Galimybė ištrinti parašytą žinutę. Ar to tikrai reikia?

Sveiki. Nežinau ar kas nors spėjo pastebėti, tačiau šiandien mano paskyra buvo pavogta. važiuodamas namo gavau telefonu pranešimą į email apie prašomą slaptažodžio priminimą, o po kokių keturių minuičių ir pakeistą slaptažodį. Nuoširdžiai sakau, kad neįsivaizduoju kaip kažkas gavo mano emailo slaptažodį, nes aš jo seniai nenaudoju ir pasidaręs redirect mail'ą į pagrindinį emailą. Grįžęs namo prisijungiau, iškart sukūriau temą kad galimai pavogta paskyra. Regis jokių bėdų su paskyrą nebuvo, tačiau dėl visa ko sukūriau pagabs bilietą, nurodydamas kad galimai pavogta paskyra, taip pat palikau AŽ administratoriui Tadui, kad galimai pavogta paskyra. Paskui dėl visa ko užėjau į žinutes ir radau išsiųstas kelias žinutes, kad perka/keičia/parduoda valiutą. Iškart tiem žmonėms parašiau, kad paskyra pavogta, ir nedarytų sandorių jokių. Tačiau žmogus, pavogęs paskyrą tas žinutes ištrynė, ir žmonės nesužinojo tos informacijos (nebent jos ištrintos tik iš mano pusės, o pas juos matomos yra, nežinau). Tačiau iškilo klausimas - kam reikalinga funkcija ištrinti vieną žinutę iš viso susirašinėjimo? Arba palikti galimybę ištrinti tik kad nematytų tas kuri siuntė, o pas gavėja ji liktų, arba nebūtų galimybės ištrinti atskirų žinučių visai. Dėl šitokios spragos vienas žmogus jau prarado pinigus (aų jam parašiau, kad paskyra pavogta, bete vagišius, spėju, ištrynė tą žinutę), kitas, ačiū dievui pamatė temą.

Taip pat noriu pasibjaurėti forumo narių pasyvumu - sukūriau temą, kad pavogta paskyra, ir NĖ VIENAS nesugebėjo uždėti neigiamo atsiliepimo man. O paskui verkist man, kad apgavau jus, kai ėmiausi visų įmanomų priemonių perspėti jus, kad paskyra pavogta. YPATINGAS AČIŪ forumiečiams "Nemokamas mygtukas" ir "epsaitas", su kuriais susiekes per skye pasakiau bėdą, ir vienas pacitavo mano pranešimą, kad vagišius redagavęs mano originalų pranešimą neištrintų informacijos (o jis tą ir padarė), bei "epsaitas", kuris uždėjo man neigiamą atsiliepimą. Vien tik temos ir atsiliepimo dėka buvo neįvykdyti du apgaulingi sandoriai - ačiū šiems nariams.

Trečias punktas, kuris manau yra svarbus: dalis forumiečių perka valiuta, didesnė dalis jos neperka, ir nesiruošia pirkti (tarp jų ir aš). Mano siūlymas būtų, kad būtų koks nors ženkls (prierašas, kurio pats narys negali panaikinti be adminų žinios, ar dar kas nors), rodantis, kad valiutos neperku, ir bet koks valiutos pirkimas gali būti pavogtos paskyros ženklas. Pradžiai tiek, gal pridursiu daugiau vėliau.

Taip pat pridedu man žinomus duomenis apie apgaviką:

IP: 193.235.73.194

Galimai kur nors figuruojantis emailas (buvo prašymas nurodyti jį paskirtyje): [email protected]

Sąskaitos numeriai yra konfidenciali informacija, todėl jos nenurodysiu niekam, išskyrus teisėsaugos pareigūnams arba adminsitracijai. Pats bandysiu kaip nors sužinoti sąskaitos savininko vardą ir pavardę, ir parašysiu pareiškimą.

Kas liečia žmogų, kurį apgavo per mano paskyrą: pinigų aš negražinsiu.Buvo pakankamai informacijos (tema, atsiliepimas), kurias pardavėjas turėjo matyti, ir informacija, kurią būdamas protingas, galėjo numanyti (niekada nepirkęs valiutos asmuo perka ją dideliais kiekiais, nepatikrinęs nei tapatybės, nei dar ko nors).

Klausimas adminsitracijai - kaip taip atsitiko, kad buvo sužinotas mano emailas?Ar paspaudus "pamiršau slaptažodį" yra nurodomas el.paštas į kurį bus nusiųstas patvirtinimas? Ar yra kokia kita spraga, kaip tretieji asmenys sužinojo ar galėjo sužinoti konfidencialią informaciją, kurios aš neskelbiau?

Taip pat prašau adminsitracijos panaikinti siltį "buvęs slapyvardis" kadangi pagal ją kai kuriais atvejais galima atsekti žmogaus el. pašto adresą.

