Ostatni serwis Gazeta.pl opublikował artykuł „GIODO: Dane osobowe w nasza-klasa.pl są bezpieczne”. W odpowiedzi ahri4Ha9dz opublikował na swoim blogu dokładny opis metody pobierania danych osobowych z Naszej Klasy.
Wpis zaczyna się nawiązaniem do wspomnianego artykułu:
Już miałem tej notatki nie publikować ale artykuł z Gazeta.pl pt.: „GIODO: Dane osobowe w nasza-klasa.pl są bezpieczne” mnie rozbroił. „Ze wstępnych analiz wynika, że na portalu dane chronione są na bardzo wysokim poziomie”. Zapewne przepisy danych osobowych nie mają nic wspólnego z rzeczywistością. Więc do dzieła…
Potem następuję szczegółowy opis metody na pobranie danych osobowych użytkowników. Jest na tyle dokładny, że każdy znający podstawy informatyki będzie mógł go zrozumieć i wykorzystać.
Ahri4Ha9dz korzysta z narzędzia cURL jednak można wykorzystać np. skrypt PHP lub Python. Już po chwili można łatwo i przyjemnie pobierać dane 7 milionów (sic!) zarejestrowanych użytkowników.
Autor bloga zwraca na podstawowe błędy twórców portalu nasza-klasa.pl:
- nadawanie kolejnych numerów użytkownikom zamiast losowych znaków
- brak możliwości zablokowania podglądu profilu (nie ma nawet takiej opcji)
- brak zabezpieczeń takich jak kody captcha uruchamiane np. po odwiedzeniu więcej niż 15 profili
- bardzo proste metody logowania …
- wyszukiwanie po gg i skype istny raj … wystarczy mi twój numer gg a powiem Ci jak wyglądasz
Polecam lekturę całego wpisu, szczególnie zarejestrowanym w Naszej Klasie.
