« Czarna Perła - Styczeń 2008
Sylwestrowy Quake »

Bezpieczeństwo w sieci - nasza-klasa.pl

Opublikowany 4 styczeń, 2008 w Internet Tagi:

Duża część z Was pewnie ma konto w serwisie społecznościowym nasza-klasa.pl. Jeżeli nie, to pewnie niedługo będziecie je mieć (bo to modne, bo kolega ma, bo babcia chce mieć, etc…). Ostatnio przez przypadek trafiłem na świetny artykuł na blogu Piotra Koniecznego poruszający tematykę bezpieczeństwa w tymże serwisie i szczerzę polecam jego uważną lekturę.

Pozwoliłem sobie zacytować tenże artykuł na swoim blogu.

Nasza Klasa - Jak chronić swoje dane osobowe?

Wspomniałem w poprzednim poście, że po prawie roku bycia anonimowym na Naszej-Klasie, zdecydowałem się podać serwisowi poprawne dane osobowe. W ściśle konkretnym celu. Zależało mi na jak najszybszym zlinkowaniu się ze znajomymi w okresie przedświątecznym, by móc wspólnie wyskoczyć na piwo. I ku mojemu zaskoczeniu, zaraz po dopisaniu się do klasy, w skrzynce siedziało już 7 (sic!) zaproszeń od szkolnych kolegów!

Na początku pomyślałem, że NK wysyła informacje o nowych osobach w klasie do wszystkich zainteresowanych i stąd ta szybka odpowiedź. Ale gdzie tam! Taka opcja nie istnieje! Wniosek: ludzie naprawdę tam siedzą… i to właśnie ich aktywność jest przerażająca :-) A oto, czym grozi taka aktywność i jak możemy ją wykorzystać:

Nasza Klasa ? wykradamy dane osobowe

Domyślnie, Nasza Klasa udostępnia Twój numer telefonu, numer GG, i identyfikator Skype Twoim znajomym i kolegom z klasy. Gdybym chciał je poznać, muszę tylko …dopisać się do Twojej klasy. Tak, to jest aż tak bajecznie proste i nie wymaga żadnego uwierzytelnienia, a jedynie dwóch kliknięć myszką.

nk2

Na 10 przeprowadzonych prób (ofiary wybrane losowo), po dopisaniu do odpowiednich klas, poznałem dane osobowe 9 użytkowników portalu Nasza Klasa. Na więcej prób nie miałem ochoty, bo widok pana gąbki przyprawiał mnie o dreszcze…

Nieliczni zastrzegają swoje dane osobowe wyłącznie dla znajomych. Tak właśnie było w przypadku jednej z wybranych przeze mnie osób. Ale i na takich jest sposób. Patrzymy jakie nazwiska mają w swojej klasie, rejestrujemy fałszywe konto na nazwisko dowolnego kolegi z klasy i prosimy o zlinkowanie, tłumacząc się zapomnieniem hasła do starego konta… Socjotechnika działa *EG*. Jedyne, na co możemy się narazić, to taka wiadomość od czujnego kolegi, którą oczywiście “olewamy” :-)

nk1
Powyższe dostałęm po 2 min. od odpisania się do “lewej” klasy. Szybkość reakcji jest zadziwiająca… ale zbyt wolna, żeby usunąć mnie zanim zapisze dane mojej “ofiary”.

Nasza Klasa to fenomen braku prywatności?

Czasem występują sytuacje odwrotne. Mamy jakieś szczątkowe dane kontaktowe, ale nie wiemy nic o ich właścicielu. Także tu Nasza-Klasa przyjdzie z pomocą. Co prawda wyszukiwarka pozwala tylko na przeszukanie bazy użytkowników pod kątem imienia i nazwiska oraz miasta, ale dwa kliknięcia myszą pozwolą rozszerzyć funkcjonalność wyszukiwania o znajdowanie po numerach GG i Skype. Konkurs (bez nagród) dla Czytelników: Jak można wyszukać osobę w serwisie Nasza Klasa, mając tylko jej numer GG? (odpowiadamy w komentarzach).