Aš temą mačiau dar prieš atsirandant neigiamam atsiliepimui. Bet šiaip, nepagalvojau, kad tokiu atveju galima dėti neigiamą atsiliepimą. Tiesiog to niekur nėra parašyta, tad gali forumo narių nekaltinti dėl šito, jeigu ir pats niekur apie tai neužsimeni temoje. ;)

Aš temą mačiau dar prieš atsirandant neigiamam atsiliepimui. Bet šiaip, nepagalvojau, kad tokiu atveju galima dėti neigiamą atsiliepimą. Tiesiog to niekur nėra parašyta, tad gali forumo narių nekaltinti dėl šito, jeigu ir pats niekur apie tai neužsimeni temoje. ;)

Bijau pameluoti, bet regis buvo ne vienas atvejis, kai neigiamas buvo uždėtas ne už blogą sandorį, o kad apsaugto kitus narius, ir nei uždėjusiam narium nebuvo jokios baudos už tai, nei tam, kuriam uždėjo, jei paskyra buv atgauta.

Bijau pameluoti, bet regis buvo ne vienas atvejis, kai neigiamas buvo uždėtas ne už blogą sandorį, o kad apsaugto kitus narius, ir nei uždėjusiam narium nebuvo jokios baudos už tai, nei tam, kuriam uždėjo, jei paskyra buv atgauta.

Pirmą kartą girdžiu apie tai, nes tiesiog nepamatydavau tokių atvejų. :)

Noriu priminti administracijai savo siūlymus:

• Galimybės ištrinti pavienes žinutes privačių žinučių sektoriuje panaikinimas
• Galimybė valiuta neprekiaujantiems asmenims tai aiškiai parodyti savo profilyje, ir kad tai nebūtų galima pakeisti be administracijos žinios
• Panaikinti buvusio slapyvardžio rodymą

Klausimas adminsitracijai - kaip taip atsitiko, kad buvo sužinotas mano emailas?Ar paspaudus "pamiršau slaptažodį" yra nurodomas el.paštas į kurį bus nusiųstas patvirtinimas? Ar yra kokia kita spraga, kaip tretieji asmenys sužinojo ar galėjo sužinoti konfidencialią informaciją, kurios aš neskelbiau?

Dauguma paskyrų užgrobiamos dėl to, kad narys tą patį slaptažodį naudojo svetainėje X ir arba Uždarbis.lt, arba savo el. paštui, su kuriuo registravosi Uždarbis.lt.

Problema atsiranda tuomet, kai svetainėje X slaptažodžiai saugomi neužkoduoti ir:

• kas nors įsilaužia į svetainę ir gauna priėjimą prie jos duomenų bazės;
• savininkas nusprendžia parduoti savo svetainės duomenų bazė, kuri iš esmės yra "slapyvardis | el. paštas | žmogaus_naudojamas_slaptažodis" formatu;
• savininkas pats nusprendžia pabandyti prisijungti prie žmogaus el. pašto ar kitų puslapių su tuo pačiu slaptažodžiu.

Todėl niekur negalima naudoti vienodų slaptažodžių. Jei sunku prisiminti skirtingus, yra tokie sprendimai, kaip https://lastpass.com/

Tačiau iškilo klausimas - kam reikalinga funkcija ištrinti vieną žinutę iš viso susirašinėjimo?

Jei nenori, kad privatūs duomenys išliktų tavo susirašinėjimų istorijoje. Pavyzdžiui, jei tu būtum kam nors siuntęs savo asmens kodą ar kitą informaciją privačia žinute, įsilaužėlis (į tavo arba adresato paskyrą) perėjęs per susirašinėjimų istoriją galėtų tuos duomenis atrasti ir jais pasinaudoti.

Jeigu reikia greitos reakcijos iš administratorių, yra daug veiksmingesnių būdų, nei privačių žinučių siuntimas:

• nueiti į nario profilį ir spausti "Pranešti apie narį" mygtuką;
• sukurti bilietą pagalbos centre;
• rašyti el. paštu [email protected]

Nei vienu iš šių atvejų paskyrą užėmęs žmogus tavo veiksmo atšaukti negalės.

Taip pat prašau adminsitracijos panaikinti siltį "buvęs slapyvardis" kadangi pagal ją kai kuriais atvejais galima atsekti žmogaus el. pašto adresą.

Atsekti žmogaus el. pašto adresą dažnai galima tiek pagal buvusį, tiek pagal esamą slapyvardį, todėl pirmiausia reikia pasirūpinti, kad pati el. pašto dėžutė būtų apsaugota: unikalus – niekur kitur nenaudojamas – slaptažodis ir 2-step verification yra BŪTINA.

