REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Pokaż swoje konto, a powiem Ci kim jesteś...

Maciej Ziarek

REKLAMA

REKLAMA

Bez wątpienia serwisy społecznościowe przeżywają teraz w Polsce swoje pięć minut. Nie ma w tym nic dziwnego - w końcu pozwalają na łatwe i szybkie nawiązywanie nowych znajomości, odnajdywanie starych znajomych, których nie widzieliśmy od wielu lat. Pod tym względem są o wiele efektywniejsze od forów internetowych czy komunikatorów. Musimy jednak pamiętać, że dla nieświadomych użytkowników mogą być równie niebezpieczne.

Przybywa użytkowników serwisów społecznościowych, a w związku z tym także i danych osobowych. Wchodząc po raz pierwszy na takie portale, widzimy ambitne hasła o odnalezieniu starych znajomych czy poznaniu wielkiej społeczności internetowej. Tego typu slogany z pewnością zachęcają do rejestracji i dzielenia się swoimi danymi. O tym, jak bardzo popularne są obecnie portale społecznościowe, możemy się przekonać, patrząc na wyniki sondy przeprowadzonej przez Instytut MillwardBrown SMG/KRC na zlecenie D-Link Technology Trend. Wykres przedstawia, ile procent internautów korzysta z portali społecznościowych.

REKLAMA


Znajomość serwisów społecznościowych wśród polskich internautów

Z tego samego badania dowiadujemy się, że o istnieniu takich serwisów wie 53% Polaków, a korzysta z nich 31%. Daje to niebagatelną liczbę kilku milionów użytkowników. Takie nagromadzenie danych osobowych, wymaga odpowiedniego podejścia w zakresie bezpieczeństwa. Na forach internetowych najczęściej podajemy tylko adres e-mail, ewentualnie numer identyfikacyjny komunikatora. Portale społecznościowe po uzupełnieniu profilu mogą przechowywać następujące dane:

  • imię i nazwisko,
  • data urodzenia / wiek,
  • numer identyfikacyjny komunikatora,
  • numer telefonu komórkowego,
  • zdjęcia, filmy,
  • adres e-mail,
  • miejsca nauki/pracy,
  • wykształcenie,
  • lista znajomych/rodzina,
  • CV.

Do czego można wykorzystać dane osobowe? Scenariuszy jest wiele, a wachlarz metod użycia tych informacji jest ograniczony jedynie pomysłowością osoby, która je zbiera. Ktoś może podawać się za nas na forach lub listach dyskusyjnych i oczerniać nasze imię czy reputację. Im więcej danych zdobędzie, tym lepiej będzie mógł wypełnić profil, uwiarygodniając w ten sposób swoje wypowiedzi. Upubliczniając nasz adres e-mail lub numer identyfikacyjny komunikatora, możemy stać się ofiarami spamu i spimu (spam rozsyłany poprzez komunikatory internetowe). Dojść może także do większych nadużyć jak próba fałszowania czyjejś tożsamości.

Ważne!

Nigdy nie wiadomo, z kim tak naprawdę mamy do czynienia w Sieci, wypowiadając się na forum czy rozmawiając z nieznajomym przez komunikator.


REKLAMA

Mało kto podałby świeżo poznanej osobie takie informacje jak telefon komórkowy czy własne zdjęcia. A jednak niektórzy udostępniają takie dane w serwisach społecznościowych, umożliwiając wgląd do nich każdemu zarejestrowanemu. Nie jest problemem (zadając odpowiednie zapytanie np. w wyszukiwarce Google) odszukać informacje o kimś po szczątkowych informacjach, jak numer identyfikacyjny komunikatora. Należy także pamiętać, że w Sieci nic nigdy nie ginie. Jeżeli ktoś doda do swojego konta kompromitujące zdjęcia musi liczyć się z tym, że za 10 lat nadal będzie można je odnaleźć w Sieci, nawet jeżeli wcześniej zostały wykasowane. Internet nie wybacza błędów młodości.

Dalszy ciąg materiału pod wideo

Ze względu na olbrzymią ilość przechowywanych danych osobowych portale społecznościowe muszą dostosować się do obowiązującego na terenie Polski prawa, zwłaszcza do ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. nr 101, poz. 926 z późn. zm.). W myśl tej ustawy, na straży ochrony danych osobowych stoi Generalny Inspektor Ochrony Danych Osobowych (dalej: GIODO). W ustawie tej znajdują się odpowiednie artykuły, w myśl których instytucje oraz serwisy zbierające i przetwarzające dane osobowe winny w należyty sposób je zabezpieczyć.

