REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » e-Firma » Programy dla firm » Pokaż swoje konto, a powiem Ci kim jesteś...

Pokaż swoje konto, a powiem Ci kim jesteś...

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
08 października 2008, 13:00
Maciej Ziarek

REKLAMA

REKLAMA

Bez wątpienia serwisy społecznościowe przeżywają teraz w Polsce swoje pięć minut. Nie ma w tym nic dziwnego - w końcu pozwalają na łatwe i szybkie nawiązywanie nowych znajomości, odnajdywanie starych znajomych, których nie widzieliśmy od wielu lat. Pod tym względem są o wiele efektywniejsze od forów internetowych czy komunikatorów. Musimy jednak pamiętać, że dla nieświadomych użytkowników mogą być równie niebezpieczne.

Przybywa użytkowników serwisów społecznościowych, a w związku z tym także i danych osobowych. Wchodząc po raz pierwszy na takie portale, widzimy ambitne hasła o odnalezieniu starych znajomych czy poznaniu wielkiej społeczności internetowej. Tego typu slogany z pewnością zachęcają do rejestracji i dzielenia się swoimi danymi. O tym, jak bardzo popularne są obecnie portale społecznościowe, możemy się przekonać, patrząc na wyniki sondy przeprowadzonej przez Instytut MillwardBrown SMG/KRC na zlecenie D-Link Technology Trend. Wykres przedstawia, ile procent internautów korzysta z portali społecznościowych.

REKLAMA


Znajomość serwisów społecznościowych wśród polskich internautów

Z tego samego badania dowiadujemy się, że o istnieniu takich serwisów wie 53% Polaków, a korzysta z nich 31%. Daje to niebagatelną liczbę kilku milionów użytkowników. Takie nagromadzenie danych osobowych, wymaga odpowiedniego podejścia w zakresie bezpieczeństwa. Na forach internetowych najczęściej podajemy tylko adres e-mail, ewentualnie numer identyfikacyjny komunikatora. Portale społecznościowe po uzupełnieniu profilu mogą przechowywać następujące dane:

  • imię i nazwisko,
  • data urodzenia / wiek,
  • numer identyfikacyjny komunikatora,
  • numer telefonu komórkowego,
  • zdjęcia, filmy,
  • adres e-mail,
  • miejsca nauki/pracy,
  • wykształcenie,
  • lista znajomych/rodzina,
  • CV.

Do czego można wykorzystać dane osobowe? Scenariuszy jest wiele, a wachlarz metod użycia tych informacji jest ograniczony jedynie pomysłowością osoby, która je zbiera. Ktoś może podawać się za nas na forach lub listach dyskusyjnych i oczerniać nasze imię czy reputację. Im więcej danych zdobędzie, tym lepiej będzie mógł wypełnić profil, uwiarygodniając w ten sposób swoje wypowiedzi. Upubliczniając nasz adres e-mail lub numer identyfikacyjny komunikatora, możemy stać się ofiarami spamu i spimu (spam rozsyłany poprzez komunikatory internetowe). Dojść może także do większych nadużyć jak próba fałszowania czyjejś tożsamości.

Ważne!

Nigdy nie wiadomo, z kim tak naprawdę mamy do czynienia w Sieci, wypowiadając się na forum czy rozmawiając z nieznajomym przez komunikator.


REKLAMA

Mało kto podałby świeżo poznanej osobie takie informacje jak telefon komórkowy czy własne zdjęcia. A jednak niektórzy udostępniają takie dane w serwisach społecznościowych, umożliwiając wgląd do nich każdemu zarejestrowanemu. Nie jest problemem (zadając odpowiednie zapytanie np. w wyszukiwarce Google) odszukać informacje o kimś po szczątkowych informacjach, jak numer identyfikacyjny komunikatora. Należy także pamiętać, że w Sieci nic nigdy nie ginie. Jeżeli ktoś doda do swojego konta kompromitujące zdjęcia musi liczyć się z tym, że za 10 lat nadal będzie można je odnaleźć w Sieci, nawet jeżeli wcześniej zostały wykasowane. Internet nie wybacza błędów młodości.

