Zkoumal jsem projekt osobniskore.cz, ale jako paranoikovi mi není vůbec jasné, k čemu potřebují tolik osobních údajů, jako třeba telefonní číslo (nesmyslně vysvětlují, že ho potřebují k tomu, aby zabránili zneužití osobních údajů, ale pokud bude podvodník chtít, tak si prostě koupí SIM kartu a dá nějaké dočasné telefonní číslo). Nemám k projektům okolo PPF důvěru a proto jsem to nezkoušel. Jak píše Mimonik, každá banka má svoje vlastní metodiky, které se výrazně liší. Podle mě jde jen o pionýrský projekt, jak shromáždit co nejvíce osobních údajů a vylobbovat si v parlamentu uzákonění placených kreditních skóre, jako mají v USA a Anglii, což ostatně nepřímo PPF přiznala v tiskové zprávě o tomto projektu. Bude to skvělý byznys, za zobrazení skóre si budou účtovat poplatek (nyní zdarma), chtějí, aby to používali pronajímatelé, realitní kanceláře, zaměstnavatelé, úvěrové firmy atd. a ti všichni budou PPF platit za zobrazení skóre poplatek. Jako bezpracný byznys dobrý, ale nemám důvěru ke společnostem, které dlouhodobě shromažďují hromadu osobních údajů, i z toho důvodu se snažím nepoužívat FB a nemám Gmail.

??

Pokud bys ses odkazoval na clanek 15 GDPR a oni 30 dnu nereagovali, dostali by asi pekny flastr od UOOU

Mozna, ze zapojuji i tele score?


Hele, vypada to, ze vytezuji data.

Vselijake data pouzivaji i ti, kteri poskytuji a ted nevim jak se to jmenuje, treba pro mall “zaplat pozdeji”.

Nekde na spotify o tom je asi hodinovy podcast.

Ty kontaktní údaje potřebují z jednoho prostého důvodu: Aby ti pak mohli případně zavolat nebo poslat mail a nabídnout ti úvěr. Pokud si někdo nechá u nich vypočítat skóre, je celkem slušná pravděpodobnost, že uvažuje o tom, že by si vzal hypotéku nebo jiný typ úvěru a zjišťuje svou bonitu. Je to jeden ze způsobů, jak lépe cílit na potenciální klienty.

Jo, ale tam más alespoň nějakou "protihodnotu", tady dostaneš así jenom nějaký číslo, jak dobře na tom ses.

Tak mi výpis během týdne poslali zdarma. Trochu nezvyk ve srovnání s rychlostí sátní správy.

Kdo?

CRIF

Tak mi to nedalo a ze zvědavosti jsem na rok aktivoval tu jejich službu NetAgent (https://kolikmam.cz/netagent), čekal jsem teda něco víc. Ale zase za ty peníze víc čekat nemůžu, aktivace stála jen 365 Kč. Koho by to zajímalo, přikládám screenshoty. Mělo by to fungovat tak, že provozovatel webu Kolikmam údajně skenuje sociální sítě, diskusní fóra a darkweb a když najde Váš osobní údaj, pošle Vám e-mailovou notifikaci nebo SMS (kanál se dá nastavit). Bohužel neuvádí zdroj nálezu.

V mém případě kdesi na darkwebu našli moje dvě e-mailové adresy, jednu používám 15 let, druhou 20 let, žádný jiný můj osobní údaj zatím nalezen nebyl. Předpokládám, že zdroj bude z krádeží přístupových údajů, kdy nějací hackeři hacknuli diskuzní fóra nebo webové aplikace, kde jsem i já registrovaný a umístili na darkwebu databázi přístupových údajů. To mi nijak nevadí, používám pro každou službu jiné heslo. Nicméně mě to přivedlo na myšlenku, pokud to jde, tak u každé služby ideálně měnit i login (tedy nepoužívat pro přihlašování e-mailovou adresu, ale pro každou službu vymyšlený jiný login). Netušil jsem, že se na internetu tak krade a už vůbec by mě nenapadlo, na kolika nezabezpečených internetových službách jsem registrovaný (což už moc ovlivnit jako uživatel nemůžu, jak si provozovatelé zabezpečují databáze).

NetAgent jsem aktivoval 1. ledna a zatím mi notifikoval 35 nálezů mých e-mailových adres. Samozřejmě po nějakých 20 letech, co se pohybuji na internetu si už nepamatuji, kde všude jsem registrovaný, jistě ale půjde o stovky aplikací, fór a sociálních sítí. Řekněme tedy, že úspěšně hacknuto bylo 5-10 %, což je docela vysoké číslo.

