Pomiędzy bitami - Techno, porno i duszno. Blog niezupełnie technologiczny.

21 kwietnia, 202621 kwietnia, 2026

Prywatność przeciw bezpieczeństwu

Zaczęło się od historii związanej z cyberbezpieczeństwem. Użytkownik zauważył włamanie na swoje konto LinkedIn. Zapytał w social media, co się mogło wydarzyć, czy możliwe przejęcie dostępu do skrzynki pocztowej bo tam przyszedł mail z kodem potwierdzającym logowanie^[1]. I czy dobrym pomysłem jest zapytanie dostawcy poczty o logi z ostatnich logowań. Informacje – jak zwykle w takich przypadkach – niepełne. Bo i nie wiadomo, co dokładnie jest potrzebne, istotne, i nikt nie napisze wszystkiego publicznie w social media. Akurat miałem chwilę, więc zaproponowałem telefon. Użytkownik nie chciał podać numeru, gdyż prywatność. Trochę rozumiem. Trochę nie. No nic, spróbujemy poczatować.

Skrzynka email była u dostawcy poczty z „no log policy”, więc nie wróżyłem sukcesów. Zasugerowałem w pierwszej kolejności zmianę hasła do poczty, ustawienie tam 2FA (nie było). Konto LinkedIn zostało zablokowane, chcą weryfikacji dokumentem. Użytkownik ma opory przed przesłaniem go do firmy trzeciej. Trochę rozumiem, trochę nie.

Nie znam charakterystyki wykorzystania komputera, ani nawyków. Te sama hasła w różnych miejscach? Raczej wyciek czy raczej stealer? Użytkownik zrobił jakieś skany antywirusem (nic wyraźnego nie znalazło), zmienił hasła w innych usługach^[2] i ustawiał 2FA (dobry pomysł).

Timeline ataku:

12:58 – pierwszy mail z kodem,
13:00 – zmiana hasła do konta LinkedIn,
13:02 – drugi mail z kodem (zapewne atakujący loguje się nowymi danymi),
13:05, 13:08, 13:10 – dodane własne maile przez atakującego (czemu aż 3?).

LinkedIn wysyła sześcioznakowy kod na maila w celu potwierdzenia logowania. Nie wygląda na łatwe do brute force, kod był generowany tylko jeden za każdym razem. Czyli wszystko wskazuje na to, że atakujący miał dostęp do skrzynki. Ba, może nawet w ogóle najpierw uzyskał dostęp do skrzynki, zobaczył, że powiązana z kontem LinkedIn i je zaatakował? Dość długie odstępy pomiędzy kolejnymi krokami. Czyżby ręczne działanie?

W każdym razie pożar ugaszony. Pozostało obserwować, czy coś dziwnego się nie dzieje i ewentualnie odzyskać konto LinkedIn.

Jednak użytkownik jest niezadowolony. Narzeka, że LinkedIn nie rozpoznał ataku, a przecież IP było nietypowe, z innego kraju. Działania nietypowe. Narzeka, że chcą dokumentów. Trochę rozumiem, trochę nie.

Bo przecież z punktu widzenia użytkownika wszystko było w oczywisty sposób nietypowe. A z punktu widzenia LinkedIn? I ich skali?

Z perspektywy LinkedIn było to prawdopodobnie „czyste” logowanie. Prawidłowe hasło podane za pierwszym razem. Kod został wysłany na maila i potwierdzony. Zapewne także od razu. IP z innego kraju? To od lat bardzo słaba wskazówka. Masa ludzi korzysta teraz z VPNów, wielu urządzeń, wielu ludzi po prostu podróżuje.

Wyobraźmy sobie, że jesteśmy na urlopie w dalekim kraju, dostajemy sygnał od znajomych, że dziwne rzeczy dzieją się z naszym kontem w jakimś serwisie. Logujemy się, potwierdzamy kod z maila, chcemy zmienić hasło do serwisu. A skoro atakujący potwierdzali kod, to może problem jest ze skrzynką email? Chcemy zmienić inną, zaufaną, tam, gdzie mamy 2FA i wiemy, że wszystko jest OK. No i co, serwis miałby nie pozwolić? Kazać weryfikować się dokumentem? Nie wyobrażam sobie tego – ludzie by ich zjedli.

Blokada konta do czasu weryfikacji dokumentu jest jakby standardem. Nie jest idealna, ale działa dla wszystkich^[3], niezależnie czy ktoś płacił, czy zmieniał telefon, adres itp. Prosta procedura, bez wyjątków i warunków, to dobra procedura. Atakujący nie przekona pracownika, żeby sprawdził akurat coś, nad czym akurat ma kontrolę.

