

Policja zatrzymała hakerów, którzy ukradli dane z Wykop.pl

Bazę danych internautów z serwisu Wykop.pl ukradło dwóch 15-letnich gimnazjalistów i 18-latek. Młodzi hakerzy chcieli zaimponować kolegom

Na początku września internetowy serwis Wykop.pl (ma siedzibę w Poznaniu) poinformował, że 20 sierpnia hakerzy skopiowali z serwera starą bazy danych z loginami i hasłami do kont użytkowników. Baza zawierała dane internautów zarejestrowanych na stronie przed końcem marca.

Hakerów namierzyli wielkopolscy policjanci. We wtorek o świcie mundurowi zapukali do siedmiu mieszkań w całym kraju. W Olsztynie zatrzymali 18-latka, a w Braniewie i Włocławku - 15-letnich gimnazjalistów. - To miłośnicy informatyki. Przed komputerem spędzają po 15 godzin dziennie. Mimo młodego wieku mieli sporą wiedzę i umiejętności. Na serwer włamali się, by zaimponować kolegom - opowiada oficer operacyjny, który namierzał hakerów.

Jak wyglądał atak? - Kilka godzin przed atakiem hakerzy założyli na zagranicznej stronie konto pocztowe i wysłali z niego maila do administratorów Wykopu. Pisali, że znaleźli lukę w systemie zabezpieczeń i że czekają na "ciekawą propozycję". Nie padło wprost, że chodzi o pieniądze. Oni sami też temu zaprzeczają - opowiada policjant.

Sam atak trwał kilka godzin. Korzystając z serwera proxy, który ukrywał adres IP komputera, hakerzy próbowali włamać się na serwer Wykopu. Gdy to się udało, skopiowali bazę danych. Aby pochwalić się sukcesem, rozesłali ją do znajomych. Policja zatrzymała cztery osoby, m.in. 21-latka z Poznania.

Administratorzy Wykop.pl o kradzieży poinformowali inne polskie portale, m.in. Naszą-Klasę i Allegro. - Wielu użytkowników korzysta z tych samych loginów i haseł na wielu serwisach - tłumaczy Michał Białek z serwisu Wykop.pl. Na szczęście hasła użytkowników były zaszyfrowane, a hakerzy twierdzą, że ich nie poznali. - Do tego potrzebne są dodatkowe umiejętności - mówi oficer operacyjny policji.

Istniejący od 2005 roku Wykop.pl to najpopularniejszy polski serwis zajmujący się odnajdywaniem przez użytkowników ciekawych treści w internecie i przekazywaniem ich innym internautom. - Zaraz po ataku przeprowadziliśmy audyt wszystkich systemów. Błąd popełnił człowiek. Teraz serwis jest już w pełni bezpieczny - mówi Białek.

Za włamanie i kradzież bazy danych hakerom grożą trzy lata więzienia. 15-latkami zajmie się sąd rodzinny.

Oficer operacyjny: - Z kradzieżą tak dużej bazy danych spotkaliśmy się po raz pierwszy.

http://gospodarka.gazeta.pl/gospodarka/1.....gn=4777659

Smile

_________________
The Truth Hurts
http://bankowaokupacja.blogspot.com

Guru7

kiedys mialem jedno haslo do wszystkiego ale od paru lat ustalilem klucz wg ktorego, ustalam haslo do danego serwisu czy forum, nie musze wszystkich pamietac, wystarczy, ze znam klucz wg ktorego je utworzylem,
kluczem moze byc , np odwrocona kolejnosc liter w nazwie strony- prawda- adwarp - to tylko przyklad, wymyslenie wlasnego polecam kazdemu

etznab

Cytat:

Włamywacze przesłuchani przez policję
Opublikowano: 18.09.2009 | Kategoria: Wiadomości z kraju, Świat komputerów

Policja ustaliła i przesłuchała osoby odpowiedzialne za włamanie na Wykop.pl, kradzież bazy danych użytkowników serwisu i szantażowanie właścicieli. Teraz amatorom łatwego zarobku grozi kara do 3 lat więzienia.

Główni podejrzani to trzej młodzi chłopcy: 18-latek z Olsztyna i dwóch 15-latków z Włocławka i Braniewa. W sprawę włamania i kradzieży danych użytkowników Wykopu zamieszanych jest jednak więcej osób - według ustaleń policji są to mieszkańcy Bielska Białej, Braniewa i Poznania.

Wczoraj, 16 września, odbyło się przesłuchanie podejrzanych i przeszukanie ich mieszkań oraz zabezpieczenie ich sprzętu komputerowego. Odzyskano skradzione bazy danych i jak twierdzi policja oraz przedstawiciele Wykopu “nie ma żadnych wiarygodnych informacji, że obecnie dane użytkowników są w jakikolwiek sposób zagrożone”.

