16 stycznia w Faktach i innych programach telewizyjnych obejrzeliśmy informację o tym że nasza klasa ma zostać skontrolowana przez GIODO. Jeden z właścicieli nasze klasy zapewniał że dane są bezpieczne, umieszczone i chronione w super nowoczesnej serwerowni w ( podziemiach starego browaru) - tylko co ma piernik do wiatraka ??Dane 7 mln (prawie 8 mln) użytkowników, każdy niestety może sobie pobrać na swój własny komputer przy pomocy np. VPS za 5 $. Dane takie jak imię nazwisko ukończona szkoła zdjęcia i jak nie są ukryte, również numer telfonu i gg. Wątpię czy policja dysponuje lepszą bazą danych. Więc do dzieła :
Zaczynamy pobieranie od zalogowania się w serwisie. Wystarczy nam do tego curl.
curl_setopt($c, CURLOPT_URL, 'http://nasza-klasa.pl/login');
curl_setopt($c, CURLOPT_POST, 1);
curl_setopt($c, CURLOPT_POSTFIELDS, 'login=******&password=******');Załóżmy, że formularz logowania przeszedł - otrzymujemy zwrot z identyfikatorem sesji np.
'nk_session=fssofsfX76bggfdfs3g9hBRge' coś takiego. Ponownie wrzucamy to do Curlacurl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_COOKIE, $cookie);
curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)");
Ameryki tutaj nie odkrywam. Dalej to tylko zwiększamy sobie id użytkownika o jeden i stronę filtrujemy preg_match_all .... i mamy wszystkie dane o użytkowniku. Oto wyciągnięte dane w exelowej tabelce .
Podstawowe błędy naszej klasy :
- nadawanie kolejnych numerów użytkownikom zamiast losowych znaków
- brak możliwości zablokowania podglądu profilu (nie ma nawet takiej opcji)
- brak zabezpieczeń takich jak kody captcha uruchamiane np. po odwiedzeniu więcej niż 15 profili
- bardzo proste metody logowania ...
- wyszukiwanie po gg i skype istny raj ... wystarczy mi twój numer gg a powiem Ci jak wyglądasz
Jedynym atutem jest tylko i wyłącznie to że ich serwery strasznie zamulają i w rzeczywistości pojedyńcza osoba pobierze najwyżej kilkadziesiąt tysięcy rekordów. Ale co z zorganizowaną grupą ludzi posiadającą pieniądze dobre serwery (w tej samej serwerowni ;) ) ?? tutaj praktycznie żadne zabezpieczenia nie podziałają, tylko twoja ostrożność i traktowanie internetu na poważnie gwarantuje bezpieczeństwo. Mój post nic przecież nie zmieni - usprawni tylko TWOJE bezpieczeństwo. Sam właściciel n-k przyznał się że musiał zmienić nazwisko w serwisie, żeby obce osoby nie wnikały w jego prywatność.
Co należy robić by zachować odrobinę anonimowości ?
- lepiej umieszczać mniej danych o sobie niż więcej. Po co w naszej klasie umieszczać numer telefonu?? Czy na pewno znajomy z przed 20 lat zadzwoni ? podobnie z numerem gg...
- czy na pewno musisz podawać nazwisko ?? najlepiej zrobić skrót np. Anna W. przecież jak jesteś dopisany do swoich klas nie jest Ci ono tak naprawdę potrzebne
- podnieca Ciebie jak pół polski widzi twoje zdjęcie w stroju kąpielowym ??
Kontakt : ahri4Ha9dz@gmail.com
15 komentarzy:
Nie wiem czy widziałeś, ale Piotrek Konieczny już miesiąc temu opisywał jak wyciągać dane z NK, m.in. przy użyciu socjotechniki :)
http://blog.konieczny.be/2007/12/31/nasza-klasa-jak-chronic-swoje-dane-osobowe/
Po co się męczyć, jest już gotowa baza online
http://pierdolnieci.eu/nasza-klasa/ :)
Trafiłem tu z portalu hacking.pl - myślałem że piszą tam rozsądni ludzie, tym czasem ... no cóż - możliwe, że N-K nie ma super zabezpieczeń i te dane można jakoś wyciągnąć ... tylko pytanie czy warto się podniecać z tego powodu? Ja idę na pocztę i sięgam po książkę telefoniczną i mam podobna bazę, której nawet policja może mi pozazdrościć :)
Ludzie umieszczają tam dane na własną odpowiedzialność więc ja nie widzę powodu by sikać w majtki bo udało się komuś za 5$ przechwycić te informacje. Zaczął bym się bać, gdyby tego poziomu zabezpieczenie posiadały banki :) (np. centrum24.pl) Tymczasem nasza-klasa, fotka.pl itd - żadna rewelacja.
Co do posta o "gotowej bazie online" - albo ja nie umiem, albo to nie działa - bo nawet siebie nie udało mi się znaleźć :)
Pozdrawiam
I co z tego wynika ??.Tysiące firm i instytucji , urzędy ,banki poczta,grom wie kto jeszcze.. ma moje dane ,PEŁNE dane !!!!!!!!!!!! ,zdjęcia które dostarczyłem przy okazji wyrabiania różnych dokumentów!!!!!!!!( macie pewność że nikt tego nie wykorzystuje do niecnych celów ??? ) adres , telefon,itp Co miesiąc dostaję kilka imiennych przesyłek reklamowych.I co ztego ??Co mnie może gorszego spotkać ? Głupie komentarze przy moim profilu ?? nikt nikogo do niczego nie zmusza.A jak ktoś ma coś do ukrycia to jego sprawa.ŻEGNAM
LAME- jeśli wiesz co to znaczy, to się przyzwyczjaj...
