Nasza-klasa: trwa pobieranie danych osobowych

Ostatni serwis Gazeta.pl opublikował artykuł “GIODO: Dane osobowe w nasza-klasa.pl są bezpieczne”. W odpowiedzi ahri4Ha9dz opublikował na swoim blogu dokładny opis metody pobierania danych osobowych z Naszej Klasy.

Wpis zaczyna się nawiązaniem do wspomnianego artykułu:

Już miałem tej notatki nie publikować ale artykuł z Gazeta.pl pt.: “GIODO: Dane osobowe w nasza-klasa.pl są bezpieczne” mnie rozbroił. “Ze wstępnych analiz wynika, że na portalu dane chronione są na bardzo wysokim poziomie”. Zapewne przepisy danych osobowych nie mają nic wspólnego z rzeczywistością. Więc do dzieła…

Potem następuję szczegółowy opis metody na pobranie danych osobowych użytkowników. Jest na tyle dokładny, że każdy znający podstawy informatyki będzie mógł go zrozumieć i wykorzystać.

Ahri4Ha9dz korzysta z narzędzia cURL jednak można wykorzystać np. skrypt PHP lub Python. Już po chwili można łatwo i przyjemnie pobierać dane 7 milionów (sic!) zarejestrowanych użytkowników.

Tabela danych osobowych

Autor bloga zwraca na podstawowe błędy twórców portalu nasza-klasa.pl:

  • nadawanie kolejnych numerów użytkownikom zamiast losowych znaków
  • brak możliwości zablokowania podglądu profilu (nie ma nawet takiej opcji)
  • brak zabezpieczeń takich jak kody captcha uruchamiane np. po odwiedzeniu więcej niż 15 profili
  • bardzo proste metody logowania …
  • wyszukiwanie po gg i skype istny raj … wystarczy mi twój numer gg a powiem Ci jak wyglądasz

Polecam lekturę całego wpisu, szczególnie zarejestrowanym w Naszej Klasie.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

23 odpowiedzi na „Nasza-klasa: trwa pobieranie danych osobowych”
  1. Awatar bns
    bns

    Z jednym błędem się nie zgodze:

    brak możliwości zablokowania podglądu profilu (nie ma nawet takiej opcji)

    Istnienie n-k było by wtedy bezcelowe. Jak mam znaleźć ludzi z klasy jak nie mogę przeglądać ich profili.
    .
    Tego nie rozumiem:

    bardzo proste metody logowania …

    Chodzi mu o dostarczenie przez n-k tokenów, czy co?
    .

    wyszukiwanie po gg i skype istny raj … wystarczy mi twój numer gg a powiem Ci jak wyglądasz

    To też nie jest prawdą bo domyślna opcja jest `Pokaż numer osobą z klasy, znajomym`. Żeby kogoś wyszukać ten ktoś musi zmienić na `Pokaż wszystkim numer`.
    .
    Problem n-k polega w ich głupich użytkownikach 😉

  2. Awatar Kas
    Kas

    Z tego co wiem wujek Google pozwala na wyszukiwanie po numerach Gadu-Gadu nawet przy takim ustawieniu. Wystarczy zapytanie: site: nasza-klasa [numer].
    Poza tym dobrze zaprojektowany system powinien zabezpieczać nawet nieostrożnych użytkowników.

    1. Awatar MichalK
      MichalK

      Sprawdzilem, ten sposob nie dziala.

  3. Awatar michuk
    michuk

    Polecam felieton Docenta: Nasza-klasa, nasze-dane, nasz-problem i wpis na Antywebie: W oparach paranoi czyli dane osobowe i hacking.pl.

    1. Awatar nbvcxz
      nbvcxz

      @michuk: zgadza się – i to powinno wyczerpać temat od strony formalnej
      a co do pomysłu ahri4Ha9dz to mam nadzieję, że poinformował wcześniej admina nasza-klasa.pl o sposobach wydobycia informacji (jak obyczaj nakazuje) – a w zasadzie to jestem ciekaw czy to zrobił a nasza-klasa go olała, czy po prostu na żywioł opublikował swoje spostrzeżenia w necie

  4. Awatar Kas
    Kas

    Nbvcxz, obawiam się, że administratorzy portalu nasz-klasa.pl całkowicie zlekceważyli ten przypadek. Jeszcze nie dawno sprawdzałem tę metodą i działa jak marzenie. 🙂

    1. Awatar n
      n

      AAAAAAAAAAAAAAAAA! No ludzie, opanujcie sie! Co za bzdury piszecie! Jakie zagrozenie bezpieczenstwa? Bo skrypt chodzi po stronie tak jak by czlowiek chodzil? Litosci! Co za experci! Codziennie roboty Made in Google tak robia.

      Niech sie jeszcze Gorion w Faktach pojawi i niczym Farinelli odspiewa swiatu o zagrozeniach n-k.

