Berta Sándor
SchülerVZ: egymillió személyes adat szivárgott ki
Újabb adatvédelmi botrány világított rá arra, hogy mennyire nem biztonságosak a közösségi portálok. Ismeretlen helyről valaki elküldte a Netzpolitik.org nevű blognak a SchülerVZ regisztrált felhasználóinak személyes információit.
Az egyik adatcsomagban több mint egymillió bejegyzés található. Ezek mindegyike egy nevet, profil- és iskolaazonosítót tartalmaz. Más adatcsomagokban a neveken kívül megtalálható az illető iskolájának neve, az adott személy kora és neme, valamint a digitális fotója is. A Netzpolitik.org üzemeltetője megpróbált megkeresni néhány a listán szereplő diákot és több esetben sikerrel járt.
Vagyis bebizonyosodott, hogy az oldal semmit sem tanult a SzudiVZ 3 évvel ezelőtti hibájából és nem igaz az a hivatalos állítás, miszerint: "A személyes adataid a mi szervereinken a legnagyobb védelemben vannak. Ennek köszönhetően nem olvashatók a Google és más keresők által, ezáltal nem bukkanhatnak fel a SchülerVZ rendszerén kívül.
Ha valamit töröltél, akkor az valóban kitörlődik a rendszerünkből."
Az eddigi vizsgálatok kiderítették, hogy az adatokat két hacker lopta el egymástól függetlenül, egy úgynevezett Cross Site Request Forgery (CSRF) hibát kihasználva. Az első hacker egy botnetet alkalmazott, amely a nyilvánosan hozzáférhető profilokban elérhető adatokat mentette le pillanatok alatt. a második elkövető szintén egy botnetet használt, de ő a StudiVZ és a MeinVZ hálózatát is támadta. A hibára már a támadás előtt egy héttel felhívták a SchülerVZ figyelmét, de az illetékesek a jelzést láthatóan nem vették komolyan. A portál technikusai csak a sikeres hackerakció után tettek lépéseket.
Kérdéses, hogy hány felhasználó személyes adatai szivárogtak ki ilyen módon. A második elkövető egy májusi blogbejegyzésében azt írta, hogy mindössze 4 óra alatt 48 000 profil összes adatait le tudta menteni. Emellett a YouTube-on is látható egy mindössze 12 másodperces, StudiVZ / SchülerVZ / MeinVZ Crawler című videó, ahol az illető bemutatja a folyamatot és az alkalmazott technikát.
Az érintett közösségi oldal közleményében kitért arra, hogy haladéktalanul értesítették az adatvédelmi hatóságokat és jogi lépéseket tesznek a feltételezett elkövetők ellen, akik egyébként maguk is regisztrál tagok és akik illegálisan másolták le mások személyes adatait. "Szeretnénk megköszönni a Netzpolitik.orgnak és Beckedahl úrnak a segítségét. Megkönnyebbültem, hogy tudom, a lemásolt információk nem kerültek rossz kezekbe" - jelentette ki Markus Berger-de León, a VZ hálózatok vezérigazgatója.
A szakemberek egyébként kiderítették, hogy az elkövető egy úgynevezett crawler programot írt, ami feltörte a védelmi rendszert és a használt CAPTCHA-megoldásokat, majd ezután könnyedén lementhette a profilok adatait.
Az egyik adatcsomagban több mint egymillió bejegyzés található. Ezek mindegyike egy nevet, profil- és iskolaazonosítót tartalmaz. Más adatcsomagokban a neveken kívül megtalálható az illető iskolájának neve, az adott személy kora és neme, valamint a digitális fotója is. A Netzpolitik.org üzemeltetője megpróbált megkeresni néhány a listán szereplő diákot és több esetben sikerrel járt.
Vagyis bebizonyosodott, hogy az oldal semmit sem tanult a SzudiVZ 3 évvel ezelőtti hibájából és nem igaz az a hivatalos állítás, miszerint: "A személyes adataid a mi szervereinken a legnagyobb védelemben vannak. Ennek köszönhetően nem olvashatók a Google és más keresők által, ezáltal nem bukkanhatnak fel a SchülerVZ rendszerén kívül.
Ha valamit töröltél, akkor az valóban kitörlődik a rendszerünkből."
Az eddigi vizsgálatok kiderítették, hogy az adatokat két hacker lopta el egymástól függetlenül, egy úgynevezett Cross Site Request Forgery (CSRF) hibát kihasználva. Az első hacker egy botnetet alkalmazott, amely a nyilvánosan hozzáférhető profilokban elérhető adatokat mentette le pillanatok alatt. a második elkövető szintén egy botnetet használt, de ő a StudiVZ és a MeinVZ hálózatát is támadta. A hibára már a támadás előtt egy héttel felhívták a SchülerVZ figyelmét, de az illetékesek a jelzést láthatóan nem vették komolyan. A portál technikusai csak a sikeres hackerakció után tettek lépéseket.
Kérdéses, hogy hány felhasználó személyes adatai szivárogtak ki ilyen módon. A második elkövető egy májusi blogbejegyzésében azt írta, hogy mindössze 4 óra alatt 48 000 profil összes adatait le tudta menteni. Emellett a YouTube-on is látható egy mindössze 12 másodperces, StudiVZ / SchülerVZ / MeinVZ Crawler című videó, ahol az illető bemutatja a folyamatot és az alkalmazott technikát.
Az érintett közösségi oldal közleményében kitért arra, hogy haladéktalanul értesítették az adatvédelmi hatóságokat és jogi lépéseket tesznek a feltételezett elkövetők ellen, akik egyébként maguk is regisztrál tagok és akik illegálisan másolták le mások személyes adatait. "Szeretnénk megköszönni a Netzpolitik.orgnak és Beckedahl úrnak a segítségét. Megkönnyebbültem, hogy tudom, a lemásolt információk nem kerültek rossz kezekbe" - jelentette ki Markus Berger-de León, a VZ hálózatok vezérigazgatója.
A szakemberek egyébként kiderítették, hogy az elkövető egy úgynevezett crawler programot írt, ami feltörte a védelmi rendszert és a használt CAPTCHA-megoldásokat, majd ezután könnyedén lementhette a profilok adatait.