Wyciągnałeś za 5$ bez wartościowe dane... LEpiej przeskanować książkę telefoniczną, i zczytać Katalog gg... będziesz miał więcej danych i cenniejsze, jak np. Adres Zamieszkania, póki co możesz powiązać to co JA ci udostępniłem i tylko z Tym co JA ci udostępniłem.
P.S. JA bym się na głównej stronie z adresem ahri4Ha9dz@gmail.com nie afiszował mniej to bezpieczne niż użytkowanie N-K.pl
do kef: w/g mnie pierdolniętym jest gościu który udostępnił taką stronę bo np siebie nie znalazłem więc jest tu ewidentne wprowadzanie ludzi w błąd.
Autor ahri4Ha9dz robi widły z igły, faktycznie jest taka mozliwość ale co z tego wynika że zdobędziesz czyjeś: imię, nazwisko, numer telefonu i GG oraz zdjęcie? Więc ahri4Ha9dz podaj mi przepis na przestępstwo, jak w/g Ciebie można z kogos zminic w ofiarę. Wiecej danych zostawiasz w byle jakim biurze obsługi gdzie kserują Twój dowód osobisty.
To jest typowe wprowadzenie masy w blad.
A czemu nie napiszesz, ze nasze bezpieczenstwo na n-k.pl zalezy tylko i wylacznie od nas ?
I oczywiste jest, ze jak ktos udostepni adres zamieszkania i status spoleczony to jest narazony na wlamanie.
Jak wyzej - z igly widly. A na stronie od kef'a tez siebie nie znalazlem, a na n-k jestem juz sporo :)
Ale się ludziska przypierdalacie.
Dla socjotechnika takie dane wiele są warte, ale jak się czegoś nie rozumie to trudno.
Nasza-klasa.pl wprowadziła pewien rodzaj... "zabezpieczeń". Aktualnie pobierając z jednego konta zbyt intensywnie zostajemy dodani do listy robotów, dla których dane są po prostu zmyślane, i tym sposobem mam kilku tomaszów hlebków, masę ludzi o pseudonimach żabka, mały, gruby i siwy. Wyszukiwarka działa, ale wchodząc na profil koleżanki ujżę profil "Tomasza Chlebka". Ciekawe jak zareagują na kilka proxy, 50 różnych kont i masę różnych user-agentów ;)
Pisanie czegoś takiego z kota "@" Google nie jest dobrym pomysłem. Warez, dziecięca pornografia ale "hackingu" nie puszczą płazem ;p
Jestem ciekaw czy da się wyciągnąć z Portalu N-K adresy e-mail?
Mam profil na naszej klasie ale prócz imienia, nazwiska, wieku i szkół nawet moi znajomi nie znają więcej. Jakby ktoś chciał numer. tel. to niech na prv napisze. Poza tym Ci co powinni mieć to mają mój numer. W życiu należy ufać tylko sobie. Trzeba dbać o swoją prywatność.
ZROBILAM DOKLADNIE TAK JAK JEST NAPISANE U CIEBIE T/Z NIE PODALAM NAZWISKA NIE PODALAM SZKOL PONIEWAZ NIE CHODZILAM DO POLSKICH SZKOL NIE PODALAM NICZEGO A NA DODATEK PARANOJA JEST TO ZE MAM NA IMIE ROZA WIEC PO ZABLOKOWANIU WSZYSTKIEGO CO JEST MOZLIWE (NAWET W WYSZUKIWARCE)NA SWOJEJ GLOWNYM ZDJECIE DALAM ROZE ZALOGOWANA JESTEM OD 5-dniI JUZ MNIE ZROBILI FIKCJA MALO TEGO NAWET DO WLASNYCH ZDJEC NIE MOGE DODAWAC KOMETARZY BO TEZ ZABLOKOWALI .PISZE DO NIECH I MOI BLISCY ZE NIE JESTEM ZADNA FIKCJA NAPISANE TEZ JEST ZE ODPOWIEC BEDZIE DO 48 GODZ MINELY JUZ 4-GODZ KIEDY MINAL ICH CZAS .ZASTANAWIEM SIE PO CO MI TO BYLO TYLKO ZA NAMOWA BLISKICH JESTEM NA N-KL ,TO JEST SMIESZNE I NIE BEDE PODAWALA IM ZADNYCH DANYCH TO JEST TYLKO DO DYSPOZYCJI MOICH BLISKICH -JESTEM NAPRAWDE ZLA BO JAKO FIKCJA MAM OGRANICZONY DOSTEP CO DO NIEKTORYCH .FAJNIE BY BYLO JAK BYS ODPISAL KIMKOLWIEK JESTES.B.C
zal mi was ludzie ...
Dobra robota moim zdaniem przydatne szczególnie jak ktoś z fikcyjnego konta nam dosrywa bo w realu nie moze a na koncie dane ukryte to mozna chociaz email wyciagnac zawsze jakas podpowiedz kto to:D
Prześlij komentarz