16 stycznia w Faktach i innych programach telewizyjnych obejrzeliśmy informację o tym że nasza klasa ma zostać skontrolowana przez GIODO. Jeden z właścicieli nasze klasy zapewniał że dane są bezpieczne, umieszczone i chronione w super nowoczesnej serwerowni w ( podziemiach starego browaru) - tylko co ma piernik do wiatraka ??
Dane 7 mln (prawie 8 mln) użytkowników, każdy niestety może sobie pobrać na swój własny komputer przy pomocy np. VPS za 5 $. Dane takie jak imię nazwisko ukończona szkoła zdjęcia i jak nie są ukryte, również numer telfonu i gg. Wątpię czy policja dysponuje lepszą bazą danych. Więc do dzieła :
Zaczynamy pobieranie od zalogowania się w serwisie. Wystarczy nam do tego curl.
curl_setopt($c, CURLOPT_URL, 'http://nasza-klasa.pl/login');
curl_setopt($c, CURLOPT_POST, 1);
curl_setopt($c, CURLOPT_POSTFIELDS, 'login=******&password=******');
Załóżmy, że formularz logowania przeszedł - otrzymujemy zwrot z identyfikatorem sesji np.
'nk_session=fssofsfX76bggfdfs3g9hBRge' coś takiego. Ponownie wrzucamy to do Curla
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_COOKIE, $cookie);
curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)");
Ameryki tutaj nie odkrywam. Dalej to tylko zwiększamy sobie id użytkownika o jeden i stronę filtrujemy preg_match_all .... i mamy wszystkie dane o użytkowniku. Oto wyciągnięte dane w exelowej tabelce .
Podstawowe błędy naszej klasy :
- nadawanie kolejnych numerów użytkownikom zamiast losowych znaków
- brak możliwości zablokowania podglądu profilu (nie ma nawet takiej opcji)
- brak zabezpieczeń takich jak kody captcha uruchamiane np. po odwiedzeniu więcej niż 15 profili
- bardzo proste metody logowania ...
- wyszukiwanie po gg i skype istny raj ... wystarczy mi twój numer gg a powiem Ci jak wyglądasz
Jedynym atutem jest tylko i wyłącznie to że ich serwery strasznie zamulają i w rzeczywistości pojedyńcza osoba pobierze najwyżej kilkadziesiąt tysięcy rekordów. Ale co z zorganizowaną grupą ludzi posiadającą pieniądze dobre serwery (w tej samej serwerowni ;) ) ?? tutaj praktycznie żadne zabezpieczenia nie podziałają, tylko twoja ostrożność i traktowanie internetu na poważnie gwarantuje bezpieczeństwo. Mój post nic przecież nie zmieni - usprawni tylko TWOJE bezpieczeństwo. Sam właściciel n-k przyznał się że musiał zmienić nazwisko w serwisie, żeby obce osoby nie wnikały w jego prywatność.
Co należy robić by zachować odrobinę anonimowości ?
- lepiej umieszczać mniej danych o sobie niż więcej. Po co w naszej klasie umieszczać numer telefonu?? Czy na pewno znajomy z przed 20 lat zadzwoni ? podobnie z numerem gg...
- czy na pewno musisz podawać nazwisko ?? najlepiej zrobić skrót np. Anna W. przecież jak jesteś dopisany do swoich klas nie jest Ci ono tak naprawdę potrzebne
- podnieca Ciebie jak pół polski widzi twoje zdjęcie w stroju kąpielowym ??
Kontakt : ahri4Ha9dz@gmail.com