Ochrona danych a serwisy społecznościowe

• Strona Główna

Ochrona danych a serwisy społecznościowe
2031-10-20 08:00:00

Reklama:

---

    [ Biorąc pod uwagę fragment powyższej rozmowy oraz wspomnianą już sondę, z pewnością cieszy fakt, że prawie 2/3 użytkowników serwisów społecznościowych zdaje sobie sprawę z ryzyka, o jakim mówił GIODO, i nie umieszcza ważniejszych informacji o sobie. Z drugiej strony pozostaje 1/3 użytkowników, którzy albo wcale nie przejmują się bezpieczeństwem swoich danych osobowych, albo mając świadomość ryzyka - podejmują je. Ceńmy swoje dane, własną prywatność oraz tożsamość. Czy wszyscy muszą znać Twój numer komunikatora oraz telefonu? Czy koniecznie w profilu musisz mieć 30 różnych zdjęć, będących przekrojem Twojego życia a nawet życia Twoich bliskich i znajomych? Jeżeli jest taka możliwość, ukrywaj dane dla osób niezarejestrowanych i takich, które nie należą do grona Twoich znajomych. Pamiętaj, że jeżeli ktoś bardzo będzie chciał się z Tobą skontaktować, zrobi to chociażby przez wysłanie zwykłego e-maila. Niestety tak, użytkownicy powinni sobie zdawać sprawę z tego, że nasze dane nie zawsze są najlepiej chronione, a wirtualna rzeczywistość to kopalnia wiedzy na nasz temat. Można tu wykraść nie tylko nasz adres czy numer telefonu, ale także dowiedzieć się, jakie mamy preferencje, zainteresowania, sprawdzić, po jakich stronach surfujemy. Dlatego tak ważne jest zachowanie ostrożności. Hackerzy zawsze znajdą bowiem sposób na złamanie nawet najlepszych zabezpieczeń." "Czy Internet jest rzeczywiście tak niebezpieczny? Na zakończenie Maciej Ziarka ponownie odwołał się do sondy wykonanej przez Instytut MillwardBrown SMG/KRC na zlecenie D-Link Technology Trend. Tym razem chcąc zwrócić uwagę na świadomość użytkowników w zakresie ryzyka związanego z podawaniem danych osobowych w Internecie. Według autora artykułu nie możemy jednak popadać w przesadę - rejestracja w serwisach społecznościowych sama w sobie nie niesie zagrożenia. Niemniej jednak, zwiększa ryzyko, że przypadkowo zostaniemy oszukani - jeżeli ktoś nigdy nie rejestrował się w takim portalu i nagle dostaje informacje o czekającym na niego zaproszeniu do grona znajomych, stosunkowo szybko powinien zdać sobie sprawę, że jest to mail fałszywy. Dlaczego fałszerze wybrali właśnie te portale? Aby odpowiedzieć na to pytanie, wystarczy odwołać się do statystyk popularności, które autor zamieścił na początku artykułu. Zarówno nasza-klasa.pl jak i fotka.pl są najbardziej znanymi i odwiedzanymi polskimi serwisami społecznościowymi, a ponieważ atakujący rozsyłali wiadomości do przypadkowych osób, szansa trafienia w użytkowników tych portali była bardzo duża (zwłaszcza w przypadku naszej-klasy.pl). Dodatkowo wchodził w grę element socjotechniczny. Nie od dzisiaj wiadomo, że człowiek z natury jest ciekawski. W mailach tych widać tylko krótki fragment wiadomości, zatem istniało bardzo duże prawdopodobieństwo, że zaintrygowany użytkownik kliknie link. Ochrona danych a serwisy społecznościowe Serwisy traktujące o bezpieczeństwie zareagowały błyskawicznie, informując o podejrzanych wiadomościach. Także same portale fotka.pl i nasza-klasa.pl umieściły stosowane informacje na swoich łamach. Jednakże, według Macieja Ziarka, kilka szczegółów pozwalało odróżnić te wiadomości od prawdziwych: w temacie wiadomości zabrakło polskiego znaku (uzytkownik, zamiast użytkownik); w większości maili rozsyłanych do internautów widniały obcojęzycznie brzmiące nazwy użytkowników, a początek wiadomości często pisany był w innym języku; link widniejący w wiadomości nie pokrywał się z adresem ładowanej strony; prawie wszystkie odnośniki na zainfekowanej stronie rozpoczynały pobieranie zainfekowanego pliku; w linkach występowały domeny inne niż polskie (pl).     