[Pytanie] Nasza-klasa - dane polaków do pobrania

[Haker]

Już miałem tej notatki nie publikować ale artykuł z Gazeta.pl pt.: "GIODO: Dane osobowe w nasza-klasa.pl są bezpieczne" mnie rozbroił. "Ze wstępnych analiz wynika, że na portalu dane chronione są na bardzo wysokim poziomie". Zapewne przepisy danych osobowych nie mają nic wspólnego z rzeczywistością. Więc do dzieła...

 

16 stycznia w Faktach i innych programach telewizyjnych obejrzeliśmy informację o tym, że Nasza-Klasa ma zostać skontrolowana przez GIODO. Jeden z właścicieli Naszej-Klasy zapewniał że dane są bezpieczne, umieszczone i chronione w super nowoczesnej, poznańskiej serwerowni (w podziemiach Starego Browaru) - tylko co ma piernik do wiatraka ??

 

Dane 7 mln (prawie 8 mln) użytkowników, niestety każdy może sobie pobrać na swój własny komputer przy pomocy np. VPS za 5 $. Dane takie jak imię, nazwisko (często również rodowe), ukończona szkoła, zdjęcia, czasem numer telefonu i gg, nie są ukryte. Wątpię czy policja dysponuje lepszą bazą danych. Więc do dzieła :

 

Zaczynamy pobieranie od zalogowania się w serwisie. Wystarczy nam do tego curl.

 

curl_setopt($c, CURLOPT_URL, 'http://nasza-klasa.pl/login');

curl_setopt($c, CURLOPT_POST, 1);

curl_setopt($c, CURLOPT_POSTFIELDS,

'login=******&password=******');

 

Załóżmy, że formularz logowania przeszedł - otrzymujemy zwrot z identyfikatorem sesji np.

'nk_session=fssofsfX76bggfdfs3g9hBRge' coś takiego.

 

Ponownie wrzucamy to do curl'a

 

curl_setopt($ch, CURLOPT_URL, $url);

curl_setopt($ch, CURLOPT_HEADER, 0);

curl_setopt($ch, CURLOPT_COOKIE, $cookie);

curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)");

 

Ameryki tutaj nie odkrywam. Wystarczy zwiększać ID użytkownika (n+1), filtrujemy stronę preg_match_all .... i mamy wszystkie dane o użytkowniku. Oto zaimportowane dane w exelowej tabelce:

Podstawowe błędy serwisu Nasza-Klasa:

 

# Nadawanie kolejnych numerów użytkownikom zamiast losowych znaków;

# Brak możliwości zablokowania podglądu profilu dla nieznajomych (nie ma nawet takiej opcji);

# Brak zabezpieczeń takich jak kody captcha uruchamiane np. po odwiedzeniu więcej niż 15 profili;

# Bardzo proste metody logowania ...

# Wyszukiwanie po GG i Skype to istny raj... Wystarczy mi Twój numer GG a powiem Ci jak wyglądasz.

 

Jedynym atutem jest tylko i wyłącznie to, że ich serwery strasznie zamulają i w rzeczywistości pojedyncza osoba pobierze najwyżej kilkadziesiąt tysięcy rekordów. Ale co z zorganizowaną grupą ludzi posiadającą pieniądze na dobre serwery... w tej samej serwerowni Tutaj praktycznie żadne zabezpieczenia nie podziałają, tylko Twoja ostrożność i traktowanie internetu na poważnie gwarantuje bezpieczeństwo. Dlaczego tak atakuje N-K ?? Mój post nic przecież nie zmieni - usprawni tylko TWOJE bezpieczeństwo. Sam właściciel N-K przyznał się że musiał zmienić nazwisko w serwisie, żeby obce osoby nie wnikały w jego prywatność.

 

Co należy robić by zachować odrobinę anonimowości ?

 

# Lepiej umieszczać mniej danych o sobie niż więcej. Po co w naszej klasie umieszczać numer telefonu? Czy na pewno znajomy z przed 20 lat zadzwoni? Podobnie z numerem GG;

# Czy na pewno musisz podawać nazwisko? Najlepiej zrobić skrót np. Anna W. przecież jak jesteś dopisany do swoich klas nie jest Ci ono tak naprawdę potrzebne;

# Podnieca Ciebie jak pół polski widzi Twoje zdjęcie w stroju kąpielowym?

[Acanther]

Taa, ale nie kopiuj nam tu portalu którego link podałeś na dole (WARNA MÓ WARNA !1!! Tak nie mo$hNa) bo każdy jak będzie chciał to sobie wejdzie i zerknie.

[Scavenger]

Jak widać panowie z naszej klasy mieli tylko dobry pomysł na portal. Wykonanie pozostawia wiele do życzenia.

[Mateq]

Jak kopiujesz to pisz skąd. Link do oryginału: http://hacking.pl/pl/news-7280-Nasza_Klasa...w_Polakow_.html

[Makin]

Dla pana warn za publikowanie treści tego typu.Tak jak zauważył mateq mógłbyś chociaż pisać z kąd to masz i ze nawet palcme nie kiwłeś choćby aby to edytować.Pozatym ostatnio ,,Haker'' otworzył kilka podobnych tematów.Hmm nieciekawie to wygląda.

[miler94]

I po co komu patrzeć czyjeś dane, chcesz mu paczkę wysłać??

[Mike]

I po co komu patrzeć czyjeś dane, chcesz mu paczkę wysłać??

 

 

nie poto jest ten temat... hacker pokazal poprzez artykul z podanej wyzej strony ze zabazpieczenia sa abrdzo slabe.. ot co.

 

osobiscie jestem tam zarejestrowany wiec chyba usune pare moich danych

[warrockplxx]

lol ....http://hacking.pl/pl/news-7280-Nasza_Klasapl_pobierz_sobie_dane_milionow_Polakow_.html

[warrockplxx]

nie rozumiem tego

[limonka]

To już nie działa nasza klasa wprowadziła nowe zabezpieczenia