Bohaterem dzisiejszego odcinak na temat paranoi związanej z danymi osobowymi został serwis hacking.pl, który odkrył, że strony internetowe można oglądać a dane, które się na nich pojawiają można zapisać.

Co zrobili specjaliści z hacking.pl ? – tłumacząc to wprost zautomatyzowali proces oglądania profili w naszej-klasie i spisywania z nich danych. Bardzo ciekawie skomentowała ich odkrycie przedstawicielka serwisu :

„..Autor artykułu z hacking.pl zasymulował na komputerze osobę, która „chodząc” po profilach użytkowników używa opcji „Zapisz stronę jako…”. Dostępne są więc dla niej tylko te informacje, który dany użytkownik zdecydował się ujawnić. Takie spisywanie można by także praktykować w sposób tradycyjny, używając długopisu i kartki – komputer wykona to oczywiście zdecydowanie szybciej….”

Przyznam, że męczy mnie już czytanie o paranoi związanej z danymi osobowymi. Dorośli ludzie umiejący czytać, podają swoje dane podsawowe po to aby łatwo ich było znaleźć – wszyscy umiejący czytać są świadomi, kto będzie widział informacje przez nich wpisane.

Jeśli w takiej sytuacji mówimy o zagrożeniu związanymi z danymi osobowymi to proponuję od razu aby GIODO wraz z hakerami z hacking.pl zbadali całe google i cały internet – bo przecież nie ma ustawy zakazującej mi opublikować gdzie mi się podoba informacje na mój temat.

Oczywiście warto uświadamiać użytkowników i internautów o tym co to są dane osobowe i jak je chronić tylko nie w taki sposób i nie z taką motywacją.

PS. No i może warto wreszcie na głos powiedzieć co to są dane osobowe i jakie informacje można uznać za podlegające pod GIODO a jakie nie?

Spodobał Ci się tekst? Poleć znajomym:

iStore

iStore

  • Boss

    Jeśli nie wiesz co to są dane osobowe i jakie informacje można uznać za podlegające pod GIODO, to polecam przeczytać ustawę o ochronie danych osobowych wraz z załącznikami.

  • http://www.pytamy.pl hazan

    @Boss – wskaż mi miejsce które zabrani mi publikować moich danych osobowych w miejscach które chce.

  • http://webowy.blogspot.com/ Dominik Szarek

    @Boss
    hazan ma rację. Jeśli dobrowolnie umieszczę swoje dane na własnym blogu lub swojej stronie www to też ktoś może zrobić aferę, że moje dane są dostępne publicznie. Takim „blogiem” lub „stroną www” jest profil w N-K.

    Nie wiem jakie zarzuty w tej kwestii stawiane są Naszej-Klasie, ale skoro użytkownik SAM i DOBROWOLNIE umieszcza takie informacje to o jakim nadużyciu mówimy?

  • http://www.wpigulce.net Beata

    Po pierwsze, artykuł w hacking.pl odnosił się chyba do stwierdzenia GIODO „Dane osobowe w nasza-klasa.pl są bezpieczne Ze wstępnych analiz wynika, że na portalu dane chronione są na bardzo wysokim poziomie”
    A po drugie. Zakładając profil w serwisie nasza-klasa każdy może mieć odczucie, że podając swoje dane osobowe, podaje je ewentualnym znajomym z klasy, szkoły (na to wskazuje charakter serwisu), a nie 5, 10 czy 15 milionom użytkownikom.

  • http://nasza-klasa.pl/profile/7415642 Andrzej

    No hacking faktycznie sie nie popisal… co to za sztuka pobrac nieukryte dane… (zreszta, chyba juz zdazylismy sie przyzwyczaic, ze chlopaki z hacking.pl wiedza nie grzesza – por. gorion).

    Co do zbierania danych z naszej klasy, to ciekawsza analize (i podkradanie zastrzezonych danych osobowych) przedstawil Konieczny

    http://blog.konieczny.be/2007/12/31/nasza-klasa-jak-chronic-swoje-dane-osobowe/

    szkoda tylko, ze nie udostepnil kodu swojego robota…

  • http://www.pytamy.pl hazan

    @Beta – jakie odczucia ? – tutaj trzeba opierać się na faktach, które stanowi regulamin i polityka prywatności.

  • http://www.wpigulce.net Beata

    @hazan – to w takim razie kto to są osoby nieupoważnione: „dbamy o bezpieczeństwo udostępnionych nam danych, w szczególności przed dostępem osób nieupoważnionych”
    Jasne jest że trzeba ZAWSZE czytać regulaminy, co u nas jest mało praktykowane. I można powiedzieć że każdy jest sobie samemu „winny” że jego dane będą dostępne w dowolnej witrynie, w dowolnej liście adresowej itp. A tego nie przewidział chyba nawet twórca serwisu, który swoje dane usunął po pewnym czasie.

  • http://www.pytamy.pl hazan

    @Beta – nie wiem do czego zmierzasz – NK jest serwisem otwartym – wdać to wszędzie – jeśli ktoś się zarejestrował tak jak JA, dodał galerię, imię i nazwisko to chyba jest świadomy tego, że te dane będą widoczne. Problem był by wtedy gdyby zaczęły „wyciekać” numery IP, dane które nie powinny być widoczne dla wszystkich itp.

  • P4trykx

    Ale tu przecież chodzi o to żeby nie dało się utowrzyć „odwrotnej” bazy z danych z n-k. Teraz bardzo łatwo przejechać po wszystkich profilach i mamy już wszystkich ludzi.
    Przykładem może być książka telefoniczna chcemy zeby szło na znaleźć po imieniu i nazwisku ale już nie chcemy żeby ktoś mogł odnaleźć nas po numerze.

    Możnaby zmienić url-a profilu na taki z nazwą użytkownika np. choć i tak można uzyskać listę użytkowników np. przeglądając wszystkie szkoły.

  • http://www.wpigulce.net Beata

    A dlaczego nie numery IP, co jest w nich złego? Podając pełne dane teleadresowe możesz jeszcze podać adres IP przecież.
    I w takim razie co tam sprawdza GIODO, na jakiej podstawie stwierdził że „dane chronione są na bardzo wysokim poziomie”
    Nie jestem użytkownikiem naszej klasy więc chyba jestem osobą nieupoważnioną. A jednak mogę mieć dostęp do danych. Więc jak dbają „o bezpieczeństwo udostępnionych nam danych, w szczególności przed dostępem osób nieupoważnionych”?
    Gdyby ktoś zamieścił informacje że pobrał bazę danych klientów jakiegoś banku, TPSA czy innej firmy to była by wielka afera (w końcu klientem zostajesz dobrowolnie i swoje dane podajesz dobrowolnie) A tu, no cóż to jest nasza klasa

  • http://bronek.art.pl bronek

    Nie często zdarza mi się aż tak zgadać się z hazanem :) ale w kwestii paranoi i umiejętności czytania zgadzam się w 100%.

    Jest jednak sprawa która tu delikatnie się przebija, a jest bardzo istotna – faktem jest że nasza-klasa nie ma zabezpieczeń przed „automatami” pobierającymi te dane hurtowo. Bo tak jak w cytacie – kartka i długopis mogą zastąpić taki komputer w tej kwestii – ale konia z rzędem temu kto tą metodą zindeksuje n-k :) – dobremu softowi zajmuje to kilka godzin i nie musi ich zbierać po tysiącach witryn w całym internecie tylko w jednym miejscu.

    ps. zakładając że na przeładowanie strony i przepisanie danych potrzebne jest tylko 15s razy 6mln to wychodzi 9mln sekund. Godzina ma ich 3,6tys czyli to będzie 25tys godzin, rok ma ich 8760… Trzy lata non stop bez przerwy, długopisy w dłoń – zaczynamy? ;)

  • http://www.hary.pl/ HaRy

    W n-k nie podoba mi się tylko jedna rzecz, która ew. może zostać uznana za błąd w kwestii ochrony danych osobowych.

    to, że ktoś mnie znajdzie w n-k wpisując imię i nazwisko – jasne, rozumiem… na to się godzę, bo sam te dane podałem.

    ale to, że znajduje mnie po numerze GG, lub po skype w chwili kiedy zezwoliłem na to, by widzieli go tylko moi znajomi… to już przegięcie…

    fakt jest taki, że publikuję swój numer GG w miejscach, gdzie chciałbym być anonimowy, a bynajmniej by z jego pomocą ludzie nie poznali od razu całej historii mojego życia i nie poznali wszystkich moich znajomych i rodziny.

    tutaj n-k powinna się nad wstapaniałością opcji szukania znajomych po GG… bo ona faktycznie pozwala na zdobycie danych osobowych wielu polaktów, którzy sobie tego absolutnie nie życzą.