Wytropienie i ustalenie hakerów zajęło policjantom kilkanaście dni. Pomocna była przy tym bliska współpraca z administratorami zaatakowanego serwisu, a także działów bezpieczeństwa Allegro i Naszej-Klasy - informuje Michał Białek, rzecznik Wykopu na oficjalnym blogu serwisu.

Sprawa włamania i kradzieży bazy ponad 100 tys. zarejestrowanych użytkowników Wykop.pl wyszła na jaw 5 września, po tym, jak jeden z internautów zamieścił o tym informacje oraz dowody z włamania w serwisie pokazywarka.pl, a potem także na Wykopie. Z informacji przekazanych przez przedstawicieli Wykopu oraz policję wynika, że do włamania mogło dojść około 20 sierpnia br. W tym dniu administratorzy serwisu stwierdzili, że nastąpił atak na testowy serwer, zakończony udanym włamaniem. Sprawcy skradli bazę poufnych danych użytkowników, która zawierała loginy, zaszyfrowane hasła dostępowe do Wykopu oraz adresy e-mail.

Po włamaniu złodzieje udostępnili skradzione dane kilku innym osobom - podaje policja. Ponadto jeden z nich szantażował serwis Wykop, grożąc ujawnieniem całej bazy danych. Oczekiwał od serwisu “ciekawych propozycji”.

Za włamanie i kradzież danych informatycznych oraz zakłócenie działania baz danych grozi kara do 3 lat więzienia - informują przedstawiciele policji. Trzeba jednak wziąć pod uwagę, że dwóch z głównych podejrzanych ma tylko po 15 lat.

Opracowanie: Krzysztof Gontarek
Źródło: Dziennik Internautów

http://wolnemedia.net/?p=17371
_________________
www.youtube.com/user/WszystkoJestWporzadQ

Glopez

szukający prawdy napisał:

Cytat:

Odzyskano skradzione bazy danych

Dobrze, że odzyskali bazę, przynajmniej Ci których dane były w tej bazie nie muszą od nowa zakładać kont.

Kurwa, co za ścierwo. 3 lata powinny grozić adminom wykopu za nieodpowiedzialne zarządzanie bazą 100k osób a nie osobom, które "mimo młodego wieku posiadają umiejętności" i "spędzają 15h przed komputerem".
_________________
"Nie jest miarą zdrowia być dobrze przystosowanym do głęboko chorego społeczeństwa"

sonic3

GibkiLopez myślisz, że są wstanie odzyskać wszystkie kopie bazy, ze strony autorów tekstu łagodzenie faktów, ze strony czytelników naiwność. Pewnie po takiej informacji wiele osób nawet nie zmieni sobie haseł, jak Bill Hicks mawiał: ..wszystko jest w porządku Ameryko, możesz spokojnie wracać do łóżka Ameryko, twój rząd panuje nad sytuacją.. Twisted Evil

_________________
http://zakazaneowoce.pl/imgs/banery/baner-zakazaneowoce-350x20.jpg
Zdolność do dziwienia się jest początkiem do mądrości
Prawa jednego człowieka kończą się tam, gdzie zaczynają się prawa drugiej osoby.
W jedności siła nie w budowanych murach!!!

Prrivan

Uwaga dla wszystkich uzytkowników Hotmail!

http://www.tvn24.pl/0,1622654,0,1,masz-p.....omosc.html

Cytat:

08:53, 06.10.2009 /BBC
Masz pocztę na Hotmailu? Zmień hasło!
KRADZIEŻ DANYCH DOSTĘPOWYCH NA DUŻĄ SKALĘ

Tysiące haseł do prowadzonej przez Microsoft usługi pocztowej Hotmail trafiło w ręce cyberprzestępców. Microsoft potwierdza, że atak okazał się skuteczny. Według BBC News, większość wykradzionych należy do europejskich użytkowników usługi.
Microsoft potwierdził, że jego usługa Hotmail została skutecznie zaatakowana i zapowiedział dochodzenie w tej sprawie. Wykradzione przez sprawców dane pojawiły się już w sieci.

Jako pierwszy o ataku poinformował serwis technologiczny neowin.com. Według tej informacji, wykradzione dane użytkowników już 1 października pojawiły się na stronie pastebin.com, gdzie programiści zwykle wymieniają się swoimi pracami. Obecnie dane te nie są już tam dostępne, ale dziennikarze BBC News i Neowin mieli dostęp do listy ok. 10 tysięcy adresów rozpoczynających się od liter A i B. Prawdopodobnie była to część większej listy.