Uważam, że część winy ponosi tu ślepe zachwalanie prywatności. Obrońcy prywatności krzyczą, że fingerprinting urządzeń zły^[4], że trzeba się bronić. AI złe bo przetwarza dane nie wiadomo jak, trzeba się nie zgodzić. No log policy ma świadczyć o poszanowaniu prywatności, a VPN „zwiększa prywatność i bezpieczeństwo”. Ludzie może nie do końca rozumieją o czym mowa i dlaczego, ale wierzą. Wierzą reklamom, wierzą autorytetom. O tym, że nie wszystko jest dobre dla każdego, łatwo zapomnieć i mało kto to podkreśla. Wierzę, że agitatorzy prywatności nie mają złych intencji. Ale zapominają o poziomie wiedzy odbiorców i zakładają, że użytkownik jest w stanie sam skutecznie zadbać o bezpieczeństwo. Tymczasem niekoniecznie.

Czy gdyby fingerprinting był możliwy i powszechny, ludzie nie korzystaliby z VPNów tylko z „normalnych” IP, to serwisy lepiej chroniłyby użytkowników, lepiej rozpoznawały anomalie i byłoby bezpieczniej? Niekoniecznie. I raczej się tego nie dowiemy. Bo zabezpieczenia to koszt, czym innym jest profilowanie użytkownika dla większego zysku z reklam, a czym innym dla poprawy bezpieczeństwa. Za to wiemy, że teraz po prostu nie mają możliwości tego robić. Nie sensownie^[5], nie w dużej skali.

[1] Dlatego maile czy SMSy nie są dobrym 2FA. Oczywiście lepszy rydz, niż nic, ale 2FA powinno być na innym urządzeniu i niemożliwe przechwycenia.
[2] Niekoniecznie dobry pomysł, bo jeśli to stealer, to skrajnie może doprowadzić do pogorszenia sytuacji poprzez wycieku danych logowania do większej ilości serwisów.
[3] Żeby zrozumieć pewne rzeczy, potrzeba czasu, bo przecież sam narzekałem kiedyś na procedurę w Allegro. No, ale tam chodziło jednak trochę o coś innego, nie o sam fakt żądania dokumentu.
[4] Wystarczy przypomnieć ostatnią aferę, choć tam nie do końca o fingerprinting szło, a sprawy poszły za daleko.
[5] Dla jasności, systemy wykrywające anomalie nadal istnieją i działają. Skuteczność jest… różna. I jednak czym innym jest oznaczenie zdarzenia jako podejrzanego, a czym innym automatyczna blokada.

13 kwietnia, 202613 kwietnia, 2026

Czy teraz futbol?

Czytelników zaniepokojonych nagłą zmianą zainteresowań muszę uspokoić. Nie, nie zacząłem interesować się piłką nożną. Nie chodzi o moje zainteresowania, a o tłumaczenie z języka hiszpańskiego. Hay ahora futbol^[1] można przetłumaczyć właśnie w taki sposób. No ale o co chodzi?

Dziś dowiedziałem się o istnieniu strony, która pokazuje odpowiedź na tytułowe pytanie. Można by pomyśleć, że nieźli fanatycy piłki nożnej w tej Hiszpanii. Być może, ale ponownie, nie o to chodzi. Chodzi o wyrok sądu, który nakazuje największym hiszpańskim ISP blokadę… określonych IP CDNów w trakcie trwania transmisji niektórych rozgrywek. Na stronie hayahora.futbol jest opisane^[2], czemu blokada na poziomie IP, a nie DNS lub podobnej. Czyli cenzura, sankcjonowana przez prawo, pod hasłem ochrony własności intelektualnej i walki z piractwem.

W Polsce też mamy coś podobnego, za sprawą ustawy antyhazardowej. Co prawda obejście naszego wariantu jest trywialne, ale istnieje od wielu lat. I jest umocowany prawnie. Całkiem niedawno były próby wykorzystania listy tworzonej przez CERT Polska w podobnym celu. Tym razem nieudane.

I tak sobie myślę, że wydaje nam się, że w Europie, w XXI w. cieszymy się wolnością, nie to co [tu wstaw dowolną dyktaturę czy państwo wyznaniowe], a tymczasem wcale wiele się nie różnimy. Motywacja może trochę inna, ale metody jakby podobne.

[1] Jeszcze obustronne znaki zapytania by się przydały, jednak nie przesadzajmy.
[2] Jest, nieco mało widoczny, przełącznik języka. Do wyboru hiszpański i angielski.

