Berta Sándor
1,6 millió kiskorú adatait szerezték meg a SchülerVZ rendszeréből
Úgy tűnik, hiába figyelmeztetik az adatvédelmi szakemberek folyamatosan a közösségi portálokat a biztonság növelésére, jelzéseik süket fülekre találnak.
A SchülerVZ Németország vezető közösségi portálja, 5 millió tagja van. Az oldalt az elmúlt években folyamatosan bírálták az elégtelen adatvédelem miatt a szakemberek, kevés sikerrel. Ugyan a cég megszerezte a TÜV adatbiztonsági minősítését, de a botrányt ennek ellenére sem kerülhette el. A legújabb ügy részleteit a Netzpolitik.org hozta nyilvánosságra. A blogot Florian Strankowski, a lüneburgi Leuphana Egyetem munkatársa értesítette arról, hogy egy úgynevezett crawler program segítségével sikerült megszereznie 1,6 millió (!) kiskorú személy adatait, amiket különösebb nehézségek nélkül töltött le a SchülerVZ rendszeréből. A szakember az adatcsomagokat el is küldte Markus Beckedahlnak, a Netzpolitik.org üzemeltetőjének.
A módszer azon a tényen alapul, hogy a felhasználók csoportokba sorolhatók. Hiába ad meg valaki személyes adatokat a profiljában és hiszi azt, hogy ezek védettek az illetéktelen hozzáférésekkel szemben, mivel sokan tagjai bizonyos felhasználói csoportoknak, így könnyen beazonosíthatók. Megszerezhetők többek között az adott személyek nevei, iskolai végzettségeire utaló információk, iskolai azonosítószámai és a képeire mutató hivatkozások.
Az adatok megszerzését megkönnyítette, hogy sok profil létrehozója nem a biztonságos beállításokat használta. Így elérhetők a korra, a nemre, az osztályokra, a hobbikra, a kapcsolatokra, a politikai beállítottságra, a kedvenc tantárgyakra, a zenei ízlésre, a filmekre és könyvekre vonatkozó információk is, Emellett megállapítható, hogy ki mióta tagja a közösségi portálnak és hogyan vélekedik magáról.
"Az volt a motivációm, hogy mindenféle interjú és állásfoglalás ellenére is bebizonyítsam, a VZ semmit sem tett azért, hogy a felhasználói személyes adatait hatékonyan megvédje. Emellett be akartam mutatni azt is, hogy a TÜV minősítése önmagában ugyan szép, de semmit sem ér. Az emberek adatai sosem voltak és nem is lesznek biztonságban a crawler szoftverek elől. Két levelet is küldtem a cégnek és felhívtam a figyelmüket a biztonsági résekre. Választ azóta sem kaptam. Ezután kerestem meg a blogodat, hogy rávilágítsak a problémára" - nyilatkozta Strankowski.
Florian Strankowski hozzátette: "Az eljárás során minden lépésemet dokumentáltam. Elemeztem az oldalak forráskódjai mellett a belépési, kijelentkezési és profillekérdezési folyamatokat. Minden részletet feljegyeztem, majd 10 oldalon keresztül leírtam egy program elkészítésének tervét és végül létrehoztam a szoftvert. Összesen 800 belépési azonosítót sikerült elkészítenem, ezután pedig elindítottam az alkalmazást és csak vártam. Összesen több mint 2 millió adatcsomagot tudtam összegyűjteni. A kód optimalizálása után viszont egy részüket elvetettem és újrakezdtem az egész dolgot. Most már a program szinte tökéletes. Jellemző, ha vártam volna még egy hetet, akkor 4-5 millió adatcsomagot is össze tudtam volna gyűjteni. A probléma a VZ mindegyik közösségi portálját érinti, mivel mindegyik ugyanarra a kódra épül. Ez világosan látszik az egyes honlapok forráskódjaiból is."
A lüneburgi Leuphana Egyetem munkatársa nyilvánosságra hozott egy videót is, amely részletesen bemutatja a crawlert, valamint megjelentetett egy dokumentumot, amelyben szintén leírta az alkalmazás működését.
"Hálásak vagyunk annak a felhasználónak, aki rávilágított a hiányosságainkra. Meghatározó ugyanakkor, hogy ebben az esetben nem egy adatbiztonsági hibáról vagy egy szervereinket ért támadásról volt szó" - reagált a bejelentésre dr. Clemens Riedl, a VZ hálózatok vezérigazgatója. Riedl közölte, hogy mindent elkövetnek a biztonsági rések megszüntetéséért. Kérdéses, hogy az ígéretből mi válik valóra.