Lista zawierała dane dostępowe do usługi Hotmail z adresami hotmail.com, msn.com i live.com.

Eksperci radzą wszystkim korzystającym z Hotmaila jak najszybszą zmianę używanego hasła. Statystyki mówią, że 40 procent internautów używa tych samych haseł w wielu usługach sieciowych.

Hotmail jest największym w internecie systemów pocztowych, w Polsce jest jednak niezbyt popularny.

Prrivan

Wyciek jest o wiele wiekszy niz podawano przed poludniem...

http://www.tvn24.pl/0,1622654,0,1,kradzi.....omosc.html

Cytat:

14:00, 06.10.2009 /BBC
Kradzież tysięcy haseł. Hotmail, Gmail, Yahoo...
GIGANTYCZNY ATAK PHISHINGOWY

Tysiące haseł i loginów do kont poczty elektronicznej, m.in. na Hotmailu i Gmailu trafiło w ręce cyberprzestępców i zostało opublikowanych w internecie. Według BBC News, większość wykradzionych należy do europejskich użytkowników kont pocztowych.
Dziennikarze BBC News dotarli do listy blisko 20 tys. danych dostępowych do kont poczty elektronicznej, które były opublikowane w internecie. Są na niej loginy i hasła do kont na serwerach Hotmail, Gmail, Yahoo, AOL i innych. Niektóre z nich są już nieważne, ale większość wciąż działa.

Dane te udostępniono na tej samej stronie, co dostępne wcześniej 10 tys. haseł i loginów do kont na Hotmailu, ale nie wiadomo czy to wynik tego samego ataku cyberprzestępców.

Najpierw Hotmail

Początkowo media na całym świecie informowały jedynie o wykradzeniu danych dostępowych do tysięcy kont na Hotmailu. Microsoft potwierdził, że jego usługa rzeczywiście została skutecznie zaatakowana i zapowiedział dochodzenie w tej sprawie.

Według Microsoftu, wykradzenie danych użytkowników Hotmaila nie było rezultatem włamania do jego baz danych, lecz najprawdopodobniej skutkiem tzw. phishingu. Terminem tym określa się wyłudzanie, najczęściej pocztą elektroniczną, poufnych informacji - haseł, nazw użytkownika, danych kart kredytowych itp. - przez podszywanie się pod wiarygodne portale, czy fora internetowe.

Jako pierwszy o ataku poinformował serwis technologiczny neowin.com. Według tej informacji, wykradzione dane użytkowników już 1 października pojawiły się na stronie pastebin.com, gdzie programiści zwykle wymieniają się swoimi pracami. Obecnie dane te nie są już tam dostępne, ale dziennikarze BBC News i Neowin mieli dostęp do listy ok. 10 tysięcy adresów rozpoczynających się od liter A i B. Prawdopodobnie była to część większej listy.

Lista zawierała dane dostępowe do usługi Hotmail z adresami hotmail.com, msn.com i live.com. Eksperci radzą wszystkim korzystającym z Hotmaila jak najszybszą zmianę używanego hasła. Statystyki mówią, że 40 procent internautów używa tych samych haseł w wielu usługach sieciowych. Hotmail jest największym w internecie systemów pocztowych, w Polsce jest jednak niezbyt popularny.

//sk/k

etznab

Cytat:

Dziennik RATMED.PL
RATOWNICTWO - MEDYCYNA RATUNKOWA - PIERWSZA POMOC
www.ratmed.pl

--------------------------------------------------

Zwracamy się z prośbą o zmianę hasła w swoim profilu za względów
bezpieczeństwa.

Na serwer było włamanie i z tego co wiemy zostaliśmy okradzeni z haseł.
Sprawa została zgłoszona policji.

Redakcja ratmed.pl

Widzę, że haking hasłowy dotyka również inne portale...
_________________
www.youtube.com/user/WszystkoJestWporzadQ

Opaq

Gmail, też poległ.
Dużo tego ostatnio.

http://www.tvn24.pl/-1,1622818,0,1,gmail.....omosc.html

Cytat:

Gmail też ofiarą cyberprzestępców
WYKRADLI PONAD 30 TYS. POUFNYCH DANYCH
Gmail też ofiarą cyberprzestępców
Fot. tvn24.plSystem poczty elektronicznej firmy Google padł ofiarą cyberprzestępców
G-mail, należący do firmy Google popularny system poczty elektronicznej, padł ofiarą cyberprzestępców - donosi BBC. Google przyznaje, że doszło do opublikowania w Siecie tysięcy loginów i haseł do kont pocztowych użytkowników Gmaila. Serwis apeluje do użytkowników o zmianę danych dostępowych.
Według BBC News, w internecie opublikowano dwie listy zawierające szczegółowe dane - loginy i hasła użytkowników poczty Gmail, Yahoo, Hotmail oraz AOL. Ponadto - jak ujawnił Google - w sieci pojawiła się też trzecia lista, lecz nie podano jak wiele danych zawierała.