W myśl art. 36 wspomnianej wyżej ustawy administrator danych jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem.

Nasza-klasa, ich dane

REKLAMA

W związku z lawinowo rosnącą popularnością serwisu Nasza-klasa, Generalny Inspektor Ochrony Danych Osobowych postanowił przyjrzeć się bliżej serwisowi i sprawdzić, czy wywiązuje się on z przepisów i obowiązków, jakie narzuca na niego Ustawa o ochronie danych osobowych. Konferencja prasowa, na której przedstawiono wyniki kontroli odbyła się w siedzibie GIODO 4 lutego 2008 roku. Chociaż były pewne zastrzeżenia (m.in. do szyfrowania podczas logowania do serwisu), generalnie serwis wypadł pozytywnie. Niedługo po kontroli pojawił się niepokojący artykuł w serwisie Hacking.pl. Jego autor podważył decyzję GIODO twierdząc, iż dane prawie 8 milionów użytkowników Naszej-klasy nie są właściwie zabezpieczone.

Dodatkowo zademonstrował nawet sposób, w jaki pobrał powyższe informacje o kontach i zapisał je w postaci tabeli w Excelu. Sposób ten polegał na użyciu programu cURL - aplikacji, która pozwala wysłać lub pobrać z serwerów treść formularzy. W artykule pojawił się zrzut ekranu przedstawiający tabelkę z uzyskanymi danymi:


Arkusz Excela zawierający dane osobowe z serwisu Nasza-klasa

Na pierwszy rzut oka mogłoby się wydawać, że rzeczywiście miało tu miejsce duże niedociągnięcie ze strony GIODO. Sytuacja staje się jednak bardziej klarowna, kiedy przyjrzymy się sposobowi, w jaki działa program cURL, oraz uzyskanym przy jego pomocy danym. Program pozwala przy użyciu odpowiedniej składni wysłać lub pobrać formularz z serwera. Oznacza to, że atakujący wszedł w posiadanie jedynie informacji, które są w serwisie Nasza-klasa ogólnodostępne z poziomu zwykłego użytkownika. Jeżeli ktoś podał jedynie imię i nazwisko i żadnych dodatkowych informacji, to tylko te dane znalazłyby się w tej tabeli.

Polowanie na społeczności

Innym zagrożeniem, które często przemilcza się, a na które narażony jest każdy użytkownik większych serwisów czy portali, nie tylko społecznościowych, jest phishing. To wyrafinowana metoda wyciągania wszelkich informacji z komputera ofiary. Atakujący wysyła do ofiary wiadomość z odnośnikiem do zainfekowanej strony, gdzie użytkownik podaje dane dotyczące np. konta w banku lub proszony jest o pobranie pliku, który okazuje się być trojanem. Z pozoru metoda wydaje się prosta i pozbawiona sensu (bo kto podałby takie dane na życzenie nieznajomego), jednak sprawa staje się jasna, gdy przyjrzymy się takiej wiadomości:


Przykład wiadomości phishingowej

Z założenia wiadomość ma być łudząco podobna do maila, jaki mógłby zostać wysłany przez bank. W treści najczęściej proszeni jesteśmy o podanie nowego hasła lub autoryzację transakcji na konkretniej stronie. Jednak strona ta nie jest prawdziwą stroną banku lecz witryną spreparowaną przez cyberprzestępcę. Nie trzeba być ekspertem, aby zauważyć, że nie jest to adres banku), by przechwycić podawane na niej informacje.

Ten sam mechanizm może zostać zastosowany w odniesieniu do serwisów społecznościowych. Użytkownicy mogą otrzymywać maile informujące, że w związku ze zmianami na portalu proszeni są o kontrolne zalogowanie się. Klikając link podany w liście, przechodzą na stronę łudząco podobną do prawdziwej. Dalej scenariusz jest taki sam jak w przypadku banku. Więcej o samym phishingu przeczytasz w naszym dziale Porad Eksperta

To przydarzyło się naprawdę

Na taki problem natrafiły ostatnio dwa serwisy społecznościowe: Nasza-klasa oraz Fotka.pl. Scenariusz działania był jednak trochę inny niż ten przedstawiony wyżej. Na konta mailowe masowo rozsyłano informację, że jakiś użytkownik napisał do nas wiadomość lub chce pokazać swoje zdjęcia. Autentyczności miała dodać treść od użytkownika wraz z odnośnikiem do strony przypominającej oryginalną.


Sfałszowana wiadomość serwisu Fotka.pl

Po przejściu na stronę podaną w liście na ekranie pojawiał się komunikat, że nie można wyświetlić treści strony z powodu braku odpowiedniej wersji programu Flash Player.


Sfałszowana i zainfekowana strona, do której prowadzi odsyłacz z przedstawionego powyżej maila

Proponowano przy tym pobranie pliku o nazwie get_new_flashplayer.exe, który pozwalał zainstalować na naszej maszynie najnowszą wersję oprogramowania. Oczywiście, nie był to Flash Player tylko backdoor: Backdoor.Win32.Agent.cri.


Szkodliwy program wykryty przez oprogramowanie firmy Kaspersky Lab

Kilka szczegółów pozwalało odróżnić te wiadomości od prawdziwych:

  • w temacie wiadomości zabrakło polskiego znaku (uzytkownik, zamiast użytkownik),
  • w większości maili rozsyłanych do internautów widniały obcojęzycznie brzmiące nazwy użytkowników, a początek wiadomości często pisany był w innym języku,
  • link widniejący w wiadomości nie pokrywał się z adresem ładowanej strony,
  • prawie wszystkie odnośniki na zainfekowanej stronie rozpoczynały pobieranie zainfekowanego pliku,
  • w linkach występowały domeny inne niż polskie (pl).

Dlaczego fałszerze wybrali właśnie te portale? Aby odpowiedzieć na to pytanie, wystarczy odwołać się do statystyk popularności. Zarówno Nasza-klasa jak i Fotka.pl są najbardziej znanymi i odwiedzanymi polskimi serwisami społecznościowymi, a ponieważ atakujący rozsyłali wiadomości do przypadkowych osób, szansa trafienia w użytkowników tych portali była bardzo duża (zwłaszcza w przypadku Naszej-klasy). Dodatkowo wchodził w grę element socjotechniczny. W wiadomościach widać tylko krótki fragment treści, zatem istniało bardzo duże prawdopodobieństwo, że zaintrygowany użytkownik skorzysta z odnośnika.

Rejestracja w serwisach społecznościowych sama w sobie nie niesie zagrożenia. Niemniej jednak, zwiększa ryzyko, że przypadkowo zostaniemy oszukani. Jeżeli ktoś nigdy nie rejestrował się w takim portalu i nagle dostaje informacje o czekającym na niego zaproszeniu do grona znajomych, stosunkowo szybko powinien zdać sobie sprawę, że jest to mail fałszywy.

Kolejna sonda opracowana przez Instytut MillwardBrown SMG/KRC na zlecenie D-Link Technology Trend pokazuje świadomość użytkowników w zakresie ryzyka związanego z podawaniem danych osobowych w Internecie.


Świadomość ryzyka związanego z podawaniem danych osobowych

Z pewnością cieszy fakt, że prawie 2/3 użytkowników serwisów społecznościowych zdaje sobie sprawę z ryzyka, o jakim mówi GIODO, i nie umieszcza ważniejszych informacji o sobie. Z drugiej strony pozostaje 1/3 użytkowników, którzy albo wcale nie przejmują się bezpieczeństwem swoich danych osobowych, albo mając świadomość ryzyka, podejmują je.

Ceń swoje dane, własną prywatność oraz tożsamość. Jeżeli jest taka możliwość, ukrywaj dane dla osób niezarejestrowanych i takich, które nie należą do grona Twoich znajomych. Pamiętaj, że jeżeli ktoś bardzo będzie chciał się z Tobą skontaktować, zrobi to chociażby przez wysłanie zwykłego e-maila.

Więcej informacji o bezpieczeństwie:Kaspersky Lab Polska

Autopromocja

REKLAMA

Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie - zapraszamy do subskrybcji naszego newslettera
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

REKLAMA

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Moja firma
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Dominujący wspólnik sp. z o.o. nie podlega ubezpieczeniom społecznym jako jedyny wspólnik spółki – uchwała Sądu Najwyższego

    21 lutego 2024 r. Sąd Najwyższy (SN) podjął uchwałę (III UZP 8/23), w której stwierdził, że wspólnik dwuosobowej spółki z o.o. posiadający 99% udziałów (wspólnik dominujący) nie podlega ubezpieczeniom społecznym jako osoba prowadząca pozarolniczą działalność.

    Ceny zbóż 2024 - koniec lutego. Ile kosztują pszenica, żyto, kukurydza, jęczmień, owies, pszenżyto w Polsce i na giełdach światowych?

    Ile kosztują zboża na polskim rynku i w eksporcie w ostatniej dekadzie lutego 2024 roku? Jakie są ceny na giełdach światowych? Jakie ceny osiągają: pszenica, żyto, kukurydza, jęczmień, owies, rzepak, pszenżyto? 