Dalszy ciąg materiału pod wideo

Ze względu na olbrzymią ilość przechowywanych danych osobowych portale społecznościowe muszą dostosować się do obowiązującego na terenie Polski prawa, zwłaszcza do ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. nr 101, poz. 926 z późn. zm.). W myśl tej ustawy, na straży ochrony danych osobowych stoi Generalny Inspektor Ochrony Danych Osobowych (dalej: GIODO). W ustawie tej znajdują się odpowiednie artykuły, w myśl których instytucje oraz serwisy zbierające i przetwarzające dane osobowe winny w należyty sposób je zabezpieczyć.

W myśl art. 36 wspomnianej wyżej ustawy administrator danych jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem.

Nasza-klasa, ich dane

REKLAMA

W związku z lawinowo rosnącą popularnością serwisu Nasza-klasa, Generalny Inspektor Ochrony Danych Osobowych postanowił przyjrzeć się bliżej serwisowi i sprawdzić, czy wywiązuje się on z przepisów i obowiązków, jakie narzuca na niego Ustawa o ochronie danych osobowych. Konferencja prasowa, na której przedstawiono wyniki kontroli odbyła się w siedzibie GIODO 4 lutego 2008 roku. Chociaż były pewne zastrzeżenia (m.in. do szyfrowania podczas logowania do serwisu), generalnie serwis wypadł pozytywnie. Niedługo po kontroli pojawił się niepokojący artykuł w serwisie Hacking.pl. Jego autor podważył decyzję GIODO twierdząc, iż dane prawie 8 milionów użytkowników Naszej-klasy nie są właściwie zabezpieczone.

Dodatkowo zademonstrował nawet sposób, w jaki pobrał powyższe informacje o kontach i zapisał je w postaci tabeli w Excelu. Sposób ten polegał na użyciu programu cURL - aplikacji, która pozwala wysłać lub pobrać z serwerów treść formularzy. W artykule pojawił się zrzut ekranu przedstawiający tabelkę z uzyskanymi danymi:


Arkusz Excela zawierający dane osobowe z serwisu Nasza-klasa

Na pierwszy rzut oka mogłoby się wydawać, że rzeczywiście miało tu miejsce duże niedociągnięcie ze strony GIODO. Sytuacja staje się jednak bardziej klarowna, kiedy przyjrzymy się sposobowi, w jaki działa program cURL, oraz uzyskanym przy jego pomocy danym. Program pozwala przy użyciu odpowiedniej składni wysłać lub pobrać formularz z serwera. Oznacza to, że atakujący wszedł w posiadanie jedynie informacji, które są w serwisie Nasza-klasa ogólnodostępne z poziomu zwykłego użytkownika. Jeżeli ktoś podał jedynie imię i nazwisko i żadnych dodatkowych informacji, to tylko te dane znalazłyby się w tej tabeli.

Polowanie na społeczności

Innym zagrożeniem, które często przemilcza się, a na które narażony jest każdy użytkownik większych serwisów czy portali, nie tylko społecznościowych, jest phishing. To wyrafinowana metoda wyciągania wszelkich informacji z komputera ofiary. Atakujący wysyła do ofiary wiadomość z odnośnikiem do zainfekowanej strony, gdzie użytkownik podaje dane dotyczące np. konta w banku lub proszony jest o pobranie pliku, który okazuje się być trojanem. Z pozoru metoda wydaje się prosta i pozbawiona sensu (bo kto podałby takie dane na życzenie nieznajomego), jednak sprawa staje się jasna, gdy przyjrzymy się takiej wiadomości:


Przykład wiadomości phishingowej

Z założenia wiadomość ma być łudząco podobna do maila, jaki mógłby zostać wysłany przez bank. W treści najczęściej proszeni jesteśmy o podanie nowego hasła lub autoryzację transakcji na konkretniej stronie. Jednak strona ta nie jest prawdziwą stroną banku lecz witryną spreparowaną przez cyberprzestępcę. Nie trzeba być ekspertem, aby zauważyć, że nie jest to adres banku), by przechwycić podawane na niej informacje.

Ten sam mechanizm może zostać zastosowany w odniesieniu do serwisów społecznościowych. Użytkownicy mogą otrzymywać maile informujące, że w związku ze zmianami na portalu proszeni są o kontrolne zalogowanie się. Klikając link podany w liście, przechodzą na stronę łudząco podobną do prawdziwej. Dalej scenariusz jest taki sam jak w przypadku banku. Więcej o samym phishingu przeczytasz w naszym dziale Porad Eksperta

To przydarzyło się naprawdę

Na taki problem natrafiły ostatnio dwa serwisy społecznościowe: Nasza-klasa oraz Fotka.pl. Scenariusz działania był jednak trochę inny niż ten przedstawiony wyżej. Na konta mailowe masowo rozsyłano informację, że jakiś użytkownik napisał do nas wiadomość lub chce pokazać swoje zdjęcia. Autentyczności miała dodać treść od użytkownika wraz z odnośnikiem do strony przypominającej oryginalną.