W związku z "wyciekiem" poufnych danych, rzecznik firmy Google przestrzega przed phishingiem - czyli wyłudzaniem, najczęściej właśnie przy użyciu poczty elektronicznej, poufnych informacji. Apeluje też o zmianę używanych haseł.

Firma podkreśla, że wyciek danych nie był spowodowany błędem systemu ochrony danych w systemach Gmail, ale naiwnością użytkowników, którzy ujawnili informacje o sobie hakerom.

Zaczęło się od Hotmaila
Kradzież tysięcy haseł. Hotmail, Gmail, Yahoo...
Tysiące haseł i loginów do kont poczty elektronicznej, m.in. na Hotmailu i... czytaj więcej »

Początkowo wydawało się, że problem wycieku danych odnosi się wyłącznie do loginów i haseł Hotmaila. 10 tys. adresów i haseł dostępu do poczty elektronicznej znalazło się na stronie Pastebin, serwisie, gdzie programiści wymieniają się danymi. Listę opublikowano też na technologicznym blogu Neowin.

Na drugiej liście znalazło się już 20 tys. loginów i haseł dostępu do poczty Hotmail, Yahoo, AOL, Gmail i innych serwisów. Trzecią listę, do której nie dotarło BBC, odkrył Google.

Nauczka dla użytkowników

Część z opublikowanych danych była już nieaktualna, ale sporo adresów poczty elektronicznej było prawdziwych.

Specjaliści radzą, by serwisy świadczące usługę poczty elektronicznej skuteczniej edukowały swoich użytkowników przed ujawnianiem swoich danych hakerom. Co więcej, jak wynika z raportu Yahoo około 40 proc. użytkowników tego serwisu używa tych samych haseł wszystkich serwisach, z których korzystają.

Bimi

ale przecież oni piszą o phishingu, czyli że ludzie sami wysłali "hakerom" swoje hasło.
a nie o tym, ze hasła zostały ukradzione z serwera, jak to miało miejsce w przypadku wykopu.

Prrivan

W zasadzie phishing to też kradzież-tylko że innym sposobem,no nie? Smile

Właściwie to nie wiem czy bardziej kradzież czy oszustwo ale i to i to jest fe.

Bimi

no tak, ale dla mnie różnica jest zasadnicza: mi phishing nie grozi, więc sensacyjne newsy typu "wyciekło 10tys. haseł użytkowników gmaila" odbieram jako zwykłą dezinformację.
co innego jakiś wirus, czy inna larwa. w sumie nie powiedzieli na czym ten phishing polegał... a szkoda.
znając życie "hakerzy" pewnie podając się za gmaila rozsyłali spam z lewym linkiem i prośbą o zalogowanie się do konta... niektórzy się nigdy nie nauczą, a że kont na gmailu są miliony to wystarczy że 1 procent ludzi się nabierze i mają tysiące haseł.
też mi wyczyn, też mi sensacja. jeśli ktoś oddaje swoje hasło na skutek sztuczki starej jak internet to sam jest sobie winien. co innego gdyby zajebali hasła z serwera, jak wykopowi.

Waldek

Czy też dostaliście od allegro żądanie zmiany hasła?

Miałem tego samego maila na wykopie w allegro, pytanie do osób które korzystają tylko z allegro.

Cytat:

Witaj, ...

Kontynuujemy akcję zwiększania bezpieczeństwa w serwisie. W związku z tym przy najbliższym korzystaniu z Allegro zmień swoje hasło do konta.

Jeśli nie zmienisz hasła, w połowie października stracisz dostęp do tych funkcji serwisu, które wymagają logowania. Odzyskasz go po zmianie hasła. Służący do tego formularz otworzy się wówczas automatycznie zamiast zwykłej strony logowania. Pamiętaj, aby uaktualnić hasło również w zewnętrznych aplikacjach i programach, używanych do obsługi konta w Allegro.

Nasza prośba podyktowana jest troską o bezpieczeństwo Użytkowników. Nie chcemy, aby do kont uzyskały dostęp osoby niepowołane. Jednocześnie przepraszamy Cię za niedogodności, jakie może spowodować konieczność zmiany hasła.