To już jest nie tylko bajecznie proste, ale i straszne. Wyobraź sobie, że pseudoosobowe dane, typu numer GG, identyfikator Skype, które zostawiłeś na forum medycznym szukając pomocy w doborze maści na hemoroidy, mogą doprowadzić do namierzenia Twojej osoby (imię, nazwisko, numer telefonu, miasto, a nawet wiek i aktualne zdjęcie!). To się dopiero nazywa, po cyfrowej nitce, do kłębka! :-)

nk11
nk13
Policja, dysponując numerem GG, może szybko otrzymać fotografię podejrzanego

Nasza Klasa pomaga wyszperać wstydliwe sekrety

Wiek, przez niektóre panie najpilniej strzeżony sekret, teraz już nie jest tajemnicą. Zdobywamy go niejako przy okazji, bo patrząc na klasy, do których należy dana osoba, widzimy ich roczniki. Zatem wystarczy tylko wiedzieć, w jakim wieku polskie dzieci idą do pierwszej klasy podstawówki, żeby w banalnie prosty sposób oszacować ile ktoś ma obecnie lat.

Nasza Klasa posiada aktualniejsze zdjęcia niż kartoteki policyjne!

Zdjęcia konkretnej osoby to też nie problem. Wszystkie fotki użytkowników są ogólnie dostępne (sic!), a w poszukiwaniu tych bardziej kompromitujących należy udać się do …klasowej galerii. Tam “klasowe głupki” lubują się w dodawaniu “zwariowanych” fotek z suto zakrapianych imprez, lub innych kompromitujących sytuacji… Prawdziwy raj dla reporterów Faktu :-)

NK5
Któż wie, jakie zdjęcia z młodości innych ministrów można znaleźć na Naszej Klasie…?

Nasza Klasa znamy Twoje:

  • – * imię
  • – * nazwisko
  • – *”rodzinne” miasto (nazwy szkół)
  • – wiek
  • – twoje zdjęcia (także dodane przez innych)
  • – numer telefonu
  • – * numer Gadu-Gadu
  • – * identyfikator Skype
  • – kompromitujące sytuacje (klasowe fora dyskusyjne)
  • – nazwiska Twoich znajomych

Udostępnienie nawet jednej z danych oznaczonych gwiazdką oznacza natychmiastowe wyszukanie Cię w serwisie!

Zwróć uwagę, że Twoja prywatność zależy także od Twoich znajomych z serwisu Nasza Klasa. Przywoływane przez nich historie, dodawane przez nich zdjęcia mogą postawić Cię w niekorzystnym świetle …i mały masz na to wpływ.

Brak poziomów prywatności i jakiegokolwiek uwierzytelniania sprawia, że zarówno prywatni detektywi jak i dziennikarze moją bardzo szybko skompletować niezły zbiór informacji na temat dowolnej osoby; kompromitujące zdjęcia, wiek, dane kontaktowe, ale przede wszystkim informacje o naszych znajomych (bo to najprawdopodobniej od nich uda się wyciągnąć najwięcej brudów).

Na pocieszenie dodam, że masowe zrzucanie danych z Naszej Klasy nie jest łatwe. Mój robot, który automatycznie dopisywał się do wszystkich szkół i klas, a następnie próbował kompletować dane “imię, nazwisko, telefon, GG, Skype”, był skutecznie spowalniany przez Pana Gąbkę, a że obsługi timeoutów nie chciało mi się dopisać, możecie spać spokojnie :-)

Do czego mogą posłużyć dane masowo zebrane z Naszej Klasy?

Mnie do głowy przyszła internetowa książka numerów, zawierająca imię, nazwisko, miasto, wiek, telefon (komórkowy), numer GG, Skype. Dodatkowe informacje na temat osoby z książki można dociągnąć z baz Skype/GG.

Kolejny pomysł, to przetwarzanie statystyczne: jaki profil w danym mieście cieszył się największą popularnością? Ile osób z danego miasta jest na naszej klasie? Jak wygląda wektor migracji młodych osób (skąd, dokąd)? Ile Polaków jest (było) za granicą? Jakie imię jest najpopularniejsze? Ile osób o danym nazwisku jest w danym mieście?

