Już miałem tej notatki nie publikować ale artykuł z Gazeta.pl pt.: "GIODO: Dane osobowe w nasza-klasa.pl są bezpieczne" mnie rozbroił. "Ze wstępnych analiz wynika, że na portalu dane chronione są na bardzo wysokim poziomie". Zapewne przepisy danych osobowych nie mają nic wspólnego z rzeczywistością. Więc do dzieła...
16 stycznia w Faktach i innych programach telewizyjnych obejrzeliśmy informację o tym, że Nasza-Klasa ma zostać skontrolowana przez GIODO. Jeden z właścicieli Naszej-Klasy zapewniał że dane są bezpieczne, umieszczone i chronione w super nowoczesnej, poznańskiej serwerowni (w podziemiach Starego Browaru) - tylko co ma piernik do wiatraka ??
Dane 7 mln (prawie 8 mln) użytkowników, niestety każdy może sobie pobrać na swój własny komputer przy pomocy np. VPS za 5 $. Dane takie jak imię, nazwisko (często również rodowe), ukończona szkoła, zdjęcia, czasem numer telefonu i gg, nie są ukryte. Wątpię czy policja dysponuje lepszą bazą danych. Więc do dzieła :
Zaczynamy pobieranie od zalogowania się w serwisie. Wystarczy nam do tego curl.
curl_setopt($c, CURLOPT_URL, 'http://nasza-klasa.pl/login');
curl_setopt($c, CURLOPT_POST, 1);
curl_setopt($c, CURLOPT_POSTFIELDS,
'login=******&password=******');
Załóżmy, że formularz logowania przeszedł - otrzymujemy zwrot z identyfikatorem sesji np.
'nk_session=fssofsfX76bggfdfs3g9hBRge' coś takiego.
Ponownie wrzucamy to do curl'a
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_COOKIE, $cookie);
curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)");
Ameryki tutaj nie odkrywam. Wystarczy zwiększać ID użytkownika (n+1), filtrujemy stronę preg_match_all .... i mamy wszystkie dane o użytkowniku. Oto zaimportowane dane w exelowej tabelce:
Podstawowe błędy serwisu Nasza-Klasa:
źródło: hacking.pl
Redakcja
26 z Internetu
7904 artykuły
1719 tekstów
70 komentarzy
Wywrota.pl to interdyscyplinarny serwis społecznościowy zajmujący się kulturą. Jest jednym z pierwszych portali kulturalnych w polskim Internecie – działa od 1998 roku. W tym czasie otrzymał wiele prestiżowych nagród, m.in.: Papierowy Ekran…
|
curl_setopt($c, CURLOPT_URL, 'nasza-klasa.pl/login');
curl_setopt($c, CURLOPT_POST, 1);
curl_setopt($c, CURLOPT_POSTFIELDS,
'login=******&password=******');
i to:
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_COOKIE, $cookie);
curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1)");
Mam już pobranego Curla z: curl.haxx.se/download/libcurl-7.17.1-win32-nossl-s…
i nie wiem co dalej. Pomóżcie