Pozdrawiamy,
Zespół Allegro

_________________
Waldek1984.info

etznab

Czyli akcja zastraszania teroryzmu internetowego ruszyła na całego...wspaniale...
Teraz już nie można się czuc nigdzie bezpiecznie poza prawdą2.info Wink

poza tym wszystko jest wporządku - każdy dba o nasze bezpieczeństwo ...
_________________
www.youtube.com/user/WszystkoJestWporzadQ

Bimi

przypadkiem wykopałem gdzieś newsa na którego trafiłem ponad rok temu, ale zbookmarkowałem bo był ciekawy. to wkleję.
sąd w głogowie uniewinnił gościa oskarżonego o włamanie na stronę, uznając, że sql injection to nie jest żadne łamanie zabezpieczeń.

http://prawo.vagla.pl/node/8154

Cytat:

"Nie można przełamać czegoś, co nie istnieje" - polski wyrok w sprawie SQL Injection

Sąd Rejonowy w Głogowie VI Wydział Grodzki w dniu 11 sierpnia 2008 r. wydał ważny wyrok w sprawie mężczyzny oskarżonego o to, że używając komputerów nie będąc do tego uprawnionym, po przełamaniu elektronicznego zabezpieczenia, serwera pewnej firmy, uzyskał informacje - dane osobowe - dla niego nie przeznaczone, działając tym samym na szkodę tej firmy, a więc w sprawie oskarżonego o czyn z art. 267 §1 kodeksu karnego. Sąd wyrokiem (sygn. akt VI K 849/07) uniewinnił oskarżonego od zarzutu, nakazał zwrócić oskarżonemu dowody rzeczowe wymienione w wykazie dowodów, a na podstawie art. 632 pkt 2 KPK orzekł, że koszty procesu ma ponieść Skarb Państwa. Wyrok jest prawomocny. To bardzo ważne rozstrzygnięcie (...), a dotyczy m.in. granic możliwości przeprowadzania "audytu bezpieczeństwa" serwisów internetowych, a także spraw związanych z tzw. SQL Injection.

[...]

Co znajdziemy w uzasadnieniu wyroku Sądu Rejonowego w Głogowie w sprawie oskarżonego? W pierwszej kolejności opis podjętych przez niego działań. Odwiedził on stronę internetową i stwierdził, że serwis zawiera błędy. Następnie w formularz logowania wpisał ciąg znaków "' or 1=1" (powtarzając tą czynność również w polu hasła), co spowodowało, że został "zalogowany" na konto losowego użytkownika. To zaś spowodowało, że mężczyzna uzyskał dostęp do kilku kont użytkowników z jednoczesnym dostępem do ich danych osobowych. Mężczyzna postanowił wykorzystać ten fakt, a to w ten sposób, iż skontaktował się z przedstawicielami przedsiębiorstwa prowadzącego serwis internetowy i poinformował ich, że "wykrył lukę umożliwiającą wejście do bazy danych marketingowych firm należących lub związanych właścicielsko" z przedsiębiorstwem. W międzyczasie mężczyzna sprawdził również inne strony i serwisy internetowe stworzone przez autora witryny użytkowanej przez przedsiębiorstwo. Zauważył, że wszystkie te strony internetowe zawierały podobne błędy (zostały skonstruowane z wykorzystaniem tego samego systemu zarządzania treścią). Mężczyzna, by uwiarygodnić swoją propozycję, wysyłając list elektroniczny do przedsiębiorstwa umieścił tam dane jednego z pracowników, które uzyskał w wyniku opisywanych wyżej działań. Nie uzyskał żadnej odpowiedzi na propozycję współpracy postanowił wysłać listy bezpośrednio do zainteresowanych firm, których dane były w ramach serwisu przetwarzane.

Doszło do nawiązania kontaktu i mężczyzna został zaproszony do współpracy. W czasie spotkania, na które mężczyzna został zaproszony miała zostać podpisana umowa o dzieło, na podstawie której miał rozpocząć prace w celu usunięcia luk w zabezpieczeniach. Mężczyzna przyjechał na umówione spotkanie, tam podpisał przedstawione mu zobowiązanie do zachowania poufności (z datą sprzed wykrycia błędów), a następnie został zatrzymany przez współpracującą z przedsiębiorstwem Policję.