    Szynka ze zmodyfikowanej genetycznie świni już za kilka lat?

    Dzięki edycji genów metodą CRISPR udało się uzyskać świnie odporne na zespół rozrodczo-oddechowy, chorobę powodującą wielkie straty w hodowli – informuje „The CRISPR Journal”.

    Polska stała się liderem pod względem złóż srebra. Wartość naszych złóż to 127 miliardów USD

    Polska stała się liderem pod względem złóż srebra, tak wynika z danych United States Geological Survey. Według aktualnych cen wartość naszych złóż rud srebra wynosi około 127 miliardów USD. Złoża szacuje się na 170 tys. ton. KGHM jest jednym z liderów światowego wydobycia srebra.

    REKLAMA

    Prawo do odłączenia, czyli czas na europejskie Porozumienie o cyfryzacji

    Prawo do odłączenia jest jednym z elementów europejskiego Porozumienia o cyfryzacji. Wypracowanie katalogu dobrych praktyk w zakresie transformacji cyfrowej w miejscu pracy oraz przygotowanie do wdrożenia Porozumienia Ramowego Europejskich Partnerów Społecznych w sprawie cyfryzacji na poziomie krajowym to główne cele projektu EFAD przygotowującego do procesu transformacji cyfrowej rynku pracy.

    KONFERENCJA O DOTACJACH - DOŚWIADCZENIA I PERSPEKTYWY. Katowice 29 lutego 2024 r. [wydarzenie bezpłatne, liczba miejsc ograniczona]

    LPW Grupa na czele z ekspertami z LPW Consulting zaprasza na kolejną edycję wydarzenia pt. KONFERENCJA O DOTACJACH - DOŚWIADCZENIA I PERSPEKTYWY. W tym roku to wydarzenie odbędzie się w czwartek 29 lutego 2024 r. w godz.: 10:00-14:00 w Parku Technologicznym Ekoenergia w Katowicach, ul. Żeliwna 38. Udział w wydarzeniu jest bezpłatny po uprzednim zapisie online. Przy czym liczba miejsc jest ograniczona. Portal infor.pl jest patronem medialnym tego wydarzenia.

    Czekolada w 2024 roku będzie droższa i nie tylko ona. Ceny kakao biją rekordy – może być nawet 7 tys. USD za tonę. Co to jest shrinkflacja?

    Nie ma dobrych wiadomości dla miłośników czekolady i kakao. Rekordowo wysokie ceny kakao na światowych giełdach nadal będą rosły i mogą nawet przekroczyć wartość 7 tys. dolarów za tonę. Tak prognozują autorzy raportu pt. „INDEKS CEN W SKLEPACH DETALICZNYCH”. Problemy z podażą i przewidywane znaczne spadki zbiorów oznaczają trzeci rok z rzędu globalnego deficytu surowca. Kluczowy okres zbierania ziaren skończy się w marcu, a następny zacznie się dopiero we wrześniu. Natomiast już w styczniu br. słodycze i desery zdrożały najbardziej ze wszystkich analizowanych kategorii produktów. Eksperci zapowiadają, że podwyżki w następnej kolejności obejmą kosmetyki, leki i suplementy bazujące na kakao. I dodają, że skok cen odczują producenci art. spożywczych, zakłady przetwórcze, cukiernie i restauracje. W następnej kolejności straty te zostaną przerzucone na konsumentów. Taki scenariusz może się wydarzyć już przed Wielkanocą. A jeśli sytuacja dalej będzie się pogarszała, to może nasilić się również zjawisko shrinkflacji. 

    Firmy widzą potencjał w sztucznej inteligencji, ale są pewne bariery

    Firmy, które zainwestowały w sztuczną inteligencję i widzą jej potencjał, chętniej rozważają dalsze innowacje. Ale są tez pewne przeszkody, z którymi muszą się mierzyć. 

    REKLAMA

    Ferie 2024. Wyjazdy nad morze coraz popularniejsze. Największą atrakcją morsowanie

    Czy Polacy coraz chętniej będą spędzać ferie nad morzem? Eksperci zauważają, że to był najlepszy początek roku w turystyce od 2019 roku. Czy przedsiębiorcom opłaca się teraz zamykać na zimę? 

    Jak założyć e-Doręczenia? Wniosek przedsiębiorcy

    Przedsiębiorcy mogą składać wnioski o utworzenie adresu do e-Doręczeń przez Biznes.gov. Po aktywacji adresu, firma korzysta ze skrzynki do e-Doręczeń w Koncie Przedsiębiorcy. Jak zrobić e-Doręczenia?

    REKLAMA