Na podstawie zebranych danych można też, jak pisze “sierra_papa” w komentarzu do poprzedniego posta, namierzyć dłużników, lub, jak ja sobie spekuluję, zbudować profil zainteresowań danej osoby. Skoro ktoś kończył klasę o profilu biol-chem i studiował medycynę, na pewno będzie zainteresowany informacją o leku X…

Jak się przed bronić przed Wielkim Bratem Naszą Klasą?

Krok 1. Ustawić w profilu widoczność numeru telefonu, GG i Skype na “tylko dla znajomych”. Dzięki temu boty takie jak mój, nie “wykradną” Twoich danych osobowych dopisując się na chwilę do Twojej klasy. UWAGA! Jeśli ktoś będzie wyszukiwał po numerze GG/Skype ciągle będzie mógł znaleźć Twój profil. Jeśli sobie tego nie życzysz - usuń GG i Skype ze swojego profilu. To jedyny sposób.

Krok 2. Nie dać się wyszukać osobom postronnym :-) Warto rozważyć podwojenie jakiejś litery w nazwisku. Znajomi, których odnajdziesz i poprosisz o zlinkowanie najprawdopodobniej wezmą to za literówkę, za to ty staniesz się “niewyszukiwalny” dla postronnych osób po swoim imieniu i nazwisku. Ja z powodzeniem korzystam z tej metody.

Krok 3. Tylko dla paranoików. Usuń swoje konto

Zgodzę się, że niektóre fragmenty brzmią trochę “spiskowo” ale w dzisiejszych czasach ochrona danych osobowych nabiera szczególnego znaczenia i jest niesamowicie ważna. Pamiętajcie, że anonimowość w sieci to czysta fikcja, a wasze dane osobowe mogą zostać wykorzystane na wiele sposobów. Kradzież tożsamości jest plaga naszych czasów. Naprawdę warto się chronić i nie podawać lekkomyślnie swoich danych tam, gdzie tylko o nie poproszą (Większość ludzi nie wykupuje ubezpieczenia od pożaru, dopóki nie spali się dom sąsiada lub póki nie będzie ono wymagane do ustanowienia hipoteki… ale wtedy jest już za późno…).

Osoby nie mające zielonego pojęcia o przetwarzaniu danych na pewno odpowiedziałoby na pytanie “po co ktoś miałby kraść moje dane” w taki (lub podobny sposób): “Najwyżej do SPAMu” - bo przecież nikomu nie przyjdzie do głowy, że można się pod kogoś podszywać. Nic bardziej błędnego - SPAM jest tylko jedną z wielu i być może najmniej szkodliwą możliwością wykorzystywania danych. Wtedy będziemy najwyżej dostawać e-maile reklamowe (np. dotyczące sprzedaży viagry) i nasze dane mogą być wymieniane pomiędzy innymi spamerami.

Gorszą sprawą jest kradzież tożsamości, która polega na wykorzystywaniu danych osobowych do wykonywania transakcji marketingowych. Złodziej może w naszym imieniu składać zamówienia w e-sklepach czy składać wnioski o kredyt. Wszystko zależy od tego, jakiego rodzaju informacje posiadł.

W roku 2007 doszło do niespotykanej do tej pory skali utraty bądź kradzieży danych osobowych, takich jak numery ubezpieczeń czy kart kredytowych. Co więcej, nic nie wskazuje, aby tendencja ta miała się ku spadkowi.

Mimo że firmy, agencje rządowe, szkoły i inne instytucje wydają coraz więcej na cele związane z bezpieczeństwem, stosując coraz to bardziej wyszukane firewalle czy systemy szyfrujące dane, na inwestycje tego typu może być nieco za późno - ostrzega serwis Sydney Morning Herald.

?Większość z inwestujących firm padło już ofiarą ataku, a działanie to jest jedynie reakcją na zaistniałą sytuację. Nie są to więc działania prewencyjne” - tłumaczy Linda Foley, założycielka Identity Theft Resource Center.

Centrum zarejestrował ponad 79 milionów skradzionych w Stanach Zjednoczonych rekordów danych - tylko od 18 grudnia tego roku. Dla porównania, w całym 2006 roku zarejestrowano 20 milionów skradzionych danych.

Inna grupa, Attrition.org, przewiduje, iż od 21 grudnia na całym świecie doszło do kradzieży 162 milionów rekordów. W zeszłym roku Attrtion zanotował jedynie 49 milionów.
źródło: hacking.pl

I na zakończenie:

Siedem na dziesięć stron internetowych posiada luki w zabezpieczeniach umożliwiające kradzież danych lub poufnych informacji. Tak wynika z badań przeprowadzonych przez firmę Acunetix zajmująca się bezpieczeństwem stron WWW.

Tak… 70% to dużo :!::wink:

(daje do myślenia co?)

Łukasz Brodowski signature

Powiązane wpisy

8 Komentarzy dla “Bezpieczeństwo w sieci - nasza-klasa.pl”  

RSS dla tego wpisu Trackback   Powiadomienia na email
  1. Gravatar Icon 1 censor3d 5 stycznia, 2008 o 16:31Cytuj Przeglądarka Mozilla Firefox 3.0b2 na Linux

    ad konkurs: Mamy kogoś na liście zapisanego jako “Zuzia”, znamy 3 Zuzie ale nie chcemy pisać do niej “kim jesteś?”. ;]
    ad artykuł: artykuł bez sensu, autor ameryke odkrył…

  2. Gravatar Icon 2 Łukasz 7 stycznia, 2008 o 12:30Cytuj Przeglądarka Mozilla Firefox 2.0.0.11 na Ubuntu Linux

    ad artykuł: artykuł bez sensu, autor ameryke odkrył…

    Co jest oczywiste dla Ciebie, nie znaczy, że jest oczywiste dla wszystkich

    A tak swoją droga jako dodatek do powyższego wpisu (znalezione dzisiaj na onecie)

    Namierzyli sprawcę dzięki dzięki naszej-klasie

    Mieszkaniec Warszawy, który zadzwonił na policję i zagroził, że wysadzi w powietrze komendę przy ul. Opaczewskiej na Ochocie “wpadł” dzięki starym znajomym, którzy wymieniali się informacjami o nim na popularnym portalu internetowym.
    Jak powiedziała oficer prasowy ochockiej policji Monika Jamka, wszystko zaczęło się w sobotę wieczorem. - Na policję zadzwonił anonimowy rozmówca. Twierdził, że pod komendę przy ul. Opaczewskiej podłożył bombę. Groził, że ją zdetonuje - powiedziała.

    Mężczyzna powiedział też, że zabije wszystkich tamtejszych policjantów, bo siedział przez nich w więzieniu. - Dokładnie sprawdzono komendę. Na miejsce sprowadzono psa wyszkolonego do znajdowania ładunków wybuchowych. Okazało się, że był to fałszywy alarm - powiedziała Jamka.

    Policjanci szybko ustalili, że mężczyzna dzwonił z telefonu komórkowego z terenu Warszawy. Dzięki temu mieli jego dane. - Pozostało im jednak namierzenie miejsca, gdzie może przebywać. Pomogło w tym monitorowanie internetu. Na jednym z forów znajomi mężczyzny pisali co dzieje się u starych kolegów i dzięki tym informacjom udało się dotrzeć do sprawcy - zaznaczyła Jamka.

    Jak dowiedziała się PAP ze źródeł zbliżonych do sprawy, chodzi o portal społecznościowy nasza-klasa.pl

    34-letni Dariusz L. został zatrzymany w mieszkaniu przy Al. Jerozolimskich. Okazało się, że w 2001 r. był zatrzymany za rozbój. Trafił wówczas do aresztu na 8 miesięcy - sprawa ta nie zakończyła się jeszcze przed sądem. Teraz za fałszywy alarm bombowy grozi mu kara nawet 8 lat więzienia. Będzie też prawdopodobnie musiał pokryć koszty akcji.

