Berta Sándor

SchülerVZ: egymillió személyes adat szivárgott ki

Újabb adatvédelmi botrány világított rá arra, hogy mennyire nem biztonságosak a közösségi portálok. Ismeretlen helyről valaki elküldte a Netzpolitik.org nevű blognak a SchülerVZ regisztrált felhasználóinak személyes információit.

Az egyik adatcsomagban több mint egymillió bejegyzés található. Ezek mindegyike egy nevet, profil- és iskolaazonosítót tartalmaz. Más adatcsomagokban a neveken kívül megtalálható az illető iskolájának neve, az adott személy kora és neme, valamint a digitális fotója is. A Netzpolitik.org üzemeltetője megpróbált megkeresni néhány a listán szereplő diákot és több esetben sikerrel járt.

Vagyis bebizonyosodott, hogy az oldal semmit sem tanult a SzudiVZ 3 évvel ezelőtti hibájából és nem igaz az a hivatalos állítás, miszerint: "A személyes adataid a mi szervereinken a legnagyobb védelemben vannak. Ennek köszönhetően nem olvashatók a Google és más keresők által, ezáltal nem bukkanhatnak fel a SchülerVZ rendszerén kívül.
Ha valamit töröltél, akkor az valóban kitörlődik a rendszerünkből."

Az eddigi vizsgálatok kiderítették, hogy az adatokat két hacker lopta el egymástól függetlenül, egy úgynevezett Cross Site Request Forgery (CSRF) hibát kihasználva. Az első hacker egy botnetet alkalmazott, amely a nyilvánosan hozzáférhető profilokban elérhető adatokat mentette le pillanatok alatt. a második elkövető szintén egy botnetet használt, de ő a StudiVZ és a MeinVZ hálózatát is támadta. A hibára már a támadás előtt egy héttel felhívták a SchülerVZ figyelmét, de az illetékesek a jelzést láthatóan nem vették komolyan. A portál technikusai csak a sikeres hackerakció után tettek lépéseket.

Kérdéses, hogy hány felhasználó személyes adatai szivárogtak ki ilyen módon. A második elkövető egy májusi blogbejegyzésében azt írta, hogy mindössze 4 óra alatt 48 000 profil összes adatait le tudta menteni. Emellett a YouTube-on is látható egy mindössze 12 másodperces, StudiVZ / SchülerVZ / MeinVZ Crawler című videó, ahol az illető bemutatja a folyamatot és az alkalmazott technikát.

Az érintett közösségi oldal közleményében kitért arra, hogy haladéktalanul értesítették az adatvédelmi hatóságokat és jogi lépéseket tesznek a feltételezett elkövetők ellen, akik egyébként maguk is regisztrál tagok és akik illegálisan másolták le mások személyes adatait. "Szeretnénk megköszönni a Netzpolitik.orgnak és Beckedahl úrnak a segítségét. Megkönnyebbültem, hogy tudom, a lemásolt információk nem kerültek rossz kezekbe" - jelentette ki Markus Berger-de León, a VZ hálózatok vezérigazgatója.

A szakemberek egyébként kiderítették, hogy az elkövető egy úgynevezett crawler programot írt, ami feltörte a védelmi rendszert és a használt CAPTCHA-megoldásokat, majd ezután könnyedén lementhette a profilok adatait.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • KillerBee #2
    Pontosan úgy van, ahogy mondod, csak minden irónia nélkül.

    "Szeretnénk megköszönni a Netzpolitik.orgnak és Beckedahl úrnak a segítségét. Megkönnyebbültem, hogy tudom, a lemásolt információk nem kerültek rossz kezekbe"

    Az idióta, köszönje inkább a "hackereknek". Az adatok már akkor rossz kezekbe kerültek, amikor a felhasználók regisztráltak a SchülerVZ-en. A "hackerek" akár nyilvánosságra is hozhatták volna az összes adatot, de nem tették, ezzel bizonyítva jószándékukat.
  • Commandante #1
    "A hibára már a támadás előtt egy héttel felhívták a SchülerVZ figyelmét"

    A jótékony hacker nem megzsarolta az oldal üzemeltetöit, hanem "felhívta a hibára a figyelmüket". Aha, persze. Én meg a mikulás vagyok...