Ten sam mechanizm może zostać zastosowany w odniesieniu do serwisów społecznościowych. Użytkownicy mogą otrzymywać maile informujące, że w związku ze zmianami na portalu proszeni są o kontrolne zalogowanie się. Klikając link podany w liście, przechodzą na stronę łudząco podobną do prawdziwej. Dalej scenariusz powtarza się tak samo jak w przypadku banku. Zdaniem Macieja Ziarka innym zagrożeniem, które często przemilcza się, a na które narażony jest każdy użytkownik większych serwisów czy portali, nie tylko społecznościowych, jest phishing. Jest to wyrafinowana metoda wyciągania wszelkich informacji z komputera ofiary. Atakujący wysyła do ofiary maila z linkiem do zainfekowanej strony, gdzie użytkownik podaje dane dotyczące np. konta w banku lub proszony jest o pobranie pliku, który okazuje się być trojanem. Z pozoru metoda wydaje się prosta i pozbawiona sensu (bo kto podałby takie dane na życzenie nieznajomego), jednak sprawa staje się jasna, gdy przyjrzymy się takiemu mailowi. Ochrona danych a serwisy społecznościowe Skrypt indeksujący Google Bot był zarejestrowany w serwisie grono.net jako zwykły użytkownik i miał dostęp wyłącznie do widocznych publicznie danych - tych samych do jakich dostęp mają wszyscy użytkownicy grono.net. Dostępne były więc dane, które sam użytkownik zdecydował się ujawnić innym uczestnikom grono.net. Nie znalazły się w Google zastrzeżone dane konta użytkownika, hasła itd. Nie zostały także ujawnione dane, które użytkownik uczynił dostępnymi np. wyłącznie znajomym. Google Bot nie indeksował także ukrytych gron, ani żadnych innych informacji, których członkowie społeczności grono.net nie chcieli ujawnić. Zindeksowane zostały więc wyłącznie informacje widoczne dla każdego z miliona użytkowników serwisu. W okresie współpracy reklamowej z systemem Google, skrypt zindeksował jedynie ok. 15% profili użytkowników grono.net." Jakie dane znalazły się w Google? W wyszukiwarce Google w wyniku błędu skryptu indeksującego znalazły się informacje o użytkownikach grono.net, które normalnie dostępne są dla innych użytkowników grono.net a nie dla wszystkich internautów. Są to informacje, które użytkownicy sami zdecydowali się uczynić publicznymi dla innych członków grono.net. Ani ich charakter, ani zakres nie powodował żadnego zagrożenia - np. uzyskania dostępu do poczty czy przejęcia konta użytkownika. Przyczyna usterki została przez grono.net usunięta. Zwróciliśmy się także do Google o usunięcie w trybie ekspresowym z wyszukiwarki wszystkich informacji pochodzących z grono.net. We fragmencie oświadczenia zarządu Grono.net możemy przeczytać: Autor artykułu "Pokaż swoje konto, a powiem Ci kim jesteś..." podaje, że podobna sytuacja miała miejsce już wcześniej (styczeń 2007), lecz dotyczyła serwisu Grono.net. Sprawa dotyczyła danych osobowych, które zostały zindeksowane przez Google, a tym samym stały się dostępne dla każdego, nawet niezarejestrowanego na portalu Grono.net internauty. Zaczęło się od publikacji artykułu w serwisie wiadomości24, w którym autor po wpisaniu frazy Grono.net do wyszukiwarki Google otrzymał dane osobowe użytkowników, nazwiska, telefony, adresy e-mail itd. Nie da się zaprzeczyć, że takie dane dostępne z poziomu wyszukiwarki stanowią niekontrolowany wyciek, a więc błąd. Jakby było tego mało, pojawiły się także informacje, że za pomocą Google można się także dostać do skrzynek wiadomości serwisu. Grono.net sprawę potraktowało poważnie. W końcu ustalono przyczynę takiego stanu rzeczy. Zatem w tym przypadku nie można mówić o wycieku danych osobowych sensu stricte. Nikt nie wejdzie w posiadanie naszego maila, jeśli nie jest upubliczniony, czy ukrytych danych kontaktowych, jak nr komunikatora czy telefonu komórkowego. Jednak reakcja mediów była błyskawiczna, a prostowanie tego doniesienia najczęściej ograniczało się do dopisywania komentarzy pod newsami przez bardziej świadomych sytuacji użytkowników. Na pierwszy rzut oka mogłoby się wydawać, że rzeczywiście miało tu miejsce duże niedociągnięcie ze strony GIODO, skoro udało się wyciągnąć tyle informacji. Sytuacja staje się jednak bardziej klarowna, kiedy przyjrzymy się sposobowi, w jaki działa program