  3. Gravatar Icon 3 Nasza Klasa 9 stycznia, 2008 o 16:22Cytuj Przeglądarka Mozilla Firefox 2.0.0.7 na Windows XP

    :shock:
    Ludzie nie podają swoje dane wszędzie i wszystkim, stąd taka radość tym własnie serwisem :) :shock:

  4. Gravatar Icon 4 fela_sz 12 stycznia, 2008 o 20:14Cytuj Przeglądarka Opera 9.20 na Windows XP

    Dobrze wiedziec takie rzeczy. Może dla wielu obznajomionych z internetem to wszystko jest oczywiste, ale mnóstwo osób nie zdaje sobie sprawy z niebezpieczeństwa. I dlatego dobrze o tym informować. Ludzie na różnych portalach społecznościowych zdradzaja niby w dobrej wierze tyle szczegółów z życia prywatnego, że czasami zastanawiam się czy sa zdrowi na umyśle. A nasza klasa jest tym bardziej niebezpieczna bo podajemy tam swoje prawdziwe imię i nazwisko. Pewnie, że nie wszyscy, ale jednak większość chce byc znaleziona przez dawnych znajomych, no i ludzie nie zdają sobie sprawy z zagrożenia. Wielu uzytkowników n-k to ludzie w wieku 30-40 lat, czesto nieoswojeni jeszcze z internetem, możliwe że n-k to pierwszy portal do ktorego się zapisali. Z prostoduszną naiwnością umieszczają swoje zdjęcia, udzieleją sie na forum, chcą się pochwalic dziećmi przed starymi znajomymi…i nie zdają sobie sprawy z zagrożenia.

  5. Gravatar Icon 5 Antoni Jakubiak 15 stycznia, 2008 o 14:04Cytuj Przeglądarka Internet Explorer 7.0 na Windows Vista

    Inną ciekawą luką bezpieczeństwa w systemie nasza-klasa.pl jest możliwość przeglądania profili po identyfikatorze. Identyfikator ten, to kolejny numer w pasku adresu URL.

  6. Gravatar Icon 6 andy 18 stycznia, 2008 o 17:03Cytuj Przeglądarka Internet Explorer 7.0 na Windows XP

    NAPOCIŁEŚ SIĘ TROCHĘ PRZY PRZEPISYWANIU TEGO ARTYKUŁU. ALE DLA MNIE MOŻNA GO PODSUMOWAĆ JEDNYM PYTANIEM : ” I CO Z TEGO????????”. CO Z TEGO ŻE KTOŚ OBCY POZNA MOJE IMIĘ ,NAZWISKO I MIASTO W KTÓRYM MIESZKAM ??? RÓWNIE DOBRZE MOŻE JE POZNAĆ PRZEZ KSIĄŻKĘ TEL. CO Z TEGO, ŻE POZNA MÓJ NR. GG I SKYPEA SKORO MOŻE GO SOBIE ZNALEŹĆ W WYSZUKIWARCE????? I CO Z TEGO ŻE ZOBACZY MOICH ZNAJOMYCH????
    SORRY, ALE MYŚLĘ ŻE JESTEŚ ALBO DORASTAJĄCYM NASTOLATKIEM, ALBO PRZEWRAŻLIWIONYM PODSTARZAŁYM KOLESIEM CZYTAJĄCYM “FAKT” I WIERZĄCYM WE WSZYSTKO CO TAM JEST NAPISANE. TROCHĘ LUZU KOLO BO JAK SIĘ TAK BĘDZIESZ NAD WSZYSTKIM ZASTANAWIAŁ TO NIE WYJDZIESZ Z DOMU. POWODZENIA ŻYCZĘ Z WŁASNĄ OSOBOWOŚCIĄ. BĄDŹ SOBĄ I ZACZNIJ MYŚLEĆ SAMODZIELNIE.

