Dodaj do ulubionych

Nasza-klasa - pobierz sobie dane milionów Polaków!

25.01.08, 19:26
Przeklejam za
hacking.pl/pl/news-7280-Nasza_Klasapl_pobierz_sobie_dane_milionow_Polakow_.html
(polecam wejście pod w/w adres)

Nasza-Klasa.pl - pobierz sobie dane milionów Polaków
Security | 2008-01-24 00:05:25 | Autor: Redakcja
Już miałem tej notatki nie publikować ale artykuł z Gazeta.pl pt.: "GIODO: Dane osobowe w nasza-klasa.pl są bezpieczne" mnie rozbroił. "Ze wstępnych analiz wynika, że na portalu dane chronione są na bardzo wysokim poziomie". Zapewne przepisy danych osobowych nie mają nic wspólnego z rzeczywistością. Więc do dzieła...

16 stycznia w Faktach i innych programach telewizyjnych obejrzeliśmy informację o tym, że Nasza-Klasa ma zostać skontrolowana przez GIODO. Jeden z właścicieli Naszej-Klasy zapewniał że dane są bezpieczne, umieszczone i chronione w super nowoczesnej, poznańskiej serwerowni (w podziemiach Starego Browaru) - tylko co ma piernik do wiatraka ??

Dane 7 mln (prawie 8 mln) użytkowników, niestety każdy może sobie pobrać na swój własny komputer przy pomocy np. VPS za 5 $. Dane takie jak imię, nazwisko (często również rodowe), ukończona szkoła, zdjęcia, czasem numer telefonu i gg, nie są ukryte. Wątpię czy policja dysponuje lepszą bazą danych. Więc do dzieła :

Zaczynamy pobieranie od zalogowania się w serwisie. Wystarczy nam do tego curl.

curl_setopt($c, CURLOPT_URL, 'nasza-klasa.pl/login');
curl_setopt($c, CURLOPT_POST, 1);
curl_setopt($c, CURLOPT_POSTFIELDS,
'login=******&password=******');

Załóżmy, że formularz logowania przeszedł - otrzymujemy zwrot z identyfikatorem sesji np.
'nk_session=fssofsfX76bggfdfs3g9hBRge' coś takiego.

Ponownie wrzucamy to do curl'a

curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_COOKIE, $cookie);
curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)");

Ameryki tutaj nie odkrywam. Wystarczy zwiększać ID użytkownika (n+1), filtrujemy stronę preg_match_all .... i mamy wszystkie dane o użytkowniku. Oto zaimportowane dane w exelowej tabelce:







Podstawowe błędy serwisu Nasza-Klasa:

Nadawanie kolejnych numerów użytkownikom zamiast losowych znaków;
Brak możliwości zablokowania podglądu profilu dla nieznajomych (nie ma nawet takiej opcji);
Brak zabezpieczeń takich jak kody captcha uruchamiane np. po odwiedzeniu więcej niż 15 profili;
Bardzo proste metody logowania ...
Wyszukiwanie po GG i Skype to istny raj... Wystarczy mi Twój numer GG a powiem Ci jak wyglądasz.

Jedynym atutem jest tylko i wyłącznie to, że ich serwery strasznie zamulają i w rzeczywistości pojedyncza osoba pobierze najwyżej kilkadziesiąt tysięcy rekordów. Ale co z zorganizowaną grupą ludzi posiadającą pieniądze na dobre serwery... w tej samej serwerowni ;) Tutaj praktycznie żadne zabezpieczenia nie podziałają, tylko Twoja ostrożność i traktowanie internetu na poważnie gwarantuje bezpieczeństwo. Dlaczego tak atakuje N-K ?? Mój post nic przecież nie zmieni - usprawni tylko TWOJE bezpieczeństwo. Sam właściciel N-K przyznał się że musiał zmienić nazwisko w serwisie, żeby obce osoby nie wnikały w jego prywatność.

Co należy robić by zachować odrobinę anonimowości ?

Lepiej umieszczać mniej danych o sobie niż więcej. Po co w naszej klasie umieszczać numer telefonu? Czy na pewno znajomy z przed 20 lat zadzwoni? Podobnie z numerem GG;
Czy na pewno musisz podawać nazwisko? Najlepiej zrobić skrót np. Anna W. przecież jak jesteś dopisany do swoich klas nie jest Ci ono tak naprawdę potrzebne;
Podnieca Ciebie jak pół polski widzi Twoje zdjęcie w stroju kąpielowym?
Autor: ahri4Ha9dz
Edytor zaawansowany
  • Gość: werty IP: *.adsl.inetia.pl 26.01.08, 16:15
    dobreprogramy.pl/index.php?dz=8&a=189
    Przeczytaj, zrozumiesz, że to lekka ściema.
  • extravaganzaa 30.01.08, 00:40
    No cóż, prości ludzie tego niestety nie zrozumieją i dalej będą uważali, że nie wpisujący się na naszą klasę są jacyś dziwni i boja się nie wiadomo czego. Naiwni...
  • Gość: heh IP: 213.134.181.* 30.01.08, 12:07
    ja tylko czekam, aż ludzie zaczną się z tamtąd wypisywać hehehehe, owczy pęd się w końcu skończy..
  • Gość: ktoś IP: 80.50.237.* 28.04.08, 11:18
    powiem wam ze mnie znalezli na naszej klasie przyszli pod uczelnie i mnie pobili
  • marex59 28.04.08, 17:17
    Wydaje mi się że verty ma rację , jest to tylko zwykła nagonka na
    ten portal bo nawet jeśli jest tam nr. gg to i co z tego przecież po
    nim i tak nikt nie dojdzie kim ja jestem jeśli swoich szczegółowych
    danych sam nie wprowadziłem ,to chyba poprostu czyjaś zazdrość tak
    mocno emanuje że za wszelką cenę chce temu portalowi zaszkodzić a co
    do policji to ona ma takie dane i takie możliwości że nam się w
    głowie nie mieści co mogą mieć w bardzo krótkim czasie na nasz temat.

Popularne wątki

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka