Nasza-Klasa.pl - pobierz sobie dane milionów Polaków
Już miałem tej notatki nie publikować ale artykuł: http://wiadomosci.gazeta.pl/Wiadomosci/1,80269,4859693.html mnie rozbroił. "ze wstępnych analiz wynika, że na portalu dane chronione są na bardzo wysokim poziomie" :-)
Zapewne przepisy danych osobowych nie mają nic wspólnego z rzeczywistością. Więc do dzieła...
16 stycznia w Faktach i innych programach telewizyjnych obejrzeliśmy informację o tym, że Nasza-Klasa ma zostać skontrolowana przez GIODO. Jeden z właścicieli Naszej-Klasy zapewniał że dane są bezpieczne, umieszczone i chronione w super nowoczesnej, poznańskiej serwerowni (w podziemiach Starego Browaru) - tylko co ma piernik do wiatraka ?
Dane 7 mln (prawie 8 mln) użytkowników, niestety każdy może sobie pobrać na swój własny komputer przy pomocy np. VPS za 5 $. Dane takie jak imię, nazwisko (często również nazwisko rodowe), ukończona szkoła, zdjęcia, czasem numer telefonu i gg nie są ukryte. Wątpię czy policja dysponuje lepszą bazą danych. Więc do dzieła :
Zaczynamy pobieranie od zalogowania się w serwisie. Wystarczy nam do tego curl.
curl_setopt($c, CURLOPT_URL, 'http://nasza-klasa.pl/login');
curl_setopt($c, CURLOPT_POST, 1);
curl_setopt($c, CURLOPT_POSTFIELDS,
'login=******&password=******');
Załóżmy, że formularz logowania przeszedł - otrzymujemy zwrot z identyfikatorem sesji np.
'nk_session=fssofsfX76bggfdfs3g9hBRge' coś takiego.
Ponownie wrzucamy to do curl'a
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_COOKIE, $cookie);
curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)");
Ameryki tutaj nie odkrywam. Dalej to tylko zwiększamy sobie id użytkownika o jeden i stronę filtrujemy preg_match_all .... i mamy wszystkie dane o użytkowniku. Oto wyciągnięte dane w Excelowej tabelce:
Podstawowe błędy serwisu Nasza-Klasa:
# nadawanie kolejnych numerów użytkownikom zamiast losowych znaków
# brak możliwości zablokowania podglądu profilu (nie ma nawet takiej opcji) brak zabezpieczeń takich jak kody captcha uruchamiane np. po odwiedzeniu więcej niż 15 profili
# bardzo proste metody logowania ...
# wyszukiwanie po gg i skype istny raj ... wystarczy mi twój numer gg a powiem Ci jak wyglądasz
Jedynym atutem jest tylko i wyłącznie to że ich serwery strasznie zamulają i w rzeczywistości pojedyncza osoba pobierze najwyżej kilkadziesiąt tysięcy rekordów. Ale co z zorganizowaną grupą ludzi posiadającą pieniądze dobre serwery (w tej samej serwerowni ;) ) ?? tutaj praktycznie żadne zabezpieczenia nie podziałają, tylko twoja ostrożność i traktowanie internetu na poważnie gwarantuje bezpieczeństwo. Dlaczego tak atakuje n-k ?? Mój post nic przecież nie zmieni - usprawni tylko TWOJE bezpieczeństwo. Sam właściciel n-k przyznał się że musiał zmienić nazwisko w serwisie, żeby obce osoby nie wnikały w jego prywatność.
Co należy robić by zachować odrobinę anonimowości ?
# lepiej umieszczać mniej danych o sobie niż więcej. Po co w naszej klasie umieszczać numer telefonu?? Czy na pewno znajomy z przed 20 lat zadzwoni ? podobnie z numerem gg...
# czy na pewno musisz podawać nazwisko ?? najlepiej zrobić skrót np. Anna W. przecież jak jesteś dopisany do swoich klas nie jest Ci ono tak naprawdę potrzebne
# podnieca Ciebie jak pół polski widzi twoje zdjęcie w stroju kąpielowym ??
Źródło:
Hacking.pl
Data dodania:
24.01.2008 01:23, przez: ches_ter
Czytano:
19442 razy
Ocena:
- Bardzo dobry (4.31/5)
Liczba ocen: 45
|
|