tak poufna informacja z pewnością nie byłaby teraz przedmiotem dyskusji, gdyby to kryterium nie miało obecnie decydującego znaczenia dla większości krytycznych punktów, w tym również tutaj, na forum... a jak już pewnie zauważyłeś, przeszukuję i badam informacje poprzez moje kontakty w miejscach, do których trudno lub w ogóle nie ma dostępu dla osób z zewnątrz.
Cześć Forsum
Publikowanie tego rodzaju informacji przez instytucję finansową jest jednym z porządków. Jednakże nie zmienia to faktu, że ta informacja wydostaje się na zewnątrz przez ciebie, czyli - jak twierdzisz - zwykłego, byłego inwestora. Faktycznie oczekiwałbym, że tego rodzaju informacje będą przekazywane przez wyznaczonego rzecznika firmy, za pośrednictwem komunikatu na stronie internetowej lub w formie oficjalnego komunikatu prasowego. Czyżby DC nie potrafiło tylko chronić środków klientów przed hakerami, ale istnieją także inne wycieki informacji?
Ponadto przejrzałem jeszcze raz twoją stronę internetową (Dividium Capital: Home i Dividium Capital: Home), po tym jak zapewniłeś, że jest ona zabezpieczona przez zaangażowanych specjalistów od bezpieczeństwa, i znalazłem następujące rzeczy:
Wpisanie adresu URL https://dividium.com/?L=0 w celu przeglądania twojej strony internetowej w formie zaszyfrowanej prowadzi do błędu przeglądarki, albo zalecenia, aby nie odwiedzać tej strony. Wynika to stąd, że certyfikat bezpieczeństwa strony internetowej nie spełnia nawet najmniejszych wymagań przeglądarki internetowej, nie mówiąc o znacznie wyższych standardach bezpieczeństwa obowiązujących w branży finansowej. Co jednak bardziej niepokojące: certyfikat ten został nadany dla adresu URL webserver.ispgateway.de, jest samozatwierdzony (!!) i obsługuje długość klucza zaledwie 1024 bitów (standardem w branży finansowej jest 2048 bitów) dla asymetrycznych algorytmów szyfrowania.
Patrząc z punktu widzenia bezpieczeństwa komputerowego, mogę tylko powiedzieć Autch!.
Przypuszczam dalej, że webserver.ispgateway.de jest dostawcą, u którego DC hostuje swoją aplikację, czyli dane klientów są przechowywane u niemieckiego dostawcy, który jest absolutnie nieodpowiedni do przechowywania danych bankowych klientów, gdzie prawdopodobnie mogą być one łatwo przeglądane przez dowolnego administratora tego dostawcy. Podwójny autch!
Znam DC zbyt słabo, aby ocenić, czy podlega ona szwajcarskiej tajemnicy bankowej. Jeśli tak, to zwracam uwagę, że przechowywanie danych bankowych szwajcarskich klientów za granicą (przez szwajcarskie banki, itp.) jest zakazane, a FinMa, prokuratura lub jakikolwiek organ w takim przypadku nie może postąpić inaczej niż przyjrzeć się bliżej DC. Więc żadnej teorii spiskowej i złej konkurencji w tym przypadku. Aha, i popularny w Szwajcarii Pies Peera również się cieszy. Ponieważ dane różnych potencjalnych omijających podatki klientów znajdują się praktycznie przed jego nosem, w zasięgu jego ręki.
Z drugiej strony, gdy spojrzę na stronę https://www.dividium.ch/depotauszug/, którą klienci prawdopodobnie preferują odwiedzać, strona prezentuje certyfikat, który poprawnie został wydany dla Dividium Capital: Home i podpisany przez zewnętrzną jednostkę (czyli nie samodzielnie wykonany, to znaczy nie samozatwierdzony). Niestety, to jedyne pozytywne punkty. Również ten certyfikat obsługuje zaledwie 1024 bity. Ponadto jest to certyfikat QuickSSL Premium dla serwerów internetowych firmy Equifax. Strona internetowa tej firmy mówi o Aktach rejestracyjnych (to znaczy weryfikacji wnioskodawcy) następujące:
>Telefoniczna autoryzacja dwufazowa przeprowadzana w czasie rzeczywistym
>wymaga posiadania telefonu, aby złożyć zamówienie. W ramach tego procesu autoryzacji
>musisz odbierać połączenie od naszego systemu automatycznego pod numerem, który
>podajesz podczas rejestracji. Numer telefonu może być numerem twojej
>firmy lub prywatnym, albo numerem twojego telefonu komórkowego. Nie kontynuuj,
>jeśli nie masz dostępu do telefonu.
To oznacza, że wydawca certyfikatu bezpieczeństwa nie sprawdza nawet, czy firma wnioskująca ma wpis w rejestrze handlowym. Innymi słowy, każdy może bez trudu zamówić certyfikat serwera klasy wyżej dla adresu URL Dividium Capital: Home (lub dowolnego innego) i wystawić odpowiedni serwer w Internecie. W branży finansowej standardem są certyfikaty bezpieczeństwa, które otrzymują jedynie firmy i organizacje spełniające określone minimalne kryteria. Taki certyfikat kosztuje jednak znacznie więcej niż 299
USD, które DC wydało na swój.
Wreszcie sprawdziłem stronę nowej firmy, czyli rejestrację.
Jak łatwo zauważyć, tym razem zrezygnowano z szyfrowania. I znowu oszczędzono 299
USD...
Aha, dla tych, którzy docenili starania w dotarciu aż tutaj, należy dodać, że przedstawiony na https://www.dividiumgroup.com/ certyfikat bezpieczeństwa jest również samozatwierdzony, a wystawiony dla adresu URL plesk (sic!) i jednostki organizacyjnej Parallels. Plesk to oprogramowanie firmy Parallels. Więc nawet nie poświęcono wysiłku na wydanie certyfikatu bezpieczeństwa odpowiedniego dla serwera internetowego.
Moja rada dla DC: Zwolnij swoich specjalistów od bezpieczeństwa natychmiast, albo żądaj zwrotu pieniędzy od tych zaangażowanych specjalistów od bezpieczeństwa.
Pozdrowienia
Piotr
- By Alex [CryptoMod]