Docela by mě zajímalo, které ty služby byly hacknuty. To mě přivedlo na myšlenku, že bych pro každou službu uváděl jako login odlišný e-mailový alias (např. finexpert@mojedomena.cz, alza@mojedomena.cz, amazon@mojedomena.cz atd.) A takto bych následně identifikoval, která služba byla napadena a odkud byly ukradeny moje údaje. Je to ale docela složité na správu, musel bych mít stovky emailových aliasů, při každé registraci někde na webu unikátní.

Takze jedine co zjistili je to same pokud by jsi se zdarma zaregistroval na https://haveibeenpwned.com/ kde aspon pokud to jde napisou jaka sluzba/stranka byla zrovna hacknuta a dostala se na darkweb. Resp. vetsinou se to tam objevi az kdyz je to k dispozici zdarma.
Napad s unikatnimi adresami je asi jedine realne reseni jak zjistit odkud to uteklo.
Pripadne pouzit nativni vlastnost gmailu kde za email pridas +XY napr. franta.omacka+finweb@gmail.com, ale zase tohle vedi i spameri a zlodeji, takze tu plusovou cast smazou.
Druha varianta co jsem cetl je pokud mas vlastni domenu, tak delat neco podobneho (pridat unikatni nahodny retezec pro kazdou stranku) a vse si preposilat na sbernou adresu, ktera bude neverejna. Takhle zjistis odkud to uteklo.

Služba https://haveibeenpwned.com/ identifikuje jen ukradené e-mailové adresy. Ta služba NetAgent slibuje, že dohledává krádeže i dalších osobních údajů (viz třetí screenshot). V mém případě zatím buď nic nenašli, nebo k úniku jiných údajů nedošlo, nebo je vysvětlení prozaičtější - samozřejmě provozovatel CRIF není Google a neindexují celý internet.

Aby tahle služba měla smysl, museli by uvádět, i z jakého webu došlo k úniku přihlašovacích údajů, aby si člověk mohl obratem změnit heslo, což ale z nějakého důvodu nedělají, i když na svém webu v marketingové části tvrdí, že ano - https://kolikmam.cz/ - viz dole smyšlený příběh Jakuba, z Prahy, 26 let.

Tos jim musel napraskat vsechny sve adresy, aby meli proti cemu filtrovat? Jen jestli tyhle nove sluzby naopak neshromazduji nove udaje?

Varianta s osobnim smtp serverem, provozovanym po dobu 20+let je ponekud neschudna...

A jedine co funguje je, genericke loginy a po nakupu uklidit´ tedy zmenit a pak smazat, kdyz se jedna o jednorazovy nakup...

Nicmene treba Ledger pitomci to neumoznuji (editovat profil) a nechali si leaknout celou databazi eshopu, coz je parada kdyz pak mas databazi adres telefonu emailu uzivatelu trezoru pro bitcoiny a nejlepsi klic k temto trezorum je francouzak a privazat majitele k topeni Jedina moznost je takovehle veci pouzivat na smyslene adresy se smyslenymi udaji, nicmene zrovna ten ledger tomposila dhl a tam je problem s dorucenim na poste restante... je

He, už jsi někde na nějakém eshopu zkoušel mazat e-mail? Možná velké eshopy mají mazání implementované, ale i pak je otázka, jestli nejde jen o "zrušení účtu" (resp. spíše deaktivaci), ale ve skutečnosti tvoje data zůstávají v databázi na serveru. Pamatuji na únik Mall.cz a Linkedin, takže i obrovské firmy mají s bezpečností problémy, Mall.cz myslím hesla ukládal dokonce v plaintextu. Dodnes řada eshopů, abys vůbec mohl objednat vyžaduje registraci a neumí objednávku bez registrace. A když chceš speciální zboží, které na velkých eshopech není, tak holt eshop využiješ (např. antikvariáty, nemají kapitál na výměnu eshopových řešení). Tady jediná obrana je, pro každou službu mít jiné heslo a používat správce hesel.

Jinak co se týče mých osobních údajů, tak CRIF je už dávno všechny má, jelikož provozuje BRKI a NRKI - údaje mu předaly banky a leasingovky (bydliště, číslo OP, rodné číslo, datum narození, místo narození). A protože jsem byl v portálu kolikmám.cz registrován už dříve (abych mohl žádat o online výpisy), znali i číslo mé platební karty, telefon a e-mailovou adresu. Takže jediný nový údaj, který jsem jim sdělil nově, bylo číslo bankovního účtu.

-- 9. 1. 2021 11:47 --

Stileth: prosimtě, jak jsi přišel na to, že https://haveibeenpwned.com/ napíše, jaká stránka byla hacknuta? U mé e-mailové adresy eviduje 7 úniků, ale zdroj nevypsali.

A zkusil si se posunout trochu dolu?