Ochrona danych a serwisy społecznościowe
2008-10-31 13:15
Przeczytaj także: Portale społecznościowe: bądź ostrożny
fot. mat. prasowe
Arkusz Excela zawierający dane osobowe z serwisu nasza-klasa.pl
Na pierwszy rzut oka mogłoby się wydawać, że rzeczywiście miało tu miejsce duże niedociągnięcie ze strony GIODO, skoro udało się wyciągnąć tyle informacji. Sytuacja staje się jednak bardziej klarowna, kiedy przyjrzymy się sposobowi, w jaki działa program cURL, oraz uzyskanym przy jego pomocy danym. Jak wcześniej wspomniał Macieja Ziarka, program pozwala przy użyciu odpowiedniej składni wysłać lub pobrać formularz z serwera. Oznacza to, że atakujący wszedł w posiadanie jedynie informacji, które są w portalu nasza-klasa.pl ogólnodostępne z poziomu zwykłego użytkownika. Jeżeli ktoś podał jedynie imię i nazwisko i żadnych dodatkowych informacji, to tylko to znalazłoby się w tej tabeli Excela. Fakt ten potwierdzony jest także przez zespół naszej-klasy.pl.
Zatem w tym przypadku nie można mówić o wycieku danych osobowych sensu stricte. Nikt nie wejdzie w posiadanie naszego maila, jeśli nie jest upubliczniony, czy ukrytych danych kontaktowych, jak nr komunikatora czy telefonu komórkowego. Jednak reakcja mediów była błyskawiczna, a prostowanie tego doniesienia najczęściej ograniczało się do dopisywania komentarzy pod newsami przez bardziej świadomych sytuacji użytkowników.
Autor artykułu "Pokaż swoje konto, a powiem Ci kim jesteś..." podaje, że podobna sytuacja miała miejsce już wcześniej (styczeń 2007), lecz dotyczyła serwisu Grono.net. Sprawa dotyczyła danych osobowych, które zostały zindeksowane przez Google, a tym samym stały się dostępne dla każdego, nawet niezarejestrowanego na portalu Grono.net internauty. Zaczęło się od publikacji artykułu w serwisie wiadomości24, w którym autor po wpisaniu frazy Grono.net do wyszukiwarki Google otrzymał dane osobowe użytkowników, nazwiska, telefony, adresy e-mail itd. Nie da się zaprzeczyć, że takie dane dostępne z poziomu wyszukiwarki stanowią niekontrolowany wyciek, a więc błąd. Jakby było tego mało, pojawiły się także informacje, że za pomocą Google można się także dostać do skrzynek wiadomości serwisu. Grono.net sprawę potraktowało poważnie. W końcu ustalono przyczynę takiego stanu rzeczy.
We fragmencie oświadczenia zarządu Grono.net możemy przeczytać:
"Co się stało?
W wyszukiwarce Google w wyniku błędu skryptu indeksującego znalazły się informacje o użytkownikach grono.net, które normalnie dostępne są dla innych użytkowników grono.net a nie dla wszystkich internautów. Są to informacje, które użytkownicy sami zdecydowali się uczynić publicznymi dla innych członków grono.net. Ani ich charakter, ani zakres nie powodował żadnego zagrożenia - np. uzyskania dostępu do poczty czy przejęcia konta użytkownika. Przyczyna usterki została przez grono.net usunięta. Zwróciliśmy się także do Google o usunięcie w trybie ekspresowym z wyszukiwarki wszystkich informacji pochodzących z grono.net.
Jakie dane znalazły się w Google?
Skrypt indeksujący Google Bot był zarejestrowany w serwisie grono.net jako zwykły użytkownik i miał dostęp wyłącznie do widocznych publicznie danych - tych samych do jakich dostęp mają wszyscy użytkownicy grono.net. Dostępne były więc dane, które sam użytkownik zdecydował się ujawnić innym uczestnikom grono.net. Nie znalazły się w Google zastrzeżone dane konta użytkownika, hasła itd. Nie zostały także ujawnione dane, które użytkownik uczynił dostępnymi np. wyłącznie znajomym. Google Bot nie indeksował także ukrytych gron, ani żadnych innych informacji, których członkowie społeczności grono.net nie chcieli ujawnić. Zindeksowane zostały więc wyłącznie informacje widoczne dla każdego z miliona użytkowników serwisu. W okresie współpracy reklamowej z systemem Google, skrypt zindeksował jedynie ok. 15% profili użytkowników grono.net."
oprac. : eGospodarka.pl