cURL, oraz uzyskanym przy jego pomocy danym. Jak wcześniej wspomniał Macieja Ziarka, program pozwala przy użyciu odpowiedniej składni wysłać lub pobrać formularz z serwera. Oznacza to, że atakujący wszedł w posiadanie jedynie informacji, które są w portalu nasza-klasa.pl ogólnodostępne z poziomu zwykłego użytkownika. Jeżeli ktoś podał jedynie imię i nazwisko i żadnych dodatkowych informacji, to tylko to znalazłoby się w tej tabeli Excela. Fakt ten potwierdzony jest także przez zespół naszej-klasy.pl. Ochrona danych a serwisy społecznościowe Po kontroli serwisu Nasza-klasa.pl przez GIODO i orzeknięciu, że dane są chronione i przechowywane w sposób prawidłowy, stosunkowo szybko pojawił się kontrowersyjny i niepokojący artykuł w serwisie Hacking.pl. Jego autor stwierdził, że: "Dane 7 mln (prawie 8 mln) użytkowników, niestety każdy może sobie pobrać na swój własny komputer przy pomocy np. VPS za 5 $. Dane takie jak imię, nazwisko (często również rodowe), ukończona szkoła, zdjęcia, czasem numer telefonu i gg, nie są ukryte."     4 lutego w biurze GIODO odbyła się kolejna konferencja prasowa "Co się stało z Naszą-klasą?" Przedstawiono na niej wyniki kontroli. Chociaż były pewne zastrzeżenia (m.in. co do szyfrowania podczas logowania do serwisu, a właściwie jego braku), to generalnie serwis wypadł pozytywnie. 16 stycznia 2008 r. w biurze GIODO odbyła się konferencja prasowa "Czy nasze dane osobowe są bezpieczne na portalu nasza-klasa.pl?" W związku z bardzo szybko rosnącą popularnością tego portalu, Generalny Inspektor Ochrony Danych Osobowych postanowił przyjrzeć się bliżej serwisowi, a konkretnie sprawdzić, czy wywiązuje się on z przepisów i obowiązków, jakie narzuca na niego Ustawa o ochronie danych osobowych. Autor postanowił przyjrzeć się zatem regulaminom wybranych serwisów społecznościowych: Nasza-klasa.pl: "Nasza Klasa spółka z ograniczoną odpowiedzialnością z siedzibą we Wrocławiu zapewnia wszystkim zarejestrowanym użytkownikom realizację uprawnień wynikających z ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. nr 133, pozycja 883), w szczególności prawo wglądu do własnych danych, prawo żądania aktualizacji i usunięcia danych oraz prawo wniesienia sprzeciwu w przypadkach określonych w przepisach tej ustawy. Baza danych osobowych prowadzona przez Serwis została zgłoszona do Generalnego Inspektora Ochrony Danych Osobowych." Fotka.pl: "Dokonując rejestracji w serwisie internetowym Fotka.pl, Użytkownik wyraża zgodę na przetwarzanie swoich danych osobowych zgodnie z Polityką Ochrony Prywatności przedstawioną w dalszej części Regulaminu oraz zgodnie z ustawą z dnia 29 sierpnia 1997r. o Ochronie Danych Osobowych oraz ustawą z dnia 18 lipca 2002r. o świadczeniu Usług Drogą Elektroniczną z późniejszym zmianami." Sympatia.pl: "Grupa Onet.pl S.A. jako administrator danych osobowych serwisu Sympatia, dba o najwyższe bezpieczeństwo udostępnionych naszej firmie danych. Są one szczególnie chronione i zabezpieczone przed dostępem osób nieupoważnionych (...) Zbiór danych osobowych serwisu Sympatia został zgłoszony do Generalnego Inspektora Danych Osobowych." Grono.net: "Wraz z rejestracją użytkownik wyraża zgodę na gromadzenie, przetwarzanie oraz wykorzystywanie przekazanych przez siebie danych osobowych przez serwis Grono.net w celach statystycznych i marketingowych (...) Gromadzone przez serwis dane nie będą udostępniane innym podmiotom, chyba, że po uzyskaniu uprzedniej zgody użytkownika." GoldenLine.pl: "GoldenLine powierzył przetwarzanie danych osobowych Użytkownika OVH Sp. z o.o. z siedzibą we Wrocławiu, przy ul. Powstańców Śląskich 16/18, w zakresie niezbędnym do prawidłowego wykonania czynności związanych z hostingiem portalu internetowego www.goldenline.pl na podstawie pisemnej umowy zawartej zgodnie z art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.)