W trakcie postępowania przygotowawczego biegły sądowy z dziedziny informatyki sporządził ekspertyzę z zakresu badań danych, a wynikało z niej, że mężczyzna posłużył się "jedną z form ataku na bazy danych o nazwie SQL Injection, którego celem jest wydobycie poufnych informacji z bazy danych i zakłócenie jej funkcjonowania". W toku postępowania przed sądem, Sąd - mając na uwadze wątpliwości wynikające z doświadczenia życiowego oraz wniosek obrońcy oskarżonego - dopuścił dowód z opinii innego biegłego. Z tej opinii zaś wynikało, że poprzez wprowadzenie ciągu znaków "' or 1=1" mężczyzna nie dokonał złamania zabezpieczeń bazy danych. Nie złamano żadnego hasła dostępowego do bazy danych, nie wpisano kodu programowego, a mężczyzna w żaden sposób nie wpłynął na funkcjonowanie zabezpieczeń bazy danych. Nie usunął również zabezpieczenia, a także nie zmienił haseł dostępowych, nie założył konta dostępowego do bazy danych. Z opinii biegłego wynikało, że wprowadzenie tego ciągu znaków należy uznać za wykorzystanie SQL Injection w celu obejścia zabezpieczeń, na co pozwoliło niewłaściwe zabezpieczenie bazy danych. Formularz logowania i serwis internetowy był tak skonstruowany, że podany przez mężczyznę ciąg znaków był dopuszczalnym ciągiem danych wejściowych dla tego typu pól formularza. Poprawność zaś tego ciągu znaków powinna zweryfikować aplikacja sprawdzając, czy w bazie danych jest zapisany użytkownik o takiej nazwie lub posiadający takie hasło i wygenerować odpowiedni komunikat o błędzie.

Obrona nie kwestionowała faktów, a mężczyzna składał wyjaśnienia zgodnie z ustalonym przez sąd stanem faktycznym. Obrona kwestionowała jednak, że działania mężczyzny zawierały wszystkie znamiona czynu zabronionego z art. 267 §1 KK, w szczególności zdaniem obrony nie wypełniono znamienia "przełamania zabezpieczeń". Dodatkowo mężczyzna wyjaśniał, że nie używał programu służącego do łamania zabezpieczeń.

Sąd pod przewodnictwem Sędziego SR Andrzeja Molisaka zważył co następuje:

Cytat:

Na podstawie zgromadzonego w aktach sprawy materiału dowodowego nie można uznać oskarżonego za winnego popełnienia czynu zarzucanego mu aktem oskarżenia. Sąd przyjął taki wniosek w oparciu o wyjaśnienia oskarżonego oraz w oparciu o zebrane w sprawie dokumenty w postaci korespondencji e-mailowej między oskarżonym a przedstawicielem firmy (...), jak również w oparciu o opinię biegłego sądowego Tomasza Jagiełło [opinia wydana na wniosek obrony - dopisek mój, VaGla] i częściowo w oparciu o opinię biegłego sądowego Tomasza Mikosia [opinia przygotowana w postępowaniu przygotowawczym - dopisek mój, VaGla].

Sąd nie znalazł podstaw, by w jakiejkolwiek części kwestionować wyjaśnienie oskarżonego. Okoliczności faktyczne podawane przez oskarżonego w pełni korespondują z zeznaniami pracowników (...) [chodzi o pracowników przedsiębiorstwa, z którym mężczyzna się kontaktował - dopisek mój, VaGla], nadto znajdują potwierdzenie w dołączonej do akt sprawy korespondencji e-mailowej wysyłanej przez oskarżonego. Zdaniem sądu nie ma żadnych racjonalnych przesłanek do zakwestionowania wyjaśnień oskarżonego, tym bardziej, że podany przez niego sposób działania został potwierdzony przez opinie biegłych sądowych.