  7. Gravatar Icon 7 Łukasz 18 stycznia, 2008 o 17:29Cytuj Przeglądarka Mozilla Firefox 2.0.0.11 na Ubuntu Linux

    NAPOCIŁEŚ SIĘ TROCHĘ PRZY PRZEPISYWANIU TEGO ARTYKUŁU.

    JEżeli chodzi o wpis Piotra Koniecznego to nie bardzo… zwykłe ctrl c/ctrl v (max 2 min)

    ALE DLA MNIE MOŻNA GO PODSUMOWAĆ JEDNYM PYTANIEM : ” I CO Z TEGO????????”. CO Z TEGO ŻE KTOŚ OBCY POZNA MOJE IMIĘ ,NAZWISKO I MIASTO W KTÓRYM MIESZKAM ??? RÓWNIE DOBRZE MOŻE JE POZNAĆ PRZEZ KSIĄŻKĘ TEL. CO Z TEGO, ŻE POZNA MÓJ NR. GG I SKYPEA SKORO MOŻE GO SOBIE ZNALEŹĆ W WYSZUKIWARCE????? I CO Z TEGO ŻE ZOBACZY MOICH ZNAJOMYCH????
    SORRY, ALE MYŚLĘ ŻE JESTEŚ ALBO DORASTAJĄCYM NASTOLATKIEM, ALBO PRZEWRAŻLIWIONYM PODSTARZAŁYM KOLESIEM CZYTAJĄCYM “FAKT” I WIERZĄCYM WE WSZYSTKO CO TAM JEST NAPISANE. TROCHĘ LUZU KOLO BO JAK SIĘ TAK BĘDZIESZ NAD WSZYSTKIM ZASTANAWIAŁ TO NIE WYJDZIESZ Z DOMU. POWODZENIA ŻYCZĘ Z WŁASNĄ OSOBOWOŚCIĄ. BĄDŹ SOBĄ I ZACZNIJ MYŚLEĆ SAMODZIELNIE.

    Co z tego? Przeczytaj sobie mój poprzedni komentarz… jedna z wielu możliwości.
    Z Twojego wpisu można wywnioskować jedynie tyle, że kompletnie nic nie rozumiesz z tego co jest powyżej napisane. Podstawą jest czytanie ze zrozumieniem…
    Twoje dane można znaleźć w wyszukiwarce tylko jeżeli gdzieś je udostępnisz. W powyższym artykule nie chodzi tylko o naszą-klasę, a o cały problem ochrony danych osobowych.

    Ps: Spróbuj nacisnąć na klawiaturze klawisz z napisem “CapsLock” a zobaczysz magię
    Ps2: Co do tego dorastającego nastolatka albo podstarzałego kolesia to brak słów… Skutek raczej przeciwny do zamierzonego gdyż raczej dałeś świadectwo o własnej osobie zamiast obrazić moją.

  8. Gravatar Icon 8 Jacej z fejsbuka 10 lipca, 2010 o 00:53Cytuj Przeglądarka Mozilla Firefox 3.6.6 na Windows XP

    A co z prawem jazdy internetowym?
    Na portalu nasza-klasa użytkownicy i to wcale nie anonimowi publikują zdjęcia klasowe bez zgody osób fotografowanych! Jak to nasi prawnicy rozwiążą czy mam apelować do Unii Europejskiej lub do Europejskiego Trybunału Praw Człowieka? Przecież to łamanie podobizny i anonimowości w Internecie oraz osiągnięć edukacyjnych, które muszą być tajne i znane jedynie dla pracodawcy oraz osoby maskującej się i dbającej o bezpieczeństwo w sieci czy anonimowość! Przecież przez jednego głupiego użytkownika do zdjęć ze studniówek, szkolnych czy przedszkolnych mają dostęp zboczeńcy, wrogowie czy pedofile.
    Takiego bałaganu jak eNKejowcy to nawet pijany rowerzysta jadący z urwanym filmie po autostradzie czy wbijający na rondo nie zrobi choćby miał prawo jazdy na formułę 1 czy też rakietę!

Odpowiedz

Cytuj zaznaczony tekst