 

Jeigu reikia greitos reakcijos iš administratorių, yra daug veiksmingesnių būdų, nei privačių žinučių siuntimas:

• nueiti į nario profilį ir spausti "Pranešti apie narį" mygtuką;
• sukurti bilietą pagalbos centre;
• rašyti el. paštu [email protected]

Nei vienu iš šių atvejų paskyrą užėmęs žmogus tavo veiksmo atšaukti negalės.

 

Ką norėjau pasakyti savo pranešimu, kad aš prisijungęs, ir parašęs pagalbos bilietą ir parašęs adminui pm, sulaukiau reakcijos gerkai post factum. Na, bet cia negaliu kaltinti, ju, juk čia ne jų darbas adminais būti. Tačiau kai prisijunges ir per pm parašęs tiem nariams, kad paskyra pažeista, apgavikas tiesiog ištrynė žinutes ir vsio.

Kitas reikalas: šiandien vėl buvau policijoj, ir net pats tyrėjas nusistebėjo, kad vienu metu buvo prisijungę du žmonės prie paskyros: ar negalima būtų padaryti taip, kad kai vienas prisijungia, kitą automatiškai atjungia?

Ką norėjau pasakyti savo pranešimu, kad aš prisijungęs, ir parašęs pagalbos bilietą ir parašęs adminui pm, sulaukiau reakcijos gerkai post factum. Na, bet cia negaliu kaltinti, ju, juk čia ne jų darbas adminais būti. Tačiau kai prisijunges ir per pm parašęs tiem nariams, kad paskyra pažeista, apgavikas tiesiog ištrynė žinutes ir vsio.

 

Kitas reikalas: šiandien vėl buvau policijoj, ir net pats tyrėjas nusistebėjo, kad vienu metu buvo prisijungę du žmonės prie paskyros: ar negalima būtų padaryti taip, kad kai vienas prisijungia, kitą automatiškai atjungia?

Buvo sunku pakeisti slaptažodį iš karto? Pakeitus slaptažodį turėtų sesija nusimušti. Tik prieš tai ir el. pašto slaptažodį reiktų pasikeist. Pats tikrai ne protingiausiai pasielgei, kaip būtų galima.

Aišku čia ne tu kaltas, nes kaip elgtis kai tavo paskyra būna pavogta - informacijos praktiškai nėra. Anyway, jei Kernius įvykdys savo pažadus (2-step vertification), tai vagysčių sumažės 95%. O likę 5%... Na jie ko gero nepakaltinami.

Buvo sunku pakeisti slaptažodį iš karto? Pakeitus slaptažodį turėtų sesija nusimušti. Tik prieš tai ir el. pašto slaptažodį reiktų pasikeist. Pats tikrai ne protingiausiai pasielgei, kaip būtų galima.

 

Niekas nesako, kad aš nekeičiiau. Pakeičiau, bet kas iš to, kad jis paskui i mano email paprašo priminimo, ir is ateina? O email passwordo negaliu pasikeisti, nes paprasčiausiai neprisimenu jo. Todėl, mano nuomone, padariau kitą geriausią dalyką - iš pradžių informavau forumą (sukrta tema), vėliau administraciją (pagabos bilietas, asmeninė žinutė vienam iš adminų).

Kas dėl mano paties veiskmų logiškumo ir protingumo - neneigiu, kad jie buvo neidealūs. Kaip ir minėjau, buvo stresinė situacija, tikrai, esant įprastoms aplinkybėms, būčiau reagavęs ne taip panikuodamas, ramiau, viską daręs kitaip.

Kitas reikalas: šiandien vėl buvau policijoj, ir net pats tyrėjas nusistebėjo, kad vienu metu buvo prisijungę du žmonės prie paskyros: ar negalima būtų padaryti taip, kad kai vienas prisijungia, kitą automatiškai atjungia?

Galima ir labai nesunku, bet tai sukeltų daug nepatogumų nariams, kurie naudojasi Uždarbis.lt per skirtingus kompiuterius / telefonus / planšetes: jiems kiekvieną kartą reikėtų suvedinėti prisijungimo duomenis iš naujo, nes būtų atjungiami nuo kitų įrenginių, vos prisijungę prie vieno.

Tokiu atveju koks skirtumas ar tu tą kitą prisijungimą atjungsi. Jis žino slaptažodį - pats prisijungs antrą kartą, o tada tu pats būsi atjungtas

Manau, geras dalykas būtų, jeigu uždarbyje būtų galima pasidaryt kaip Google, kad prisijungiant iš naujo įrenginio siųstu verification kodą sms'u, ir galima nustatyti, iš kurio įrenginio nebesiųsti kiekvieną kartą. Žinoma, tai jau kainuotų, bet vėl gi, dauguma narių yra pasitvirtinę tapatybę, tai, manau, tie 10lt galėtų pasitarnauti jei sistema veiktų patvirtintiems nariams :)