Ze względu na olbrzymią ilość przechowywanych danych osobowych portale społecznościowe muszą dostosować się do obowiązującego na terenie Polski prawa, zwłaszcza do ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. nr 101, poz. 926 z późn. zm.). W myśl tej ustawy, na straży ochrony danych osobowych stoi Generalny Inspektor Ochrony Danych Osobowych (dalej: GIODO). W ustawie tej znajdują się odpowiednie artykuły, w myśl których instytucje oraz serwisy zbierające i przetwarzające dane osobowe winny w należyty sposób je zabezpieczyć.
W myśl art. 36 wspomnianej wyżej ustawy administrator danych jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem. |
Nasza-klasa, ich dane
reklama
reklama
W związku z lawinowo rosnącą popularnością serwisu Nasza-klasa, Generalny Inspektor Ochrony Danych Osobowych postanowił przyjrzeć się bliżej serwisowi i sprawdzić, czy wywiązuje się on z przepisów i obowiązków, jakie narzuca na niego Ustawa o ochronie danych osobowych. Konferencja prasowa, na której przedstawiono wyniki kontroli odbyła się w siedzibie GIODO 4 lutego 2008 roku. Chociaż były pewne zastrzeżenia (m.in. do szyfrowania podczas logowania do serwisu), generalnie serwis wypadł pozytywnie. Niedługo po kontroli pojawił się niepokojący artykuł w serwisie Hacking.pl. Jego autor podważył decyzję GIODO twierdząc, iż dane prawie 8 milionów użytkowników Naszej-klasy nie są właściwie zabezpieczone.
Dodatkowo zademonstrował nawet sposób, w jaki pobrał powyższe informacje o kontach i zapisał je w postaci tabeli w Excelu. Sposób ten polegał na użyciu programu cURL - aplikacji, która pozwala wysłać lub pobrać z serwerów treść formularzy. W artykule pojawił się zrzut ekranu przedstawiający tabelkę z uzyskanymi danymi:

Arkusz Excela zawierający dane osobowe z serwisu Nasza-klasa
Na pierwszy rzut oka mogłoby się wydawać, że rzeczywiście miało tu miejsce duże niedociągnięcie ze strony GIODO. Sytuacja staje się jednak bardziej klarowna, kiedy przyjrzymy się sposobowi, w jaki działa program cURL, oraz uzyskanym przy jego pomocy danym. Program pozwala przy użyciu odpowiedniej składni wysłać lub pobrać formularz z serwera. Oznacza to, że atakujący wszedł w posiadanie jedynie informacji, które są w serwisie Nasza-klasa ogólnodostępne z poziomu zwykłego użytkownika. Jeżeli ktoś podał jedynie imię i nazwisko i żadnych dodatkowych informacji, to tylko te dane znalazłyby się w tej tabeli.