Dane ośmiu milionów Polaków na Twoim komputerze
2008-01-25 15:14:32„Jeden z właścicieli naszej-klasy zapewniał, że dane są bezpieczne, umieszczone i chronione w super nowoczesnej serwerowni w (podziemiach Starego Browaru) - tylko co ma piernik do wiatraka??" - śmieje się na na hacking.pl ahri4Ha9dz, któremu udało się opracować metodę na pobranie z tego serwisu danych osobowych.
>>Znajdź się na naszej klasie. I WSZYSTKIE SWOJE DANE<<
Dane blisko 8 milionów użytkowników może skopiować sobie każdy, kto zna choć trochę podstawy informatyki. Ahri4Ha9dz uczynił to za pomocą narzędzia cURL (można również wykorzystać skrypt PHP lub Python), a jako dowód przedstawił wyciągnięte dane w exelowej tabelce.
- Jedynym atutem jest tylko i wyłącznie to, że ich serwery strasznie zamulają i w rzeczywistości pojedyncza osoba pobierze najwyżej kilkadziesiąt tysięcy rekordów - żartuje.
Według Ahri4Ha9dz, podstawowe błędy naszej-klasy to: - nadawanie kolejnych numerów użytkownikom zamiast losowych znaków - brak możliwości zablokowania podglądu profilu (nie ma nawet takiej opcji) - brak zabezpieczeń takich jak kody captcha uruchamiane np. po odwiedzeniu więcej niż 15 profili - bardzo proste metody logowania - wyszukiwanie po gg i skype... wystarczy mi twój numer gg, a powiem Ci, jak wyglądasz |
Na serwisie ludzie zamieszczają wiele prywatnych danych - adres email, numer telefonu, gadu-gadu czy skype'a.
- Boję się, że moje dane zostaną wykorzystane przeciwko mnie lub że znajdą mnie osoby, które niekoniecznie chciałbym, żeby mnie znalazły. Poza tym, to istny raj dla spamerów! - oburza się Marcin, student Public Relations.
Jego obaw nie podziela jednak dwudziestoletni Tomasz, student Prawa. - Nie czuję się z tym źle, gdyż dane są powszechnie dostępne na samym portalu i sam je tam wrzuciłem, z góry godząc się na to, że ktoś je obejrzy. Fakt, że dane na naszej-klasie można obejrzeć dopiero po zalogowaniu nie ma żadnego znaczenia, gdyż zarejestrować można każdy nick, nawet kompletnie zmyślony.
Joanna Gajewska, rzecznik prasowy naszej-klasy wyjaśnia: - Autor artykułu z hacking.pl zasymulował na komputerze osobę, która „chodząc" po profilach użytkowników używa opcji „Zapisz stronę jako...". Dostępne są więc dla niej tylko te informacje, który dany użytkownik zdecydował się ujawnić. Takie spisywanie można by także praktykować w sposób tradycyjny, używając długopisu i kartki - komputer wykona to oczywiście zdecydowanie szybciej. Zespół nk posługuje się wieloma mechanizmami, które pozwalają zweryfikować czy po serwisie porusza się prawdziwy człowiek czy maszyna. Jesteśmy także w trakcie wdrażania rozwiązań, o których mowa na hacking.pl.
- Poza tym, skopiowanie wszystkich danych, używając tego sposobu, zajęłoby... 4 lata - uspokaja.
A by zachować odrobinę intymności starczyłoby nie umieszczać na serwisie zbyt wielu prywatnych danych...
Marcin Szewczyk
(marcin.szewczyk@dlastudenta.pl)