11 kwietnia, 202611 kwietnia, 2026

Opakowania

Gdy robię zakupy online, to raczej nie przywiązuję wagi do opakowania. Po pierwsze, nie ono jest najważniejsze – interesuje mnie kupiony towar, czyli zawartość. Po drugie, niespecjalnie mam na nie wpływ. To od sprzedawcy zależy, jak zapakuje towar. Ostatnio jednak robiłem trochę zakupów, które skłoniły mnie do pewnej obserwacji.

Jeśli chodzi o opakowania i ochronę towaru, to naprawdę słabe doświadczenie miałem tylko raz. Zakup wentylatora pionowego na Allegro, zapakowanego w pojedynczy karton. Kurier dostarczył połamany. Sprzedawca stwierdził, że to częste zjawisko i zaproponował wysłanie kolejnego, zapakowanego tak samo. Ponieważ niespecjalnie interesuje mnie generowanie odpadów, to wybrałem zwrot pieniędzy (bez problemu). Wentylator kupiłem w Lidlu, też online. Zapakowali w… podwójny karton, co tworzyło całkiem solidną konstrukcję.

Ale chodzi o coś innego. Ostatnio kupiłem parę rzeczy na Amazonie. Mam kupiony Prime, w sumie co prawda bardziej do filmów, ale ponieważ Allegro darmową dostawę ze Smart daje dopiero od wyższej kwoty, to w praktyce drobiazgi z Amazon wychodzą taniej. To, co zwraca uwagę przy zakupach z Amazona, to sposób pakowania. Jest minimalistyczne i ekologiczne. Może kwestia zamawianych rzeczy, ale praktycznie zawsze jest to tylko kartonowa koperta od Amazon. Wystarczy oderwać niezbyt mocno, choć pewnie trzymającą się naklejkę oraz pasek z klejem od zamknięcia i można wrzucać do makulatury. Oczywiście czasem sam towar ma jeszcze własne, fabryczne opakowanie – to już kwestia producenta.

Kolejnym etapem jest Allegro i większość sklepów online. Tu króluje folia bąbelkowa plus karton. Czasem, przy większych przesyłkach, dodatkowo jest jeszcze stretch, ale folię bąbelkową spotkamy nawet przy drobiazgach. Jeśli nie oddzielną, to w formie koperty bąbelkowej. Z takiej koperty trudno zerwać naklejkę. Przy większych przesyłkach często w ogóle nie ma naklejki, tylko kieszonka z folii przyklejona bardzo mocno do przesyłki, z włożoną kartką z adresem. Zwykle dodatkowo użyta jest gdzieś taśma samoprzylepna przezroczysta lub brązowa. Czyli jest to pakowane podobnie jak zrobiłbym to ja, nie mając żadnego doświadczenia, pakuję przesyłki.

Teoretycznie w przypadku koperty bąbelkowej można oddzielić folię od papieru, ale jest to trudne. A część z łączeniem zawsze jest trwałym połączeniem obu materiałów. Czasem – raczej w sklepach online, nie na Allegro – spotykam worek foliowy do którego jest włożony towar.

Paczka z Allegro. Czarny stretch z naklejką. — Typowa paczka z Allegro, zakup od firmy. Źródło: fot. własna.

Paczka z Allegro. Widoczny karton po odsłonięciu stretchu. — Typowa paczka z Allegro, zakup od firmy – odsłonięta folia. Źródło: fot. własna.

Ostatni rodzaj opakowania to chińskie koperty bąbelkowe, znane z zakupów na Aliexpress. Dziwny twór z trudnego do sklasyfikowania materiału, z czymś na kształt folii bąbelkowej wewnątrz. Naklejki nieusuwalne, bąbelki trwale połączone z wierzchnią częścią koperty. Wg mnie niesortowalne w żaden sposób, w żadnej części i tylko do odpadów zmieszanych się nadaje. Wg mnie najmniej ekologiczne.

Zastanawiam się, ile czasu zajmie pozostałym dotarcie do poziomu Amazon. Pamiętam, że Allegro nawet przy zakupach we własnym sklepie stosowało zwykłe kartony. Z wypełnieniem. Bo często kartony były o wiele za duże w stosunku do zamawianych przedmiotów. Nie wiem czy jest tak nadal – dawno ze sklepu Allegro nic nie zamawiałem.

Zastanawiam się też na ile na opakowanie zwracają kupujący. Ja tylko tyle, że po wielu latach zakupów online powstał ten wpis. Jak pisałem, uważam, że wpływu nie mam, a i zakupów online nie robię aż tak dużo, żeby to miało jakieś istotne znaczenie. Jednak ziarnko do ziarnka…