Z tych samych powodów Sąd uznał za wiarygodne w całości zeznania świadków (...). Należy jednak zwrócić uwagę, że zeznania te w zasadzie dotyczą okoliczności związanych z zatrzymaniem oskarżonego w siedzibie firmy (...) i prowadzeniem korespondencji e-mailowej z oskarżonym.
(...)
Przy tak ustalonym stanie faktycznym Sąd uznał, że działania oskarżonego nie wypełniły znamion ustawowych czynu z art. 267 §1 kk. Zgodnie z treścią art. 267 §1 kk odpowiedzialności karnej podlega ten, kto bez uprawnienia uzyskuje informacje dla niego nie przeznaczoną przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie. Z treści przepisu jednoznacznie wynika, że odpowiedzialność karna sprawcy statuuje łącznie wykonanie następujących czynności: uzyskanie informacji bez uprawnienia i przełamanie w tym czasie jej elektronicznego, magnetycznego lub innego szczególnego zabezpieczenia. Przełamanie zabezpieczenia następuje wtedy, gdy sprawca niszczy, usuwa zabezpieczenia, lub kiedy oddziałując na zabezpieczenie chwilowo niweluje jego funkcję zabezpieczającą. Zatem nie będzie ponosiła odpowiedzialności karnej osoba, która uzyskała dostęp do chronionych informacji, ale nie przełamała jej zabezpieczenia (Włodzimierz Wróbel - "Komentarz do art. 267 kk" w "Kodeks karny. Część szczególna t. III, Zakamycze 2006"). Co więcej, zgodnie z poglądami doktryny, jeżeli sprawca wykorzystuje błąd programisty i wchodzi do systemu przez "dziurę" w konfiguracji lub oprogramowaniu systemowym po to, by uzyskać znajdującą się w systemie informację, to nie można mu nawet przypisać usiłowania przestępstwa, o którym mowa w art. 267 §1 KK. Jeżeli "przechodzenie przez dziurę" nie wymaga od hackera ingerencji w zapis na komputerowym nośniku informacji lub korzystania ze specjalnego oprogramowania, zachowanie takie w ogóle nie jest karalne (por. Andrzej Adamski "Przegląd sądowy" 1998 nr 11-12, poz. 149). Podobne stanowisko zajmuje Piotr Kardas ("Czasopismo Prawa Karnego i Nauk Penalnych" 2000 r., nr 1, poz. 25) i Sebastian Bukowski ("Przegląd Sądowy" 2005 r., nr 4, poz. 134). Taka interpretacja przepisu art. 267 §1 kk jest też uzasadniona w świetle proponowanych zmian treści tego właśnie przepisu. Według projektu zmiany art. 267 §1 kk ma brzmieć: "kto bez uprawnienia uzyskuje dostęp do informacji dla niego nie przeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie podlega grzywnie, karze ograniczenia wolności, albo pozbawienia wolności do lat 2 (...) zmiany dotyczące przepisu art. 267 § 1 K.k. oraz przepisu art. 269a K.k. mają na celu implementację do polskiego porządku prawnego Decyzji ramowej Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne. Powołana Decyzja ramowa ustanawia szereg prawnokarnych mechanizmów zmierzających do wzrostu skuteczności działań służących zwalczaniu ataków na systemy informatyczne, zawierając w szczególności zobowiązanie do penalizacji czynów polegających na nielegalnym dostępie do systemu informatycznego, nielegalnej ingerencji w taki system oraz nielegalnej ingerencji w dane. Nie wszystkie z tych zachowań są aktualnie penalizowane w polskim prawie karnym, co czyni konieczną modyfikację niektórych przepisów w sposób prowadzący do pełnej ich zgodności z wymaganiami wynikającymi z Decyzji ramowej. W tym celu, zgodnie z proponowanym brzmieniem przepisu art. 267 § 1 K.k. dotyczącego przestępstwa tzw. hackingu, za zabronione pod groźbą kary uznaje się już samo nieuprawnione uzyskanie dostępu do informacji. Poszerzony zostaje w ten sposób zakres penalizacji w stosunku do zakresu wynikającego z obecnego brzmienia przepisu, który przewiduje odpowiedzialność karną dopiero wówczas, gdy sprawca uzyska informację dla niego nie przeznaczoną, nie zaś sam do niej dostęp. Tymczasem, zgodnie z art. 2 Decyzji ramowej, już nieuprawnione uzyskanie dostępu do informacji powinno skutkować odpowiedzialnością karną. Wskazać trzeba również, że projektowana zmiana zapewni jednocześnie zgodność przepisów polskich z Konwencją o cyberprzestępczości, podpisaną przez Rzeczpospolitą Polską w dniu 23 listopada 2001 r. (...) Projekt poszerza także opis czynu z art. 267 § 1 K.k. o sformułowanie „albo omijając” (umieszczone po wyrazie „przełamując”), z uwagi na okoliczność, że zgodnie ze stanowiskiem specjalistów zajmujących się prawem informatycznym jest możliwe uzyskanie dostępu do zabezpieczonej informacji bez przełamywania, lecz przez ominięcie jej zabezpieczeń (...)".

W przedmiotowej sprawie nie ma żadnych wątpliwości, że oskarżony uzyskał informacje dla niego nieprzeznaczone bez uprawnienia. Jak wynika z jego e-maila (...) zdobył on informacje na temat danych osobowych pracownika spółki (...). Natomiast podstawowego znaczenia, z punktu widzenia określenia odpowiedzialności karnej, nabiera ustalenie czy podczas zdobycia tych informacji doszło do przełamania elektronicznego zabezpieczenia bazy danych. Innymi słowy należy ustalić, czy wpisanie przez oskarżonego określonego ciągu znaków i zastosowanie SQL Injection jest przełamaniem zabezpieczenia programu w rozumieniu art. 267 § 1 K.k.

