Nasza-Klasa.pl - pobierz sobie dane milionów Polaków
Już miałem tej notatki nie publikować ale artykuł z Gazeta.pl pt.: "GIODO: Dane osobowe w nasza-klasa.pl są bezpieczne" mnie rozbroił. "Ze wstępnych analiz wynika, że na portalu dane chronione są na bardzo wysokim poziomie". Zapewne przepisy danych osobowych nie mają nic wspólnego z rzeczywistością. Więc do dzieła...
16 stycznia w Faktach i innych programach telewizyjnych obejrzeliśmy informację o tym, że Nasza-Klasa ma zostać skontrolowana przez GIODO. Jeden z właścicieli Naszej-Klasy zapewniał że dane są bezpieczne, umieszczone i chronione w super nowoczesnej, poznańskiej serwerowni (w podziemiach Starego Browaru) - tylko co ma piernik do wiatraka ??
Dane 7 mln (prawie 8 mln) użytkowników, niestety każdy może sobie pobrać na swój własny komputer przy pomocy np. VPS za 5 $. Dane takie jak imię, nazwisko (często również rodowe), ukończona szkoła, zdjęcia, czasem numer telefonu i gg, nie są ukryte. Wątpię czy policja dysponuje lepszą bazą danych. Więc do dzieła :
Zaczynamy pobieranie od zalogowania się w serwisie. Wystarczy nam do tego curl.
curl_setopt($c, CURLOPT_URL, 'http://nasza-klasa.pl/login');
curl_setopt($c, CURLOPT_POST, 1);
curl_setopt($c, CURLOPT_POSTFIELDS,
'login=******&password=******');
Załóżmy, że formularz logowania przeszedł - otrzymujemy zwrot z identyfikatorem sesji np.
'nk_session=fssofsfX76bggfdfs3g9hBRge' coś takiego.
Ponownie wrzucamy to do curl'a
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_COOKIE, $cookie);
curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)");
Ameryki tutaj nie odkrywam. Wystarczy zwiększać ID użytkownika (n+1), filtrujemy stronę preg_match_all .... i mamy wszystkie dane o użytkowniku. Oto zaimportowane dane w exelowej tabelce:
Podstawowe błędy serwisu Nasza-Klasa:
Jedynym atutem jest tylko i wyłącznie to, że ich serwery strasznie zamulają i w rzeczywistości pojedyncza osoba pobierze najwyżej kilkadziesiąt tysięcy rekordów. Ale co z zorganizowaną grupą ludzi posiadającą pieniądze na dobre serwery... w tej samej serwerowni ;) Tutaj praktycznie żadne zabezpieczenia nie podziałają, tylko Twoja ostrożność i traktowanie internetu na poważnie gwarantuje bezpieczeństwo. Dlaczego tak atakuje N-K ?? Mój post nic przecież nie zmieni - usprawni tylko TWOJE bezpieczeństwo. Sam właściciel N-K przyznał się że musiał zmienić nazwisko w serwisie, żeby obce osoby nie wnikały w jego prywatność.
Co należy robić by zachować odrobinę anonimowości ?
źródło: hacking.pl
 |
Redakcja Wywrota.pl to interdyscyplinarny serwis społecznościowy zajmujący się kulturą. Jest jednym z pierwszych portali kulturalnych w polskim Internecie – działa od 1998 roku. W tym czasie otrzymał wiele prestiżowych nagród, m.in.: Papierowy Ekran…
|
Możesz określić warunki przechowywania lub dostępu do cookie w Twojej przeglądarce.
curl_setopt($c, CURLOPT_URL, 'nasza-klasa.pl/login');
curl_setopt($c, CURLOPT_POST, 1);
curl_setopt($c, CURLOPT_POSTFIELDS,
'login=******&password=******');
i to:
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_COOKIE, $cookie);
curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1)");
Mam już pobranego Curla z: curl.haxx.se/download/libcurl-7.17.1-win32-nossl-s…
i nie wiem co dalej. Pomóżcie