A SchülerVZ Németország vezető közösségi portálja, 5 millió tagja van. Az oldalt az elmúlt években folyamatosan bírálták az elégtelen adatvédelem miatt a szakemberek, kevés sikerrel. Ugyan a cég megszerezte a TÜV adatbiztonsági minősítését, de a botrányt ennek ellenére sem kerülhette el. A legújabb ügy részleteit a Netzpolitik.org hozta nyilvánosságra. A blogot Florian Strankowski, a lüneburgi Leuphana Egyetem munkatársa értesítette arról, hogy egy úgynevezett crawler program segítségével sikerült megszereznie 1,6 millió (!) kiskorú személy adatait, amiket különösebb nehézségek nélkül töltött le a SchülerVZ rendszeréből. A szakember az adatcsomagokat el is küldte Markus Beckedahlnak, a Netzpolitik.org üzemeltetőjének.
A módszer azon a tényen alapul, hogy a felhasználók csoportokba sorolhatók. Hiába ad meg valaki személyes adatokat a profiljában és hiszi azt, hogy ezek védettek az illetéktelen hozzáférésekkel szemben, mivel sokan tagjai bizonyos felhasználói csoportoknak, így könnyen beazonosíthatók. Megszerezhetők többek között az adott személyek nevei, iskolai végzettségeire utaló információk, iskolai azonosítószámai és a képeire mutató hivatkozások.
Az adatok megszerzését megkönnyítette, hogy sok profil létrehozója nem a biztonságos beállításokat használta. Így elérhetők a korra, a nemre, az osztályokra, a hobbikra, a kapcsolatokra, a politikai beállítottságra, a kedvenc tantárgyakra, a zenei ízlésre, a filmekre és könyvekre vonatkozó információk is, Emellett megállapítható, hogy ki mióta tagja a közösségi portálnak és hogyan vélekedik magáról.
"Az volt a motivációm, hogy mindenféle interjú és állásfoglalás ellenére is bebizonyítsam, a VZ semmit sem tett azért, hogy a felhasználói személyes adatait hatékonyan megvédje. Emellett be akartam mutatni azt is, hogy a TÜV minősítése önmagában ugyan szép, de semmit sem ér. Az emberek adatai sosem voltak és nem is lesznek biztonságban a crawler szoftverek elől. Két levelet is küldtem a cégnek és felhívtam a figyelmüket a biztonsági résekre. Választ azóta sem kaptam. Ezután kerestem meg a blogodat, hogy rávilágítsak a problémára" - nyilatkozta Strankowski.
Florian Strankowski hozzátette: "Az eljárás során minden lépésemet dokumentáltam. Elemeztem az oldalak forráskódjai mellett a belépési, kijelentkezési és profillekérdezési folyamatokat. Minden részletet feljegyeztem, majd 10 oldalon keresztül leírtam egy program elkészítésének tervét és végül létrehoztam a szoftvert. Összesen 800 belépési azonosítót sikerült elkészítenem, ezután pedig elindítottam az alkalmazást és csak vártam. Összesen több mint 2 millió adatcsomagot tudtam összegyűjteni. A kód optimalizálása után viszont egy részüket elvetettem és újrakezdtem az egész dolgot. Most már a program szinte tökéletes. Jellemző, ha vártam volna még egy hetet, akkor 4-5 millió adatcsomagot is össze tudtam volna gyűjteni. A probléma a VZ mindegyik közösségi portálját érinti, mivel mindegyik ugyanarra a kódra épül. Ez világosan látszik az egyes honlapok forráskódjaiból is."
A lüneburgi Leuphana Egyetem munkatársa nyilvánosságra hozott egy videót is, amely részletesen bemutatja a crawlert, valamint megjelentetett egy dokumentumot, amelyben szintén leírta az alkalmazás működését.
"Hálásak vagyunk annak a felhasználónak, aki rávilágított a hiányosságainkra. Meghatározó ugyanakkor, hogy ebben az esetben nem egy adatbiztonsági hibáról vagy egy szervereinket ért támadásról volt szó" - reagált a bejelentésre dr. Clemens Riedl, a VZ hálózatok vezérigazgatója. Riedl közölte, hogy mindent elkövetnek a biztonsági rések megszüntetéséért. Kérdéses, hogy az ígéretből mi válik valóra.