Natrafiłem dzisiaj na artykuł w serwisie Hacking.pl poświęconykwestii ochrony (a raczej, jak usiłuje udowodnić autor - jej braku)danych osobowych zgromadzonych w bazie chyba bezsprzecznienajpopularniejszego ostatnio serwisu społecznościowego w Polsce -nasza-klasa.pl. Problem faktycznie istnieje,jak w każdym tego typu przedsięwzięciu, a jego skala zwiększa sięwraz ze wzrostem liczby użytkowników - ta zaś wydaje się rosnąć wtempie geometrycznym. Czytałem sporo komentarzy na temat słabychzabezpieczeń Naszej-Klasy i odniosłem wrażenie, że szum zrobionysztucznie wokół tej sprawy zaczyna już być uciążliwy i niestrawnydla świadomych użytkowników Internetu, a co dopiero dla osobykompletnie niezorientowanej (a jak w grę wchodzi osiem milionówinternautów, to trzeba jednak mimo wszystko zakładać, że większośćma niewielkie lub nawet żadne pojęcie o Internecie).
Do rzeczy. Na temat słabychzabezpieczeń Naszej-Klasy pisało już wiele serwisów. LubięHacking.pl i często go odwiedzam, akurat dzisiaj przeczytałem tamartykuł na ten temat więc pozwolę sobie właśnie do niego sięodwołać i porównać ze swoją opinią. Autor tego artykułu opisałrzeczywiście banalną metodę na uzyskanie grubego arkusza Excela ztakimi informacjami jak imię, nazwisko (także rodowe), numertelefonu czy Gadu-Gadu użytkowników Naszej-Klasy. Do pobrania tychdanych używany jest skrypt i tekstowy klient HTTP. Gdyby do tegoskryptu dopisać parę linijek i poświęcić kilka, nawet nie chcęstrzelać ile, gigabajtów to oprócz wspominanego arkusza Excelazapewne można by jeszcze uzyskać folder z ładnie skatalogowanymrepozytorium zdjęć kilku milionów osób. Dramaturgii w artykuledodaje zdanie z początku, które mówi, że być może nawet Policja nieposiada tak dobrych baz danych, jakie każdy może sobie sam pobrać wdomowym zaciszu. O zgrozo! Problem (na szczęście!) w tym, że możliwość pobrania tych danychnie wynika z architektury serwisu Nasza-Klasa, jej błędówzabezpieczeń, dziur czy nieporadności programistów. Sytuacja tawynika z tego, że każdy podczas rejestracji podaje jakieś dane idecyduje, które mogą być widoczne publicznie, a które nie. Z regułypublicznie podaje się imię i nazwisko oraz ukończone szkoły (defacto, nie ma opcji ukrycia tych danych), ale już numer telefonuczy Gadu-Gadu można swobodnie zastrzec tylko dla znajomych. I tudochodzimy do meritum - wspomnianym przez Hacking.pl sposobem dasię, owszem, stworzyć skoroszyt Excela z milionami rekordów, alezawierających tylko te dane, które są normalnie widoczne dlakażdego na stronach serwisu. Skrypt, o którym pisałem wyżej nierobi bowiem nic innego, jak wchodzi do profilu kolejnegoużytkownika i zapisuje te dane, które tam zobaczy. I tak pojęcie "włamania" staje się po prostu "czytaniem z ekranu",a problem "słabych zabezpieczeń" przechodzi w kwestię "podawania(może zbyt?) dużej ilości danych osobowych w Internecie przezinternautów". Jest to problem, który dotyczy nie tylkoNaszej-Klasy, ale wszystkich serwisów na świecie, gdzie rejestrująsię ludzie i gdzie można oglądać ich profile. Wydaje mi się jednak,że prezentowanie publicznie danych, które użytkownik samopublikował na stronie swojego profilu nie powinno interesowaćGeneralnego Inspektora Ochrony Danych Osobowych (a takie wrażeniemożna odnieść po lekturze wspominanego artykułu). Można więc tylkoapelować do użytkowników, aby zachowali umiar i nie podawali wInternecie tych danych, których normalnie nie podaliby nieznajomemuczłowiekowi na ulicy. Chciałbym zawrzeć w podsumowaniu prosty, ale ważny wniosek - nikt wInternecie nie jest anonimowy i jeśli ktoś tak uważa, nie powinienw ogóle dotykać klawiatury. Sam też mam konto w Naszej-Klasie, choćz racji mojego wieku kolegów ze szkolnej ławy, nawet ze szkołypodstawowej, pamiętam jeszcze dość dobrze, a z większością nadalczęsto się widuję. Uznałem to po prostu za ciekawą rozrywkę. Nieboję się jednak podać linka do swojego profilu, bo i tak każdy mógłbygo sam odnaleźć. Nie boję się między innymi dlatego, że nie wrzucamtam nagich zdjęć i nie ujawniam na publicznym forum swoich (a tymbardziej nie swoich) szkolnych sekretów. Nie boję się równieżdlatego, że choć podałem swój numer telefonu i Gadu-Gadu, tozastrzegłem te informacje tylko dla członków moich klas (choćoczywiście potencjalnie zawsze ktoś może te dane wykraść - tak jaki włamać do mojego konta bankowego). Nie twierdzę, że zabezpieczenia Naszej-Klasy są nie do przejściadla osoby zdeterminowanej do kradzieży danych. Uważam jednak, żenie ma co podniecać się samym faktem, że w jednym miejscu możnaznaleźć osiem milionów nazwisk i informacji, które ktoś, czującwidocznie wielką potrzebę, dobrowolnie podał całemu światu.