      1. Awatar krzychoocpp
        krzychoocpp

        Dlatego ja nie pobieram tych danych, szkoda miejsca na moim dysku, google ma większe 😀 A i przeszukiwać łatwiej 😀

  5. Awatar Kas
    Kas

    N, pamiętaj, że zbiory wujka Google nie są tak łatwo dostępne. Poza tym roboty wyszukiwarki indeksują mnóstwo różnych informacji. Tymczasem w nasza-klasa.pl masz dane 7 milionów (sic!) użytkowników podane na tacy. Do tego wygodna wyszukiwarka, brak zabezpieczeń i wielu naiwnych userów. To wszystko pozwala na zdobywanie ogromnych ilość informacji. Nie wiem czy wiesz, ale szczegółowe dane osobowe jednego człowieka na czarnym rynku mogą być warte nawet 100 euro. Pomnóż to sobie przez 7 milionów…

    1. Awatar n
      n

      To co? Moze usunac mozliwosc podawania danych osobowych w naszej klasie? Jedyne co mozna zrobic, to uswiadomic ludzi co do istniejacych zagrozen. I nie dotyczy to naszej klasy. To dotyczy kazdego aspektu naszego zycia. Jak zgubimy dowod, to lecimy na policje, zeby nikt nie wzial np. kredytu na nas. Ale nie ma w nas oporu, zeby podawac swoje dane w serwisach, blogach, komentarzach, itp. Nasza klasa wyeksponowala ten problem. I dobrze. Zrobil sie jakis szum, ludzie zaczeli zwracac na to uwage. Ale to nie jest problem naszej klasy. To jest problem wiekszosci serwisow spolecznosciowych.

  6. Awatar stronger
    stronger

    Szanowni dyskutanci,

    raport GIODO jest oczywiście całkowicie zgodny z prawdą, a wynika to z tego, że n-k nie prowadzi bazy danych osobowych w rozumieniu ustawy o tychże. Miałem (wątpliwą zresztą) przyjemność pracować w charakterze administratora bezpieczeństwa informacji (w rozumieniu ustawy), który nadzoruje działania administratora danych osobowych (w rozumieniu ustawy) i ten akt prawny jest mi z grubsza znajomy.
    Dane osobowe to takie dane, które pozwalają _jednoznacznie_ zidentyfikować osobę. Może to być na przykład imię, nazwisko i nr PESEL lub imię, nazwisko i adres. Nie jest natomiast daną osobową samo imię i nazwisko, nawet gdy dodamy numer telefonu czy gg lub fotografię.
    Oczywiście dostępność informacji na n-k jak na chwilę obecną jest skandaliczna, jednak GIODO rzeczywiście nie ma się do czego przyczepić.

    1. Awatar gotar
      gotar

      Dane osobowe to są te, które pozwalają na jednoznaczną identyfikację przy rozsądnym użyciu środków i czasu. Imię, nazwisko i nawet jedna klasa, do której się uczęszczało (rocznik) jest wystarczająca.

      1. Awatar stronger
        stronger

        To Twoja interpretacja czy litera ustawy?

        1. Awatar wojtek_germ
          wojtek_germ

          Najpierw dowiedz się, czemu ta ustawa ma służyć, a potem pytaj o jej literę.

  7. Awatar kubaw
    kubaw

    Ej a obczajcie to http://naszaklasa.pl/
    Nie wiem co o tym sądzić… Prowokacja czy ktoś chce wyciągnąć emaile od naiwnych?

    1. Awatar zubak
      zubak

      "Jeżeli szukasz serwisu nasza-klasa.pl to jesteś w złym miejscu :-)"

      Musieli by być bardzo naiwni…

      1. Awatar Tomasz Jakub Wnuk
        Tomasz Jakub Wnuk

        Że komuś nie było szkoda kasy na domenę 😉

  8. Awatar oldfield
    oldfield

    Najlepszym atakiem jest naiwnoc ludzi.

    Zakładam profil np. Myszka Miki – wklejem obrazek Miki i wysyłam zaproszenia. Po krótkim czasie mam 200 osób na liście znajomych. Przeglądam sobie ich profiel, szukam co mnie interesuje i np. tworze boota gg, który bedzie rozsyłał do nich spam. tudzież robię to za pośrednictwem e-mail.

    Zresztą fantazja ludzi nie zna granic, jeżeli chcą kogoś naciągnąć.

  9. Awatar Tor
    Tor

    Gdzie w profilu widoczny jest e-mail? Bo ni cholery nie mogę do tego dojść. 🙂

  10. Awatar tamok
    tamok

    A poza tym, jakie informacje zebrał nasz haker? Podróbkę książki telefonicznej? No to sukces. A może on nie wie, że istnieje coś takiego jak "ogromna baza danych osobowych", czyli książka telefoniczna. A co będzie, jak się o tym dowiedzą przestępcy? o biada biada biada!
    Ja rozumiem, że Wyborcza, Onet i inni nakręcają paranoję, która może zagrozić konkurencji (straszymy reklamodawców, straszymy), ale że hakerzy, którzy na internetowych przestępstwach się trochę znają, powinni byli wiedzieć, jakie są prawdziwe zagrożenia, będą tę paranoję powielać, tego bym się nigdy nie spodziewał. Honor hakera podobno polega na tym, że jak wykryje lukę bezpieczeństwa, to powiadamia najpierw administratorów serwisu i pomoże w jej usunięciu, a nie szuka taniej popularności, chwaląc się gówniarzerii, czego to on nie potrafi…

  11. Awatar ania
    ania

    Co Wy znowu wymyślacie

  12. Awatar betta
    betta

    co do jasnejh….jest z wami nie moge wejsc na nk

  13. Awatar luska
    luska

    O co tu chodzi???

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *