REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » e-Firma » Programy dla firm » Pokaż swoje konto, a powiem Ci kim jesteś...

Pokaż swoje konto, a powiem Ci kim jesteś...

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
08 października 2008, 13:00
Maciej Ziarek

REKLAMA

REKLAMA

Bez wątpienia serwisy społecznościowe przeżywają teraz w Polsce swoje pięć minut. Nie ma w tym nic dziwnego - w końcu pozwalają na łatwe i szybkie nawiązywanie nowych znajomości, odnajdywanie starych znajomych, których nie widzieliśmy od wielu lat. Pod tym względem są o wiele efektywniejsze od forów internetowych czy komunikatorów. Musimy jednak pamiętać, że dla nieświadomych użytkowników mogą być równie niebezpieczne.

Przybywa użytkowników serwisów społecznościowych, a w związku z tym także i danych osobowych. Wchodząc po raz pierwszy na takie portale, widzimy ambitne hasła o odnalezieniu starych znajomych czy poznaniu wielkiej społeczności internetowej. Tego typu slogany z pewnością zachęcają do rejestracji i dzielenia się swoimi danymi. O tym, jak bardzo popularne są obecnie portale społecznościowe, możemy się przekonać, patrząc na wyniki sondy przeprowadzonej przez Instytut MillwardBrown SMG/KRC na zlecenie D-Link Technology Trend. Wykres przedstawia, ile procent internautów korzysta z portali społecznościowych.

REKLAMA


Znajomość serwisów społecznościowych wśród polskich internautów

Z tego samego badania dowiadujemy się, że o istnieniu takich serwisów wie 53% Polaków, a korzysta z nich 31%. Daje to niebagatelną liczbę kilku milionów użytkowników. Takie nagromadzenie danych osobowych, wymaga odpowiedniego podejścia w zakresie bezpieczeństwa. Na forach internetowych najczęściej podajemy tylko adres e-mail, ewentualnie numer identyfikacyjny komunikatora. Portale społecznościowe po uzupełnieniu profilu mogą przechowywać następujące dane:

  • imię i nazwisko,
  • data urodzenia / wiek,
  • numer identyfikacyjny komunikatora,
  • numer telefonu komórkowego,
  • zdjęcia, filmy,
  • adres e-mail,
  • miejsca nauki/pracy,
  • wykształcenie,
  • lista znajomych/rodzina,
  • CV.

Do czego można wykorzystać dane osobowe? Scenariuszy jest wiele, a wachlarz metod użycia tych informacji jest ograniczony jedynie pomysłowością osoby, która je zbiera. Ktoś może podawać się za nas na forach lub listach dyskusyjnych i oczerniać nasze imię czy reputację. Im więcej danych zdobędzie, tym lepiej będzie mógł wypełnić profil, uwiarygodniając w ten sposób swoje wypowiedzi. Upubliczniając nasz adres e-mail lub numer identyfikacyjny komunikatora, możemy stać się ofiarami spamu i spimu (spam rozsyłany poprzez komunikatory internetowe). Dojść może także do większych nadużyć jak próba fałszowania czyjejś tożsamości.

Ważne!

Nigdy nie wiadomo, z kim tak naprawdę mamy do czynienia w Sieci, wypowiadając się na forum czy rozmawiając z nieznajomym przez komunikator.


REKLAMA

Mało kto podałby świeżo poznanej osobie takie informacje jak telefon komórkowy czy własne zdjęcia. A jednak niektórzy udostępniają takie dane w serwisach społecznościowych, umożliwiając wgląd do nich każdemu zarejestrowanemu. Nie jest problemem (zadając odpowiednie zapytanie np. w wyszukiwarce Google) odszukać informacje o kimś po szczątkowych informacjach, jak numer identyfikacyjny komunikatora. Należy także pamiętać, że w Sieci nic nigdy nie ginie. Jeżeli ktoś doda do swojego konta kompromitujące zdjęcia musi liczyć się z tym, że za 10 lat nadal będzie można je odnaleźć w Sieci, nawet jeżeli wcześniej zostały wykasowane. Internet nie wybacza błędów młodości.

Dalszy ciąg materiału pod wideo

Ze względu na olbrzymią ilość przechowywanych danych osobowych portale społecznościowe muszą dostosować się do obowiązującego na terenie Polski prawa, zwłaszcza do ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. nr 101, poz. 926 z późn. zm.). W myśl tej ustawy, na straży ochrony danych osobowych stoi Generalny Inspektor Ochrony Danych Osobowych (dalej: GIODO). W ustawie tej znajdują się odpowiednie artykuły, w myśl których instytucje oraz serwisy zbierające i przetwarzające dane osobowe winny w należyty sposób je zabezpieczyć.

W myśl art. 36 wspomnianej wyżej ustawy administrator danych jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem.

Nasza-klasa, ich dane

REKLAMA

W związku z lawinowo rosnącą popularnością serwisu Nasza-klasa, Generalny Inspektor Ochrony Danych Osobowych postanowił przyjrzeć się bliżej serwisowi i sprawdzić, czy wywiązuje się on z przepisów i obowiązków, jakie narzuca na niego Ustawa o ochronie danych osobowych. Konferencja prasowa, na której przedstawiono wyniki kontroli odbyła się w siedzibie GIODO 4 lutego 2008 roku. Chociaż były pewne zastrzeżenia (m.in. do szyfrowania podczas logowania do serwisu), generalnie serwis wypadł pozytywnie. Niedługo po kontroli pojawił się niepokojący artykuł w serwisie Hacking.pl. Jego autor podważył decyzję GIODO twierdząc, iż dane prawie 8 milionów użytkowników Naszej-klasy nie są właściwie zabezpieczone.

Dodatkowo zademonstrował nawet sposób, w jaki pobrał powyższe informacje o kontach i zapisał je w postaci tabeli w Excelu. Sposób ten polegał na użyciu programu cURL - aplikacji, która pozwala wysłać lub pobrać z serwerów treść formularzy. W artykule pojawił się zrzut ekranu przedstawiający tabelkę z uzyskanymi danymi:


Arkusz Excela zawierający dane osobowe z serwisu Nasza-klasa

Na pierwszy rzut oka mogłoby się wydawać, że rzeczywiście miało tu miejsce duże niedociągnięcie ze strony GIODO. Sytuacja staje się jednak bardziej klarowna, kiedy przyjrzymy się sposobowi, w jaki działa program cURL, oraz uzyskanym przy jego pomocy danym. Program pozwala przy użyciu odpowiedniej składni wysłać lub pobrać formularz z serwera. Oznacza to, że atakujący wszedł w posiadanie jedynie informacji, które są w serwisie Nasza-klasa ogólnodostępne z poziomu zwykłego użytkownika. Jeżeli ktoś podał jedynie imię i nazwisko i żadnych dodatkowych informacji, to tylko te dane znalazłyby się w tej tabeli.

Polowanie na społeczności

Innym zagrożeniem, które często przemilcza się, a na które narażony jest każdy użytkownik większych serwisów czy portali, nie tylko społecznościowych, jest phishing. To wyrafinowana metoda wyciągania wszelkich informacji z komputera ofiary. Atakujący wysyła do ofiary wiadomość z odnośnikiem do zainfekowanej strony, gdzie użytkownik podaje dane dotyczące np. konta w banku lub proszony jest o pobranie pliku, który okazuje się być trojanem. Z pozoru metoda wydaje się prosta i pozbawiona sensu (bo kto podałby takie dane na życzenie nieznajomego), jednak sprawa staje się jasna, gdy przyjrzymy się takiej wiadomości:


Przykład wiadomości phishingowej

Z założenia wiadomość ma być łudząco podobna do maila, jaki mógłby zostać wysłany przez bank. W treści najczęściej proszeni jesteśmy o podanie nowego hasła lub autoryzację transakcji na konkretniej stronie. Jednak strona ta nie jest prawdziwą stroną banku lecz witryną spreparowaną przez cyberprzestępcę. Nie trzeba być ekspertem, aby zauważyć, że nie jest to adres banku), by przechwycić podawane na niej informacje.

Ten sam mechanizm może zostać zastosowany w odniesieniu do serwisów społecznościowych. Użytkownicy mogą otrzymywać maile informujące, że w związku ze zmianami na portalu proszeni są o kontrolne zalogowanie się. Klikając link podany w liście, przechodzą na stronę łudząco podobną do prawdziwej. Dalej scenariusz jest taki sam jak w przypadku banku. Więcej o samym phishingu przeczytasz w naszym dziale Porad Eksperta

To przydarzyło się naprawdę

Na taki problem natrafiły ostatnio dwa serwisy społecznościowe: Nasza-klasa oraz Fotka.pl. Scenariusz działania był jednak trochę inny niż ten przedstawiony wyżej. Na konta mailowe masowo rozsyłano informację, że jakiś użytkownik napisał do nas wiadomość lub chce pokazać swoje zdjęcia. Autentyczności miała dodać treść od użytkownika wraz z odnośnikiem do strony przypominającej oryginalną.


Sfałszowana wiadomość serwisu Fotka.pl

Po przejściu na stronę podaną w liście na ekranie pojawiał się komunikat, że nie można wyświetlić treści strony z powodu braku odpowiedniej wersji programu Flash Player.


Sfałszowana i zainfekowana strona, do której prowadzi odsyłacz z przedstawionego powyżej maila

Proponowano przy tym pobranie pliku o nazwie get_new_flashplayer.exe, który pozwalał zainstalować na naszej maszynie najnowszą wersję oprogramowania. Oczywiście, nie był to Flash Player tylko backdoor: Backdoor.Win32.Agent.cri.


Szkodliwy program wykryty przez oprogramowanie firmy Kaspersky Lab

Kilka szczegółów pozwalało odróżnić te wiadomości od prawdziwych:

  • w temacie wiadomości zabrakło polskiego znaku (uzytkownik, zamiast użytkownik),
  • w większości maili rozsyłanych do internautów widniały obcojęzycznie brzmiące nazwy użytkowników, a początek wiadomości często pisany był w innym języku,
  • link widniejący w wiadomości nie pokrywał się z adresem ładowanej strony,
  • prawie wszystkie odnośniki na zainfekowanej stronie rozpoczynały pobieranie zainfekowanego pliku,
  • w linkach występowały domeny inne niż polskie (pl).

Dlaczego fałszerze wybrali właśnie te portale? Aby odpowiedzieć na to pytanie, wystarczy odwołać się do statystyk popularności. Zarówno Nasza-klasa jak i Fotka.pl są najbardziej znanymi i odwiedzanymi polskimi serwisami społecznościowymi, a ponieważ atakujący rozsyłali wiadomości do przypadkowych osób, szansa trafienia w użytkowników tych portali była bardzo duża (zwłaszcza w przypadku Naszej-klasy). Dodatkowo wchodził w grę element socjotechniczny. W wiadomościach widać tylko krótki fragment treści, zatem istniało bardzo duże prawdopodobieństwo, że zaintrygowany użytkownik skorzysta z odnośnika.

Rejestracja w serwisach społecznościowych sama w sobie nie niesie zagrożenia. Niemniej jednak, zwiększa ryzyko, że przypadkowo zostaniemy oszukani. Jeżeli ktoś nigdy nie rejestrował się w takim portalu i nagle dostaje informacje o czekającym na niego zaproszeniu do grona znajomych, stosunkowo szybko powinien zdać sobie sprawę, że jest to mail fałszywy.

Kolejna sonda opracowana przez Instytut MillwardBrown SMG/KRC na zlecenie D-Link Technology Trend pokazuje świadomość użytkowników w zakresie ryzyka związanego z podawaniem danych osobowych w Internecie.


Świadomość ryzyka związanego z podawaniem danych osobowych

Z pewnością cieszy fakt, że prawie 2/3 użytkowników serwisów społecznościowych zdaje sobie sprawę z ryzyka, o jakim mówi GIODO, i nie umieszcza ważniejszych informacji o sobie. Z drugiej strony pozostaje 1/3 użytkowników, którzy albo wcale nie przejmują się bezpieczeństwem swoich danych osobowych, albo mając świadomość ryzyka, podejmują je.

Ceń swoje dane, własną prywatność oraz tożsamość. Jeżeli jest taka możliwość, ukrywaj dane dla osób niezarejestrowanych i takich, które nie należą do grona Twoich znajomych. Pamiętaj, że jeżeli ktoś bardzo będzie chciał się z Tobą skontaktować, zrobi to chociażby przez wysłanie zwykłego e-maila.

Więcej informacji o bezpieczeństwie:Kaspersky Lab Polska

Autopromocja

REKLAMA

Źródło: INFOR
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Co trapi sektor MŚP? Nie tylko inflacja, koszty zarządzania zasobami ludzkimi i rotacja pracowników
03 gru 2024

Inflacja przekładająca się na presję płacową, rosnące koszty związane z zarządzaniem zasobami ludzkimi oraz wysoka rotacja – to trzy główne wyzwania w obszarze pracowniczym, z którymi mierzą się obecnie firmy z sektora MŚP. Z jakimi jeszcze problemami kadrowymi borykają się mikro, małe i średnie przedsiębiorstwa?
Badania ankietowe GUS: Badanie pogłowia drobiu oraz produkcji zwierzęcej (R-ZW-B) i Badanie pogłowia świń oraz produkcji żywca wieprzowego (R-ZW-S)
02 gru 2024

Główny Urząd Statystyczny od 1 do 23 grudnia 2024 r. będzie przeprowadzał obowiązkowe badania statystyczne z zakresu rolnictwa. Chodzi o następujące badania: Badanie pogłowia drobiu oraz produkcji zwierzęcej (R-ZW-B) i Badanie pogłowia świń oraz produkcji żywca wieprzowego (R-ZW-S).
Dodatkowy dzień wolny od pracy dla wszystkich pracowników w 2025 r.? To już pewne
28 lis 2024

Dodatkowy dzień wolny od pracy dla wszystkich pracowników? To już pewne. 27 listopada 2024 r. Sejm uchwalił nowelizację ustawy. Wigilia od 2025 r. będzie dniem wolnym od pracy. Co z niedzielami handlowymi? 
Zeznania świadków w sprawach o nadużycie władzy w spółkach – wsparcie dla wspólników i akcjonariuszy
27 lis 2024

W ostatnich latach coraz częściej słyszy się o przypadkach nadużyć władzy w spółkach, co stanowi zagrożenie zarówno dla transparentności działania organizacji, jak i dla interesów wspólników oraz akcjonariuszy. Przedsiębiorstwa działające w formie spółek kapitałowych z założenia powinny funkcjonować na zasadach transparentności, przejrzystości i zgodności z interesem wspólników oraz akcjonariuszy. 

REKLAMA

BCM w przemyśle: Nie chodzi tylko o przestoje – chodzi o to, co tracimy, gdy im nie zapobiegamy
26 lis 2024

Przerwa w działalności przemysłowej to coś więcej niż utrata czasu i produkcji. To potencjalny kryzys o wielowymiarowych skutkach – od strat finansowych, przez zaufanie klientów, po wpływ na środowisko i reputację firmy. Dlatego zarządzanie ciągłością działania (BCM, ang. Business Continuity Management) staje się kluczowym elementem strategii każdej firmy przemysłowej.
Z czym mierzą się handlowcy w czasie Black Friday?
26 lis 2024

Już 29 listopada będzie wyczekiwany przez wielu konsumentów Black Friday. Po nim rozpocznie się szał świątecznych zakupów i zarazem wytężonej pracy dla handlowców. Statystyki pokazują, że Polacy z roku na rok wydają i zamawiają coraz więcej. 
Taryfa C11. Szaleńcze ceny prądu w Polsce: 1199 zł/MWh, 2099 zł/MWh, 2314 zł/MWh, 3114 zł/MWh
25 lis 2024

To stawki dla biznesu. Małe i średnie firmy (MŚP nie będzie w 2025 r. objęty zamrożeniem cen prądu. 
Brakuje specjalistów zajmujących się cyberbezpieczeństwem. Luka w ujęciu globalnym od 2023 roku wzrosła o blisko 20 proc., a w Europie o 12,8 proc.
25 lis 2024

Brakuje specjalistów zajmujących się cyberbezpieczeństwem. Luka w ujęciu globalnym od 2023 roku wzrosła o blisko 20 proc., a w Europie o 12,8 proc. Ekspert przypomina: bezpieczeństwo nie jest kosztem, a inwestycją, która zapewnia ciągłość i stabilność operacyjną

REKLAMA

Zamrożenie cen energii w 2025 r. Rzecznik Małych i Średnich Przedsiębiorstw krytycznie o wycofaniu się z działań osłonowych wobec firm
22 lis 2024

Zamrożenie cen energii w 2025 r. Rzecznik Małych i Średnich Przedsiębiorstw krytycznie o wycofaniu się z działań osłonowych wobec firm. Interweniuje u premiera Donalda Tuska i marszałka Sejmu Szymona Hołowni.
ZUS: Wypłacono ponad 96,8 mln zł z tytułu świadczenia interwencyjnego. Wnioski można składać do 16 marca 2025 r.
21 lis 2024

ZUS: Wypłacono ponad 96,8 mln zł z tytułu świadczenia interwencyjnego. Wnioski można składać do 16 marca 2025 r. Zakład Ubezpieczeń Społecznych poinformował, że przygotowuje kolejne wypłaty świadczenia.

REKLAMA