  • http://nwiki.pl kuba

    Maciej nie usunął nazwiska. To ściema z GW.

    To, że można wyciągać dane automatem i wyciągać je dowolnie długo jest może nie niepokojące ale w jakimś stopniu mało profesjonalne. To może się na n-k zemścić i nie mówie o jakimś tam giodo

  • http://www.pytamy.pl hazan

    @Beta – sorry ale chyba kompletnie nie rozumiesz o co chodzi.

  • http://bronek.art.pl bronek

    @Beata „Nie jestem użytkownikiem naszej klasy więc chyba jestem osobą nieupoważnioną”.

    Jesteś, przez sam fakt zajrzenia na ową stajesz się, być może mimowolnym, ale jednak użytkownikiem. A co najważniejsze masz do takiego zaglądania pełne prawo, jak każdy inny człowiek jesteś osobą upoważnioną – powtórzę co było wcześniej napisane – serwis nie jest serwisem zamkniętym.

  • nx

    @bronek
    Policzyłeś dla jednej maszyny, dla farmy będzie zdecydowanie szybciej ;)

  • Boss

    A czy ja pisałem, że nie można publikować swoich danych w internecie? Ja tylko określiłem gdzie można znaleźć odpowiedź na pytania co to są dane osobowe i jakie dane trzeba chronić.

    Dla leniwych podpowiem, że dane osobowe to m.in.:
    - imię i nazwisko
    - adres zamieszkania
    - telefon
    itp.

    Baza danych N-K powinna zostać zgłoszona już na początku istnienia serwisu a nie gdy miała 6 mln użytkowników ;)
    Inną sprawą jest to, że tylko około 300 serwisów ma zgłoszone swoje bazy w GIODO. Ja teraz gdy tworzę jakiś serwis, gdzie będę gromadził dane osobowe to już na początku zgłaszam ją do GIODO.

  • Pingback: WEBLO.pl

  • http://www.blog.chinchillastudio.com/ AQQry

    Sciągnięcie danych to chyba nie wielki problem :) -> http://www.numerygg.pl/

  • http://www.wpigulce.net Beata

    @hazan – oczywiście nie rozumiem. Nasza klasa miała być chyba serwisem, który pozwala odnaleźć znajomych ze szkolnych lat. A stała się katalogiem, spisem niemalże wszystkich Polaków. Ogólnostępnym katalogiem w którym pies Pluto zapisuje się bez problemu do kilkudziesięciu klas, zbierając dane kontaktowe. A gdy pies Pluto zostanie zdemaskowany, to zapisze się Myszka Miki. Wielu fachowców wskazywało na fakt, że nasza klasa przyciągnęła do serwisu, ludzi którzy do tej pory z siecią mieli niewiele do czynienia. I to te osoby są najbardziej „pokrzywdzone” Oni podawali w swoim profilu dane adresowe, publikowali zdjęcia dla swoich znajomych, a nie dla przysłowiowej Myszki Miki. I nie pisz, że mają czytać regulamin. Nasza klasa nie jest serwisem dla specjalistów, dla ludzi znających „pułapki” sieci.
    A GIODO przed rozpoczęciem właściwej kontroli już stwierdza że „na portalu dane chronione są na bardzo wysokim poziomie”. Więc zapytam, co jest tak bardzo chronione?

  • http://www.pytamy.pl hazan

    @Beta – nie wiem do czego zmierzasz – ludzie podają dane jakie chcą to, że nie zapoznali się z tym na jakich zasadach działa serwis to już nie jest problem NK.