Sfałszowana wiadomość serwisu Fotka.pl

Po przejściu na stronę podaną w liście na ekranie pojawiał się komunikat, że nie można wyświetlić treści strony z powodu braku odpowiedniej wersji programu Flash Player.


Sfałszowana i zainfekowana strona, do której prowadzi odsyłacz z przedstawionego powyżej maila

Proponowano przy tym pobranie pliku o nazwie get_new_flashplayer.exe, który pozwalał zainstalować na naszej maszynie najnowszą wersję oprogramowania. Oczywiście, nie był to Flash Player tylko backdoor: Backdoor.Win32.Agent.cri.


Szkodliwy program wykryty przez oprogramowanie firmy Kaspersky Lab

Kilka szczegółów pozwalało odróżnić te wiadomości od prawdziwych:

  • w temacie wiadomości zabrakło polskiego znaku (uzytkownik, zamiast użytkownik),
  • w większości maili rozsyłanych do internautów widniały obcojęzycznie brzmiące nazwy użytkowników, a początek wiadomości często pisany był w innym języku,
  • link widniejący w wiadomości nie pokrywał się z adresem ładowanej strony,
  • prawie wszystkie odnośniki na zainfekowanej stronie rozpoczynały pobieranie zainfekowanego pliku,
  • w linkach występowały domeny inne niż polskie (pl).

Dlaczego fałszerze wybrali właśnie te portale? Aby odpowiedzieć na to pytanie, wystarczy odwołać się do statystyk popularności. Zarówno Nasza-klasa jak i Fotka.pl są najbardziej znanymi i odwiedzanymi polskimi serwisami społecznościowymi, a ponieważ atakujący rozsyłali wiadomości do przypadkowych osób, szansa trafienia w użytkowników tych portali była bardzo duża (zwłaszcza w przypadku Naszej-klasy). Dodatkowo wchodził w grę element socjotechniczny. W wiadomościach widać tylko krótki fragment treści, zatem istniało bardzo duże prawdopodobieństwo, że zaintrygowany użytkownik skorzysta z odnośnika.

Rejestracja w serwisach społecznościowych sama w sobie nie niesie zagrożenia. Niemniej jednak, zwiększa ryzyko, że przypadkowo zostaniemy oszukani. Jeżeli ktoś nigdy nie rejestrował się w takim portalu i nagle dostaje informacje o czekającym na niego zaproszeniu do grona znajomych, stosunkowo szybko powinien zdać sobie sprawę, że jest to mail fałszywy.

Kolejna sonda opracowana przez Instytut MillwardBrown SMG/KRC na zlecenie D-Link Technology Trend pokazuje świadomość użytkowników w zakresie ryzyka związanego z podawaniem danych osobowych w Internecie.


Świadomość ryzyka związanego z podawaniem danych osobowych

Z pewnością cieszy fakt, że prawie 2/3 użytkowników serwisów społecznościowych zdaje sobie sprawę z ryzyka, o jakim mówi GIODO, i nie umieszcza ważniejszych informacji o sobie. Z drugiej strony pozostaje 1/3 użytkowników, którzy albo wcale nie przejmują się bezpieczeństwem swoich danych osobowych, albo mając świadomość ryzyka, podejmują je.

Ceń swoje dane, własną prywatność oraz tożsamość. Jeżeli jest taka możliwość, ukrywaj dane dla osób niezarejestrowanych i takich, które nie należą do grona Twoich znajomych. Pamiętaj, że jeżeli ktoś bardzo będzie chciał się z Tobą skontaktować, zrobi to chociażby przez wysłanie zwykłego e-maila.

