Nowa wpadka GG. Prywatne dane internautów ujawnione (akt.)
GG po raz kolejny postawiło pod znakiem zapytania swoją wiarygodność. Niedawno pisaliśmy o niebezpieczeństwach czyhających na użytkowników Gadu Air. Tym razem problem dotyczy komunikatora. O co chodzi?
Czy włamywacz się odważy? (Fot. Flickr/takomabibelot/Lic. CC by)
GG po raz kolejny postawiło pod znakiem zapytania swoją wiarygodność. Niedawno pisaliśmy o niebezpieczeństwach czyhających na użytkowników Gadu Air. Tym razem problem dotyczy komunikatora. O co chodzi?
Ponad tydzień temu na forum użytkowników GG pojawiła się informacja o wykrytej luce. Odkrywca, 15-letni Karol Olszacki, po znalezieniu dziury w API GG próbował skontaktować się z GG – niestety, jego starania pozostały bez odpowiedzi.
Zgodnie z wcześniejszą deklaracją, po tygodniowym braku reakcji ze strony GG, informacje o znalezionej luce zostały opublikowane m.in. na blogu odkrywcy i w serwisie Niebezpiecznik.pl.
GG – teoretycznie – daje możliwość pokazywania profilu wyłącznie znajomym, przypadkowym osobom wyświetlając stosowny komunikat.
Zabezpieczenia te można jednak w prosty sposób obejść, co na swoim blogu opisuje Karol:
[cytat]Gdy widzimy ten komunikat, wiemy, że ta osoba nie ma nas na swojej liście kontaktów. Oprócz tego, nie widzimy live streama, bo skrypt gg po prostu go nie pobiera [z innego pliku wie, czy ta osoba ma nas na liście czy nie]. Nic jednak nie stoi na przeszkodzie, abyśmy sami go pobrali! :-D Wystarczy, że posiadamy cookie z serwisu gg.pl (jesteśmy zalogowani) i możemy pobrać live stream dowolnego numeru.[/cytat]
Jeśli chcecie sprawdzić jak to działa w praktyce, w blogu odkrywcy luki udostępniony został prosty skrypt. Miłej zabawy ;).
Biorąc pod uwagę znaczenie wykrytego błędu pozornie nie ma powodów do paniki. Ujawnione dane nie są – raczej – na tyle wrażliwe, by stanowić istotne zagrożenie dla użytkowników. Problemem jest jednak brak reakcji ze strony osób, od których zależy bezpieczeństwo komunikatora.
Tydzień to wystarczająco długo, by naprawić odkryty błąd. Jeśli GG nie reaguje w takiej sprawie, jaką mamy pewność, że w przypadku poważniejszych zagrożeń reakcja będzie skuteczniejsza?
Aktualizacja
Otrzymaliśmy informację z biura prasowego GG. Firma informuje, że luka została już załatana. W komunikacie napisano:
[cytat]Użytkownicy serwisu społecznościowego GG.pl mogą od dzisiaj korzystać z poprawionej wersji. Administratorzy serwisu wprowadzili poprawkę poprawiającą prywatność użytkowników.
Lukę usunięto po zgłoszeniu jej przez jednego z użytkowników GG Karola Olszackiego - http://olszak.tk/pl/. Mogła ona umożliwiać innym osobom dostęp do wpisów na tzw. pulpicie serwisu. Karol otrzyma w podziękowaniu prezent od GG Network.[/cytat]
Źródło: Niebezpiecznik