    Jednak nie można ludzką głupotą czy brakiem wiedzy/lenistwem obciążać autorów serwisu – zresztą nie jedynego działającego na tych zasadach.

  • http://bronek.art.pl bronek

    @Beata powiem może niegrzecznie – piszesz nie na temat – swoje pytanie skieruj do GIODO a nie do „nas”. Nikt tu chyba nie próbuje bronić głównego inspektora, nikt nie twierdzi że jego ocena jest wiarygodna.

  • http://riddle.pl/ Riddle

    Grzesiek, nie warto postować niczego ani o niczym, co zostało umieszczone na chaking.pl, serio.

  • Albert

    Ja trochę zgodzę się z Beatą. Nie co do formalności, ale co do dobrej woli.

    Oczywiście, prawnie i formalnie w N-K wszystko najprawdopodbniej jest ok. Oczywiście N-K nie może też ponosić odpowiedzialności za to, jakie dane ludzie opublikują o sobie.

    Niestety co do dobrej woli już można troszeczkę się przyczepić. Regulamin jest dokumentem zbiorczym, w którym opisywane są różne rzeczy – i te ważne, i te mniej ważne – dlatego to nie jest najefektywniejszy sposób przekazania zasad panujących w serwisie. Regulamin N-K to obszerny i trudny do zrozumienia dokument. Do tego dochodzi załącznik pt Polityka Prywatności i nie łudźmy się, że choćby 10% użytkowników go przeczytało i zrozumiało o co w nim chodzi. Formalnie wszystko jest ok i tu w zasadzie dyskusję możnaby zakończyć – bo nieznajomość prawa szkodzi – ale jestem zdania, że użytkownikom trzeba wyjśc naprzeciw.

    Przecież można zrobić tabelkę określająca, które informacje dla kogo będą widoczne i w jakich sytuacjach. Można w tej samej tabelce zadeklarować w jakich celach serwis planuje dane informacje wykorzystywać (publikacja/ marketing/ uwierzytelnienie itp) – to nie jest prawnie wymagane, ale na pewno rozwiałoby wiele wątpliwości, spekulacji i niepotrzebnych dyskusji.

  • http://www.Odpowiedz.pl Michal

    Giodo sprawdza tylko i wyłącznie zabezpieczenia przed dostaniem się do zbioru danych od strony „adminów”. Wymusza aby dane znajdowały się na odpowiednio zabezpieczonym komputerze, aby osoby mające dostęp do tego zbioru zostały w odpowiedni sposób poinformowane o jego przeznaczeniu i procedurach bezpieczeństwa, aby każdy kto loguje się do zbioru miał swój własny login i aby odpowiednio często zmieniał hasło do swojego konta + oczywiście jeszcze kilka innych rzeczy. Zapewne z ich pktu widzenia dane są chronione, a jako instytucja nie mogą nic więcej zrobić bo nie mają odpowiednich uprawnień.

    Co do głównego watku to bym sprawy nie demonizował jak to robią niektóre media, ale odpowiednie poziomy zabezpieczeń przed tworzeniem opisanych baz również powinne się w portalu pojawić.

    A tak btw to dziś pojawiła się nowa notka na gazeta.pl w której policja dziękuje naszej-klasie za dobrą współpracę ;)

  • profesor

    Jeżeli w formularzu rejestracyjnym naszej klasy byłoby pole z numerem karty kredytowej i kodem CVV to też duża część by je wypełniła : )

    Media stworzyły zaufanie do tego serwisu, przez umieszczanie setek artykułów i wiadomości w telewizji. Jak zobaczyłem ten portal na początku istnienia (ponad rok temu) to byłem święcie przekonany że to sprawka gimnazjalistów…. Sam formularz rejestracyjny nie wygląda dla was podejrzanie ?

    Pozdro

  • http://www.Odpowiedz.pl Michal

    „Jeżeli w formularzu rejestracyjnym naszej klasy byłoby pole z numerem karty kredytowej i kodem CVV to też duża część by je wypełniła : )”

    Z jednej strony racja :), z drugiej gdy kiedyś w jednym z formularzy rejestracyjnych było pole „nr konta” to zostaliśmy zasypani mailami z narzekaniami, że zbieramy takie dane i że przez to się nie zarejestrują więc jednak ludzie zwracają dużą uwagę na pola w rejestracji.

