Nasza-Klasa.pl: Dane milionów Polaków do wzięcia
Jeśli chcemy szybko pobrać dane milionów Polaków z najpopularniejszego polskiego serwisu społecznościowego, nie musimy wykonywać mrówczej pracy odwiedzania profili. Dzięki zastosowanej w serwisie postaci adresów wystarczy ogólnodostępne narzędzie - podaje hacking.pl.
Sposób na pobranie danych z serwisu Nasza-Klasa.pl został zaprezentowany przez redakcję serwisu hacking.pl. Jak zaznaczają autorzy materiału, nie jest to "odkrywanie Ameryki", a raczej zwrócenie uwagi na pewne niedociągnięcia w serwisie.
Głównym problemem - według hacking.pl - jest to, że Nasza-klasa przydziela użytkownikom kolejne numery. Strona profilu każdego użytkownika ma adres o takiej postaci:
http://nasza-klasa.pl/profile/[numer użytkownika]
Wiedząc o tym wystarczy polecić odpowiedniemu programowi, aby pobierał te dane z kolejnych profilów, których adresy da się łatwo przewidzieć (n+1). Pozyskane informacje robią wrażenie - imiona, nazwiska (często również rodowe), ukończona szkoła, czasem numer telefonu i GG.
Redakcja hacking.pl zauważa, że Nasza-Klasa.pl powinna raczej nadawać użytkownikom losowe znaki zamiast kolejnych numerów. Dobrze byłoby również udostępnić opcję zablokowania podglądu profilu dla nieznajomych i wprowadzić dodatkowe zabezpieczenia, takie jak kody captcha uruchamiane np. po odwiedzeniu więcej niż 15 profili.
Wysłaliśmy e-mail do przedstawicieli Naszej-Klasy z pytaniem o to, czy zastosują się do rad hacking.pl. Czekamy na odpowiedź.
Internautom Hacking.pl radzi m.in. zastanowić się nad tym, czy umieszczanie w serwisie numeru telefonu i pełnego nazwiska rzeczywiście ma sens.
Więcej informacji w hacking.pl: Nasza-Klasa.pl - pobierz sobie dane milionów Polaków
AKTUALIZACJA
Joanna Gajewska z serwisu Nasza-Klasa.pl udzieliła w tej sprawie następującego komentarza:
Autor artykułu z hacking.pl zasymulował na komputerze osobę, która "chodząc" po profilach użytkowników używa opcji "Zapisz stronę jako...". Dostępne są więc dla niej tylko te informacje, który dany użytkownik zdecydował się ujawnić. Takie spisywanie można by także praktykować w sposób tradycyjny, używając długopisu i kartki - komputer wykona to oczywiście zdecydowanie szybciej. Zespół Naszej-Klasy posługuje się wieloma mechanizmami, które pozwalają zweryfikować czy po serwisie porusza się prawdziwy człowiek czy maszyna. Jesteśmy także w trakcie wdrażania rozwiązań, o których mowa na hacking.pl