środa, 23 stycznia 2008

Pobierz sobie dane z naszej klasy!

Po przeczytaniu artykułu o naszej-klasie http://wiadomosci.gazeta.pl/Wiadomosci/1,80269,4859693.html -> "ze wstępnych analiz wynika, że na portalu dane chronione są na bardzo wysokim poziomie" hehehe Zapewne przepisy danych osobowych osobowych nie mają nic wspólnego z rzeczywistością. Więc do dzieła ....

16 stycznia w Faktach i innych programach telewizyjnych obejrzeliśmy informację o tym że nasza klasa ma zostać skontrolowana przez GIODO. Jeden z właścicieli nasze klasy zapewniał że dane są bezpieczne, umieszczone i chronione w super nowoczesnej serwerowni w ( podziemiach starego browaru) - tylko co ma piernik do wiatraka ??

Dane 7 mln (prawie 8 mln) użytkowników, każdy niestety może sobie pobrać na swój własny komputer przy pomocy np. VPS za 5 $. Dane takie jak imię nazwisko ukończona szkoła zdjęcia i jak nie są ukryte, również numer telfonu i gg. Wątpię czy policja dysponuje lepszą bazą danych. Więc do dzieła :

Zaczynamy pobieranie od zalogowania się w serwisie. Wystarczy nam do tego curl.

curl_setopt($c, CURLOPT_URL, 'http://nasza-klasa.pl/login');
curl_setopt($c, CURLOPT_POST, 1);
curl_setopt($c, CURLOPT_POSTFIELDS, 'login=******&password=******');

Załóżmy, że formularz logowania przeszedł - otrzymujemy zwrot z identyfikatorem sesji np. 'nk_session=fssofsfX76bggfdfs3g9hBRge' coś takiego. Ponownie wrzucamy to do Curla
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_COOKIE, $cookie);
curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)");



Ameryki tutaj nie odkrywam. Dalej to tylko zwiększamy sobie id użytkownika o jeden i stronę filtrujemy preg_match_all .... i mamy wszystkie dane o użytkowniku. Oto wyciągnięte dane w exelowej tabelce .

Podstawowe błędy naszej klasy :

  • nadawanie kolejnych numerów użytkownikom zamiast losowych znaków

  • brak możliwości zablokowania podglądu profilu (nie ma nawet takiej opcji)

  • brak zabezpieczeń takich jak kody captcha uruchamiane np. po odwiedzeniu więcej niż 15 profili

  • bardzo proste metody logowania ...

  • wyszukiwanie po gg i skype istny raj ... wystarczy mi twój numer gg a powiem Ci jak wyglądasz


Jedynym atutem jest tylko i wyłącznie to że ich serwery strasznie zamulają i w rzeczywistości pojedyńcza osoba pobierze najwyżej kilkadziesiąt tysięcy rekordów. Ale co z zorganizowaną grupą ludzi posiadającą pieniądze dobre serwery (w tej samej serwerowni ;) ) ?? tutaj praktycznie żadne zabezpieczenia nie podziałają, tylko twoja ostrożność i traktowanie internetu na poważnie gwarantuje bezpieczeństwo. Mój post nic przecież nie zmieni - usprawni tylko TWOJE bezpieczeństwo. Sam właściciel n-k przyznał się że musiał zmienić nazwisko w serwisie, żeby obce osoby nie wnikały w jego prywatność.

Co należy robić by zachować odrobinę anonimowości ?

  • lepiej umieszczać mniej danych o sobie niż więcej. Po co w naszej klasie umieszczać numer telefonu?? Czy na pewno znajomy z przed 20 lat zadzwoni ? podobnie z numerem gg...

  • czy na pewno musisz podawać nazwisko ?? najlepiej zrobić skrót np. Anna W. przecież jak jesteś dopisany do swoich klas nie jest Ci ono tak naprawdę potrzebne

  • podnieca Ciebie jak pół polski widzi twoje zdjęcie w stroju kąpielowym ??



Kontakt : ahri4Ha9dz@gmail.com