Nasza-klasa: trwa pobieranie danych osobowych
- Dodano: 25 January 2008
- Wprowadził: Kas
- Komentarze: 23
Ostatni serwis Gazeta.pl opublikował artykuł “GIODO: Dane osobowe w nasza-klasa.pl są bezpieczne”. W odpowiedzi ahri4Ha9dz opublikował na swoim blogu dokładny opis metody pobierania danych osobowych z Naszej Klasy.
Wpis zaczyna się nawiązaniem do wspomnianego artykułu:
Już miałem tej notatki nie publikować ale artykuł z Gazeta.pl pt.: “GIODO: Dane osobowe w nasza-klasa.pl są bezpieczne” mnie rozbroił. “Ze wstępnych analiz wynika, że na portalu dane chronione są na bardzo wysokim poziomie”. Zapewne przepisy danych osobowych nie mają nic wspólnego z rzeczywistością. Więc do dzieła…
Potem następuję szczegółowy opis metody na pobranie danych osobowych użytkowników. Jest na tyle dokładny, że każdy znający podstawy informatyki będzie mógł go zrozumieć i wykorzystać.
Ahri4Ha9dz korzysta z narzędzia cURL jednak można wykorzystać np. skrypt PHP lub Python. Już po chwili można łatwo i przyjemnie pobierać dane 7 milionów (sic!) zarejestrowanych użytkowników.
Autor bloga zwraca na podstawowe błędy twórców portalu nasza-klasa.pl:
- nadawanie kolejnych numerów użytkownikom zamiast losowych znaków
- brak możliwości zablokowania podglądu profilu (nie ma nawet takiej opcji)
- brak zabezpieczeń takich jak kody captcha uruchamiane np. po odwiedzeniu więcej niż 15 profili
- bardzo proste metody logowania …
- wyszukiwanie po gg i skype istny raj … wystarczy mi twój numer gg a powiem Ci jak wyglądasz
Polecam lekturę całego wpisu, szczególnie zarejestrowanym w Naszej Klasie.
Więcej informacji: http://ahri2600.blogspot.com/
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
23 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Z jednym błędem się nie zgodze:
Istnienie n-k było by wtedy bezcelowe. Jak mam znaleźć ludzi z klasy jak nie mogę przeglądać ich profili.
.
Tego nie rozumiem:
Chodzi mu o dostarczenie przez n-k tokenów, czy co?
.
To też nie jest prawdą bo domyślna opcja jest `Pokaż numer osobą z klasy, znajomym`. Żeby kogoś wyszukać ten ktoś musi zmienić na `Pokaż wszystkim numer`.
.
Problem n-k polega w ich głupich użytkownikach
Z tego co wiem wujek Google pozwala na wyszukiwanie po numerach Gadu-Gadu nawet przy takim ustawieniu. Wystarczy zapytanie: site: nasza-klasa [numer].
Poza tym dobrze zaprojektowany system powinien zabezpieczać nawet nieostrożnych użytkowników.
Sprawdzilem, ten sposob nie dziala.
Polecam felieton Docenta: Nasza-klasa, nasze-dane, nasz-problem i wpis na Antywebie: W oparach paranoi czyli dane osobowe i hacking.pl.
@michuk: zgadza się – i to powinno wyczerpać temat od strony formalnej
a co do pomysłu ahri4Ha9dz to mam nadzieję, że poinformował wcześniej admina nasza-klasa.pl o sposobach wydobycia informacji (jak obyczaj nakazuje) – a w zasadzie to jestem ciekaw czy to zrobił a nasza-klasa go olała, czy po prostu na żywioł opublikował swoje spostrzeżenia w necie
Nbvcxz, obawiam się, że administratorzy portalu nasz-klasa.pl całkowicie zlekceważyli ten przypadek. Jeszcze nie dawno sprawdzałem tę metodą i działa jak marzenie.
AAAAAAAAAAAAAAAAA! No ludzie, opanujcie sie! Co za bzdury piszecie! Jakie zagrozenie bezpieczenstwa? Bo skrypt chodzi po stronie tak jak by czlowiek chodzil? Litosci! Co za experci! Codziennie roboty Made in Google tak robia.
Niech sie jeszcze Gorion w Faktach pojawi i niczym Farinelli odspiewa swiatu o zagrozeniach n-k.