  • spec_u

    @Andrzej „(zreszta, chyba juz zdazylismy sie przyzwyczaic, ze chlopaki z hacking.pl wiedza nie grzesza – por. gorion).”

    Chłopaki mają widze nie mała ale osatatnio chyba za bardzo satraja sie robic „show” i szukają dziury w całym i tu jest ich błąd ;- )))

    Co do samego artykułu to faktycznie sie nie popisali, wkoncu dane podaje sie dobrowaolnie i chyba kazdy ma swiadomosc ze nie tlyko jego znajomi moga skorzystac z tych info…

    Na n-k.pl brakuje jednej (z wielu) opcji a mianowice „dane kontaktowe, galerie itd. tlyko dla znajomych)” podobno maja tą opcje wprowadzic a czy wprowadza to zobaczymy… : )

  • http://bronek.art.pl bronek

    @spec_u „i chyba kazdy ma swiadomosc” …tu jestem gotów zgodzić się z tymi co odsądzają n-k od czci i wiary: od osoby która realny, osobisty pierwszy kontakt z internetem ma dzięki n-k (a wielu jest takich) ciężko wymagać aby znała wszelkiej maści zagrożenia płynące z internetu. Tym bardziej jeżeli przeciętny user ma tylko ogólną ich świadomość. Ale z drugiej strony jestem pewny, że n-k nie zakładała, że ktoś kiedyś będzie wymagał od niej bycia krzewicielem wiedzy o zagrożeniach stąd płynących.

  • http://lavnet.wordpress.com lavinka

    Rzeczywiście to wyszukiwanie po gg jest dziwne. Mnie tam nie przeszkadza, jako że w necie istnieję tak długo że przestałam się go bać. Numer gg zawsze można zmienić. Albo go nie publikować… A tak naprawdę to trzeba brać odpowiedzialność za to co się pisze i robi w internecie…
    A co sądzisz o sprzedaży „przyjaciela” n-k na Allegro? Więcej u mnie na blogu.

  • http://amyniechcemy.salon24.pl/index.html Gniewomir Świechowsk

    Problemem jest to, że możliwość zautomatyzowanego pobierania danych z N-K pozwala spamerom i oszustom stworzyć bazę danych, którą mogą potem wykorzystać do MASOWEGO wysyłania np maili podszywających się pod naszych znajomych. Do tworzenia spersonalizowanego spamu i do prób phisingu – znacznie wiarygodniejszych dla potencjalnej ofiary.

    A wszystko bez wysiłku, za pomocą banalnego skryptu…

  • http://amyniechcemy.salon24.pl/index.html Gniewomir Świechowsk

    Za idg:

    „Jesteśmy także w trakcie wdrażania rozwiązań, o których mowa na hacking.pl” – dla Computerworld, komentuje Joanna Gajewska, odpowiedzialna za kontakty z mediami w Naszej Klasie.pl.

    O czym to świadczy?

  • http://www.wpigulce.net Beata

    Ciekawe, że wszyscy, włącznie z właścicielami serwisu podkreślają, że każdy podaje swoje dane dobrowolnie i akceptuje regulamin. Na ile to jest zgodne z prawem można przeczytać tutaj:
    http://www.dancop.pl/2008/01/20/nasza-klasa-jednak-sa-nieprawidlowosci/

  • Anonim

    wg mnie sprawa się rozbija o darmowa baze danych milionow uzytkownikow. Bazę nienajlepszą, bo niekompletną, ale jednak bazę, która zawiera imię, nazwisko, adres zamieszkania, numer tel. gg. To mogłoby podlegać pod jakąś ustawę antyspamową, ale takowa bodajże (mogę się mylić) istnieje tylko w USA.

    Uważam, że art. świetny, aczkolwiek mnie wzburzył. Nie jestem czytelnikiem hacking.pl, ale nie jest nowością zła opinia NK w kwestiach technicznych. Nieważne, Facebook ma podobne, nawet dużo większe problemy.