Więcej informacji o bezpieczeństwie:Kaspersky Lab Polska

Autopromocja

REKLAMA

Źródło: INFOR
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
KAS: Nowe funkcjonalności konta organizacji w e-Urzędzie Skarbowym
18 kwi 2024

Spółki, fundacje i stowarzyszenia nie muszą już upoważniać pełnomocników do składania deklaracji drogą elektroniczną, aby rozliczać się elektronicznie. Krajowa Administracja Skarbowa wprowadziła nowe funkcjonalności konta organizacji w e-US.
Sztuczna inteligencja będzie dyktować ceny?
18 kwi 2024

Sztuczna inteligencja wykorzystywana jest coraz chętniej, sięgają po nią także handlowcy. Jak detaliści mogą zwiększyć zyski dzięki sztucznej inteligencji? Coraz więcej z nich wykorzystuje AI do kalkulacji cen. 
Coraz więcej firm zatrudnia freelancerów. Przedsiębiorcy opowiadają dlaczego
18 kwi 2024

Czy firmy wolą teraz zatrudniać freelancerów niż pracowników na etat? Jakie są zalety takiego modelu współpracy? 
Lavard - kara UOKiK na ponad 3,8 mln zł, Lord - ponad 213 tys. zł. Firmy wprowadzały w błąd konsumentów kupujących odzież
17 kwi 2024

UOKiK wymierzył kary finansowe na przedsiębiorstwa odzieżowe: Polskie Sklepy Odzieżowe (Lavard) - ponad 3,8 mln zł, Lord - ponad 213 tys. zł. Konsumenci byli wprowadzani w błąd przez nieprawdziwe informacje o składzie ubrań. Zafałszowanie składu ubrań potwierdziły kontrole Inspekcji Handlowej i badania w laboratorium UOKiK.

REKLAMA

Składka zdrowotna to parapodatek! Odkręcanie Polskiego Ładu powinno nastąpić jak najszybciej
16 kwi 2024

Składka zdrowotna to parapodatek! Zmiany w składce zdrowotnej muszą nastąpić jak najszybciej. Odkręcanie Polskiego Ładu dopiero od stycznia 2025 r. nie satysfakcjonuje przedsiębiorców. Czy składka zdrowotna wróci do stanu sprzed Polskiego Ładu?
Dotacje KPO wzmocnią ofertę konkursów ABM 2024 dla przedsiębiorców
16 kwi 2024

Dotacje ABM (Agencji Badań Medycznych) finansowane były dotychczas przede wszystkim z krajowych środków publicznych. W 2024 roku ulegnie to zmianie za sprawą środków z KPO. Zgodnie z zapowiedziami, już w 3 i 4 kwartale możemy spodziewać się rozszerzenia oferty dotacyjnej dla przedsiębiorstw.
"DGP": Ceneo wygrywa z Google. Sąd zakazał wyszukiwarce Google faworyzowania własnej porównywarki cenowej
16 kwi 2024

Warszawski sąd zakazał wyszukiwarce Google faworyzowania własnej porównywarki cenowej. Nie wolno mu też przekierowywać ruchu do Google Shopping kosztem Ceneo ani utrudniać dostępu do polskiej porównywarki przez usuwanie prowadzących do niej wyników wyszukiwania – pisze we wtorek "Dziennik Gazeta Prawna".
Drogie podróże zarządu Orlenu. Nowe "porażające" informacje
15 kwi 2024

"Tylko w 2022 roku zarząd Orlenu wydał ponad pół miliona euro na loty prywatnymi samolotami" - poinformował w poniedziałek minister aktywów państwowych Borys Budka. Dodał, że w listopadzie ub.r. wdano też 400 tys. zł na wyjazd na wyścig Formuły 1 w USA.

REKLAMA

Cable pooling - nowy model inwestycji w OZE. Warunki przyłączenia, umowa
15 kwi 2024

W wyniku ostatniej nowelizacji ustawy Prawo energetyczne, która weszła w życie 1 października 2023 roku, do polskiego porządku prawnego wprowadzono długo wyczekiwane przez polską branżę energetyczną przepisy regulujące instytucję zbiorczego przyłącza, tzw. cable poolingu. Co warto wiedzieć o tej instytucji i przepisach jej dotyczących?
Wakacje składkowe. Od kiedy, jakie kryteria trzeba spełnić?
15 kwi 2024

12 kwietnia 2024 r. w Sejmie odbyło się I czytanie projektu nowelizacji ustawy o systemie ubezpieczeń społecznych. Projekt nowelizacji przewiduje zwolnienie z opłacania składek ZUS (tzw. wakacje składkowe) dla małych przedsiębiorców. 

REKLAMA