Dlatego ja nie pobieram tych danych, szkoda miejsca na moim dysku, google ma większe
A i przeszukiwać łatwiej 
N, pamiętaj, że zbiory wujka Google nie są tak łatwo dostępne. Poza tym roboty wyszukiwarki indeksują mnóstwo różnych informacji. Tymczasem w nasza-klasa.pl masz dane 7 milionów (sic!) użytkowników podane na tacy. Do tego wygodna wyszukiwarka, brak zabezpieczeń i wielu naiwnych userów. To wszystko pozwala na zdobywanie ogromnych ilość informacji. Nie wiem czy wiesz, ale szczegółowe dane osobowe jednego człowieka na czarnym rynku mogą być warte nawet 100 euro. Pomnóż to sobie przez 7 milionów…
To co? Moze usunac mozliwosc podawania danych osobowych w naszej klasie? Jedyne co mozna zrobic, to uswiadomic ludzi co do istniejacych zagrozen. I nie dotyczy to naszej klasy. To dotyczy kazdego aspektu naszego zycia. Jak zgubimy dowod, to lecimy na policje, zeby nikt nie wzial np. kredytu na nas. Ale nie ma w nas oporu, zeby podawac swoje dane w serwisach, blogach, komentarzach, itp. Nasza klasa wyeksponowala ten problem. I dobrze. Zrobil sie jakis szum, ludzie zaczeli zwracac na to uwage. Ale to nie jest problem naszej klasy. To jest problem wiekszosci serwisow spolecznosciowych.
Szanowni dyskutanci,
raport GIODO jest oczywiście całkowicie zgodny z prawdą, a wynika to z tego, że n-k nie prowadzi bazy danych osobowych w rozumieniu ustawy o tychże. Miałem (wątpliwą zresztą) przyjemność pracować w charakterze administratora bezpieczeństwa informacji (w rozumieniu ustawy), który nadzoruje działania administratora danych osobowych (w rozumieniu ustawy) i ten akt prawny jest mi z grubsza znajomy.
Dane osobowe to takie dane, które pozwalają _jednoznacznie_ zidentyfikować osobę. Może to być na przykład imię, nazwisko i nr PESEL lub imię, nazwisko i adres. Nie jest natomiast daną osobową samo imię i nazwisko, nawet gdy dodamy numer telefonu czy gg lub fotografię.
Oczywiście dostępność informacji na n-k jak na chwilę obecną jest skandaliczna, jednak GIODO rzeczywiście nie ma się do czego przyczepić.
Dane osobowe to są te, które pozwalają na jednoznaczną identyfikację przy rozsądnym użyciu środków i czasu. Imię, nazwisko i nawet jedna klasa, do której się uczęszczało (rocznik) jest wystarczająca.
To Twoja interpretacja czy litera ustawy?
Najpierw dowiedz się, czemu ta ustawa ma służyć, a potem pytaj o jej literę.
Ej a obczajcie to http://naszaklasa.pl/
Nie wiem co o tym sądzić… Prowokacja czy ktoś chce wyciągnąć emaile od naiwnych?
"Jeżeli szukasz serwisu nasza-klasa.pl to jesteś w złym miejscu
"
Musieli by być bardzo naiwni…
Że komuś nie było szkoda kasy na domenę
Najlepszym atakiem jest naiwnoc ludzi.
Zakładam profil np. Myszka Miki – wklejem obrazek Miki i wysyłam zaproszenia. Po krótkim czasie mam 200 osób na liście znajomych. Przeglądam sobie ich profiel, szukam co mnie interesuje i np. tworze boota gg, który bedzie rozsyłał do nich spam. tudzież robię to za pośrednictwem e-mail.
Zresztą fantazja ludzi nie zna granic, jeżeli chcą kogoś naciągnąć.
Gdzie w profilu widoczny jest e-mail? Bo ni cholery nie mogę do tego dojść.
A poza tym, jakie informacje zebrał nasz haker? Podróbkę książki telefonicznej? No to sukces. A może on nie wie, że istnieje coś takiego jak "ogromna baza danych osobowych", czyli książka telefoniczna. A co będzie, jak się o tym dowiedzą przestępcy? o biada biada biada!
Ja rozumiem, że Wyborcza, Onet i inni nakręcają paranoję, która może zagrozić konkurencji (straszymy reklamodawców, straszymy), ale że hakerzy, którzy na internetowych przestępstwach się trochę znają, powinni byli wiedzieć, jakie są prawdziwe zagrożenia, będą tę paranoję powielać, tego bym się nigdy nie spodziewał. Honor hakera podobno polega na tym, że jak wykryje lukę bezpieczeństwa, to powiadamia najpierw administratorów serwisu i pomoże w jej usunięciu, a nie szuka taniej popularności, chwaląc się gówniarzerii, czego to on nie potrafi…
Co Wy znowu wymyślacie
co do jasnejh….jest z wami nie moge wejsc na nk
O co tu chodzi???