." Z regulaminów tych jasno wynika, że wszystkie wyżej wymienione serwisy zobowiązują się do należytego przechowywania danych osobowych i ochrony ich przed dostępem osób trzecich. "Art. 36. Administrator danych jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem. (Dz. U. z dnia 29 października 1997 r.)" Ze względu na olbrzymią ilość przechowywanych danych osobowych portale społecznościowe muszą dostosować się do obowiązującego na terenie Polski prawa, zwłaszcza do Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku. W myśl tej ustawy, na straży ochrony danych osobowych stoi GIODO (Generalny Inspektor Ochrony Danych Osobowych). W ustawie tej znajdują się odpowiednie artykuły, w myśl których instytucje oraz serwisy zbierające i przetwarzające dane osobowe winny w należyty sposób je zabezpieczyć: Ochrona danych a serwisy społecznościowe Jak zaznacza autor artykułu, należy także pamiętać, że w Sieci nic nigdy nie ginie. Jeżeli ktoś doda do swojego konta zdjęcia na pograniczu dobrego smaku lub wręcz kompromitujące fotografie, musi liczyć się z tym, że za 10 lat zdjęcia te nadal będzie można odnaleźć w sieci, nawet jeżeli wcześniej zostały wykasowane. Można by rzec, że Internet nie wybacza błędów młodości… Nigdy też nie wiadomo, z kim tak naprawdę mamy do czynienia w sieci, wypowiadając się na forum czy rozmawiając z nieznajomym przez komunikator. Mało kto podałby świeżo poznanej osobie takie informacje jak telefon komórkowy czy własne zdjęcia. A jednak niektórzy udostępniają takie dane w serwisach społecznościowych, umożliwiając wglądu do nich każdemu zarejestrowanemu? Nie jest problemem (zadając odpowiednie pytanie np. w Google) odszukać informacji o kimś po szczątkowych informacjach, jak nr komunikatora. Głównie dzięki portalom społecznościowym. Do czego można wykorzystać dane osobowe? Scenariuszy jest wiele, a wachlarz metod użycia tych informacji jest ograniczony jedynie pomysłowością osoby, która je zbiera. Ktoś może podawać się za nas na forach lub listach dyskusyjnych i oczerniać nasze imię czy reputację. Im więcej danych zdobędzie, tym lepiej będzie mógł wypełnić profil, uwiarygodniając w ten sposób swoje wypowiedzi. Upubliczniając nasz adres e-mail lub numer komunikatora, możemy stać się ofiarami spamu i spimu (spam rozsyłany poprzez komunikatory internetowe). Dojść może także do większych nadużyć jak próba fałszowania czyjejś tożsamości. Tyle danych osobowych to z kolei pokaźna ilość informacji, które mogłyby być potencjalnie wykorzystane, dlatego należy je odpowiednio zabezpieczyć. Na forach internetowych najczęściej podajemy tylko adres e-mail, ewentualnie nr komunikatora. Portale społecznościowe natomiast, po uzupełnieniu profilu mogą przechowywać: Imię i nazwisko Datę urodzenia/wiek Numery komunikatorów Numer telefonu komórkowego Zdjęcia, filmy Adres e-mail Miejsca nauki/pracy Wykształcenie Listę znajomych/rodzinę CV Informacje te mogą być w niektórych przypadkach dostępne za pomocą jednego kliknięcia! W artykule autor skupił się przede wszystkim na najpopularniejszych serwisach w Polsce. Należą do nich Nasza-klasa.pl, Grono.net, Sympatia.pl, Fotka.pl oraz GoldenLine.pl. Ochrona danych a serwisy społecznościowe Kaspersky Lab, producent rozwiązań do ochrony danych, opublikował artykuł "Pokaż swoje konto, a powiem Ci kim jesteś..." autorstwa niezależnego analityka Macieja Ziarka. Autor podejmuje temat serwisów społecznościowych przeżywających w Polsce prawdziwy rozkwit. Artykuł zwraca uwagę na popularność tych serwisów, danych jakie zostawiają w nich internauci oraz kwestii bezpieczeństwa. Bez wątpienia serwisy społecznościowe przeżywają teraz w Polsce swoje pięć minut. Nie ma w tym nic dziwnego - w końcu pozwalają nam na łatwe i szybkie nawiązywanie nowych znajomości, odnajdywanie starych znajomych, których nie widzieliśmy od wielu lat, a czasami nawet na znalezienie miłości naszego życia. Pod tym względem serwisy społecznościowe są o wiele efektywniejsze od forów internetowych czy komunikatorów. Ich popularność cały czas rośnie, przybywa użytkowników, a w związku z tym także i danych osobowych...