By odpowiedzieć na takie pytanie oskarżyciel publiczny powołał biegłego sądowego Tomasza Mikosia, który określił zachowanie oskarżonego jako atak na bazę danych zawartych w serwisie za pomocą SQL Injection. Również takie same wnioski zawarł biegły w ustnej opinii uzupełniającej. Sąd, mając na uwadze powołane wyżej wątpliwości co do interpretacji obecnej treści art. 267 § 1 Kk, jak również doświadczenie życiowe, powołał z urzędu innego biegłego, Tomasza Jagiełłę. W przedłożonej opinii (...) doprecyzowuje pojęcie na bazę danych, podając, że w tym przypadku atak polegał na wykorzystaniu tzw. "luki" w zabezpieczeniach będącej wynikiem błędu programisty. Stwierdzenie to jest niezwykle istotne ze względu na ocenę, czy zachowanie oskarżonego wypełniło znamiona czynu z art. 267 § 1 Kk. Czym innym jest bowiem przełamanie fizycznie istniejącego zabezpieczenia programu, a czym innym jest znalezienie luki w zabezpieczeniu programu, która powstała w wyniku błędu twórcy zabezpieczeń albo braku jego wyobraźni - czyli ominięcie zabezpieczenia. Jak wynika z opinii biegłego Tomasza Jagiełły oskarżony działał właśnie w taki sposób - poprzez wprowadzenie ciągu znaków, które w zasadzie każdy z użytkowników bazy mógł wprowadzić - uzyskał dostęp do danych poprzez istniejącą lukę w zabezpieczeniu programu.

Zdaniem Sądu, mając na uwadze obecną treść art. 267 § 1 Kk, ustawodawcy chodzi o przełamanie istniejącego zabezpieczenia. Nie można przełamać czegoś, co nie istnieje. Za taką interpretacją przemawia chociażby słownikowa definicja bezokolicznika "przełamywać" jako "łamanie czegoś, przezwyciężanie czegoś, zwalczanie czegoś" ("Popularny słownik języka polskiego", Wydawnictwo Wilga, Warszawa 2000). Zupełnie czymś innym jest ominięcie zabezpieczenia poprzez znalezienie w nim luki. Za takim wnioskiem przemawia powołany proponowany projekt zmiany 267 § 1 Kk, gdzie rozszerza się katalog czasownikowych zachowań sprawcy również i o ominięcie elektronicznego zabezpieczenia.

Reasumując należy stwierdzić, że w niniejszej sprawie, na gruncie obecnie obowiązującego prawa, oskarżony swoim zachowaniem nie wypełnił znamion czynu z 267 § 1 Kk, gdyż nie dokonał złamania zabezpieczeń bazy danych, nie złamał żadnego hasła dostępowego, nie wykorzystał żadnego specjalistycznego oprogramowania i nie wpłynął na funkcjonowanie zabezpieczeń tej bazy danych. Wprowadzenie przedmiotowego ciągu znaków należy uznać za wykorzystanie SQL Injection w celu obejścia zabezpieczeń, na co pozwoliło niewłaściwe zabezpieczenie bazy danych. (...)
Mając powyższe na uwadze Sąd uniewinnił oskarżonego od popełnienia zarzucanego mu czynu.
(...)

Wypada jeszcze raz przypomnieć słowa uzasadnienia: "Nie można przełamać czegoś, co nie istnieje" i zaproponować rozważenie, czy jeśli nie można przełamać, to - na podobnej zasadnie - nie da się "obejść" czegoś, co nie istnieje. Poszukując informacji na temat jednej z obecnie procedowanej "ścieżek nowelizacji" Kodeksu karnego można sięgnąć do tekstu Tak, tak, nowelizują kodeks karny... wizerunki małoletnich, hacking, 269b.... Ustawa nowelizująca m.in. treść art. 267 § 1 Kk została uchwalona na sejmowym posiedzeniu nr 22 dnia 19 września 2008 r. 22 września ustawę przekazano Prezydentowi i Marszałkowi Senatu. Proces legislacyjny dla tej nowelizacji jeszcze nie jest zakończony.

Poproszony przez właśnie uniewinnionego o możliwość umieszczenia przy tej relacji paru słów - oddaję mu głos:

Cytat:

Chciałbym serdecznie podziękować Panu Mecenasowi Arturowi Kmieciakowi za pomoc jaką mi udzielił, za poświęcony czas i ogromną wiedzę, którą chętnie się dzielił.

Chciałbym również podziękować autorowi tego serwisu, Panu Piotrowi Waglowskiemu za to, iż umożliwił mi opublikowanie informacji o mojej sprawie i zainteresował nią wielu ludzi.
Na koniec podziękowania dla Pana Bartosza Kwiatkowskiego za udzieloną pomoc i wsparcie.

Dziękuję!
Mateusz M.