Dane takie jak imię, nazwisko (często również rodowe), ukończona szkoła, zdjęcia, czasem numer telefonu i gg, nie są ukryte. Wątpię czy policja dysponuje lepszą bazą danych.
Już
miałem tej notatki nie publikować ale artykuł z Gazeta.pl pt.: "GIODO:
Dane osobowe w nasza-klasa.pl są bezpieczne" mnie rozbroił. "Ze
wstępnych analiz wynika, że na portalu dane chronione są na bardzo
wysokim poziomie". Zapewne przepisy danych osobowych nie mają nic
wspólnego z rzeczywistością. Więc do dzieła...
16 stycznia w Faktach i innych programach telewizyjnych obejrzeliśmy informację o tym, że Nasza-Klasa ma zostać skontrolowana przez GIODO. Jeden z właścicieli Naszej-Klasy
zapewniał że dane są bezpieczne, umieszczone i chronione w super
nowoczesnej, poznańskiej serwerowni (w podziemiach Starego Browaru) -
tylko co ma piernik do wiatraka ??
Dane 7 mln (prawie 8 mln) użytkowników, niestety każdy może sobie pobrać na swój własny komputer przy pomocy np. VPS za 5 $. Dane takie jak imię, nazwisko (często również rodowe),
ukończona szkoła, zdjęcia, czasem numer telefonu i gg, nie są ukryte.
Wątpię czy policja dysponuje lepszą bazą danych. Więc do dzieła :
Zaczynamy pobieranie od zalogowania się w serwisie. Wystarczy nam do tego curl.
curl_setopt($c, CURLOPT_URL, 'http://nasza-klasa.pl/login');
curl_setopt($c, CURLOPT_POST, 1);
curl_setopt($c, CURLOPT_POSTFIELDS,
'login=******&password=******');
Załóżmy, że formularz logowania przeszedł - otrzymujemy zwrot z identyfikatorem sesji np.
'nk_session=fssofsfX76bggfdfs3g9hBRge' coś takiego.
Ponownie wrzucamy to do curl'a
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_COOKIE, $cookie);
curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)");
Ameryki tutaj nie odkrywam. Wystarczy zwiększać ID użytkownika (n+1), filtrujemy stronę preg_match_all .... i mamy wszystkie dane o użytkowniku. Oto zaimportowane dane w exelowej tabelce:
Podstawowe błędy serwisu Nasza-Klasa:
Jedynym atutem jest tylko i wyłącznie to, że ich serwery strasznie zamulają i w rzeczywistości pojedyncza osoba pobierze najwyżej kilkadziesiąt tysięcy rekordów. Ale co z zorganizowaną grupą ludzi posiadającą pieniądze na dobre serwery... w tej samej serwerowni ;) Tutaj praktycznie żadne zabezpieczenia nie podziałają, tylko Twoja ostrożność i traktowanie internetu na poważnie gwarantuje bezpieczeństwo. Dlaczego tak atakuje N-K ?? Mój post nic przecież nie zmieni - usprawni tylko TWOJE bezpieczeństwo. Sam właściciel N-K przyznał się że musiał zmienić nazwisko w serwisie, żeby obce osoby nie wnikały w jego prywatność.
Co należy robić by zachować odrobinę anonimowości ?
źródło: hacking.pl