• Przeczytaj

  • SII
  • Bankowość
  • Książki
  • Tenis
  • Estrada
  • Z życia
  • Maszyny do pakowania
  • Budownictwo
  • Agencje-fotograficzne
  • SEM
  • Nauka-jazdy
  • Sprzet-medyczny
  • Kosmetyki,Uroda
  • Rolety,Żaluzje,Okna
  • gry_komputerowe
  • Jubiler,Biżuteria
  • RTV,AGD
  • Motocykle
  • Stomatologia,Zdrowie
  • mieszkania_nieruchomosci
  • Dj,Muzyka,Dyskdzokej
  • nauka_języków
  • tv_kamery
  • dla_dzieci
  • dostawa_wody
  • drukarnia_wielkoformatowa
  • wynajem_aut
  • wynajem_aut
  • łazienka
  • meble_ogrodowe
  • okna_drzwi

• Sprawdź także

  • Gdańsk
  • monitory komputerowe
  • gazetki reklamowe
  • samochody używane
  • bollywood
  • Wiatr we wlosach
  • Ciekawostki ze świata
  • Bawaria i Leszcz

• Archiwum

  • 2012 Luty
  • 2012 Styczeń
  • 2011 Grudzień
  • 2011 Listopad
  • 2011 Październik
  • 2011 Wrzesien
  • 2011 Sierpień
  • 2011 Lipiec
  • 2011 Czerwiec
  • 2011 Maj
  • 2011 Kwiecień
  • 2011 Marzec
  • 2011 Luty
  • 2011 Styczeń
  • 2010 Grudzień
  • 2010 Listopad
  • 2010 Październik
  • 2010 Wrzesien
  • 2010 Sierpień
  • 2010 Lipiec
  • 2010 Czerwiec
  • 2010 Maj
  • 2010 Kwiecień
  • 2010 Marzec
  • 2010 Luty
  • 2010 Styczeń
  • 2009 Grudzień
  • 2009 Listopad
  • 2009 Październik
  • 2009 Wrzesien
  • 2009 Sierpień
  • 2009 Lipiec
  • 2009 Czerwiec
  • 2009 Maj
  • 2009 Kwiecień
  • 2009 Marzec
  • 2009 Luty
  • 2009 Styczeń
  • 2008 Grudzień
  • 2008 Listopad
  • 2008 Październik
  • 2008 Wrzesien
  • 2008 Sierpień
  • 2008 Lipiec
  • 2008 Czerwiec
  • 2008 Maj
  • 2008 Kwiecień
  • 2008 Marzec
  • 2008 Luty
  • 2008 Styczeń