Grono.net informuje o błędzie po publikacjach Wiadomości24.pl

Po informacji Wiadomości24.pl, sprawą zajął się już Główny Inspektor Ochrony Danych Osobowych. – Jeśli będzie trzeba, poinformujemy organy ścigania – mówią urzędnicy. Pracownicy serwisu Grono.net nie chcieli z nami rozmawiać. – Prześlemy wkrótce oficjalne stanowisko – powiedział Mikołaj Nowak, User Support Manager. Na stronach Grono.net pojawił się komunikat prasowy .


– Sprawdzimy, czy serwis Grono.net spełnił wszystkie wymogi prawne. Jeżeli będzie taka potrzeba, poinformujemy odpowiednie organy ścigania – powiedziała nam Małgorzata Kałużyńska-Jasak, rzecznik prasowy GIODO. – Jeśli ktoś czuje się pokrzywdzony działalnością serwisu Grono.net, prosimy o składanie skarg.

Co się stało?

Grono.net to zamknięty serwis społecznościowy. Aby się w nim znaleźć, trzeba dostać zaproszenie od kogoś, kto jest już jego użytkownikiem. Z tego powodu internauci zarejestrowani w Gronie decydowali się upubliczniać więcej prywatnych danych niż zazwyczaj, w innych portalach. Mieli pewność, że nikt, kto nie jest członkiem Grona, nie będzie miał do nich dostępu. Wczoraj, dzięki naszemu tekstowi , dowiedzieli się, że telefony, adresy oraz imiona i nazwiska użytkowników serwisu są dostępne... publicznie. Wystarczy wpisać hasło "grono.net" w wyszukiwarkę Google. Telefony, imiona i nazwiska, daty urodzenia – to wszystko można znaleźć w wyszukiwarce.

Regulamin Grono.net mówi: §5 2. Gromadzone przez serwis dane nie będą udostępniane innym podmiotom, chyba, że po uzyskaniu uprzedniej zgody użytkownika. Tym razem zgromadzone dane zostały ujawnione wszystkim możliwym podmiotom, które mają dostęp do internetu.

Wiedzieli wcześniej?

– Grono.net zostało przeindeksowane przez Google bez naszej wiedzy. To poważny błąd, który jak najszybciej zostanie poprawiony – skomentował wczoraj Mikołaj Nowak, zajmujący się serwisem.

Administratorzy Grona wiedzieli o błędzie już wcześniej, bo przed świętami Bożego Narodzenia. Dodatkowo 30 grudnia jeden z użytkowników powiadomił serwis o problemie.

– Od czasu zgłoszenia, nasz zespół badał przyczynę problemu. Następnie okres przedświąteczny uniemożliwił nam działanie w tej sprawie. Niedawno zlokalizowaliśmy przyczynę po stronie robota reklam AdSense Google. Ten udostępnił więcej, niż dane publiczne z serwisu, za co oczywiście przepraszamy – napisał wczoraj Mikołaj Nowak.

Dziś okazało się , że upublicznione mogły być nawet skrzynki wiadomości przechowywane w serwisie. Pracownicy Grono.net nie chcieli z nami rozmawiać. – Nie udzielam żadnych informacji. Prześlemy wkrótce oficjalne stanowisko – zakończył rozmowę Mikołaj Nowak, User Support Manager.

O kolejnych lukach w systemach Grona doniósł portal IDG.pl. – Poinformowaliśmy o usterce w tym serwisie, umożliwiającej przejęcie nazwy i hasła użytkownika i w rezultacie - kradzież konta. Obsługa grono.net została już szczegółowo poinformowana o możliwościach potencjalnego ataku. Jeden z komentarzy przy poprzedniej informacji sugeruje, iż błąd naprawiono, w rzeczywistości jednak - możliwość przejęcie hasła ciągle istnieje – czytamy dzisiaj na stronach portalu IDG.pl.

Podobnie jest w przypadku dziury wykrytej przez naszego autora – prywatne dane wciąż można oglądać za pomocą Google. – Kopia strony trzymana jest w Google przez dość długi czas, nawet gdy sama strona przestaje być dostępna. Istnieje jednak procedura umożliwiająca usunięcie zindeksowanych zasobów – tłumaczy Przemysław Jaroszwski, z firmy Cert Polska, zajmującej się bezpieczeństwem internetowym. Do tego, by prywatne dane zniknęły z serwerów Google wcześniej, potrzebna jest jednak interwencja właścicieli serwisu Grono.net.

Trzeba uważać

Błędy w zabezpieczeniach Grono.net nie są przypadkiem odosobnionym. – Pozostawianie dokumentów w przestrzeniach serwerów WWW bez świadomości, że mogą one być zindeksowane przez wyszukiwarkę jest powszechne. Jest cała szkoła odpowiedniego odpytywania Google tak, by dostać interesujące wyniki zawierające np. dane osobowe, dane finansowe – mówi Przemysław Jaroszewski.

Podobnego zdania jest Małgorzata Kałużyńska-Jasak, rzecznik GIODO. – Kontrola nad danymi w internecie jest iluzoryczna – mówi. – Zanim naciśniemy enter, warto się zastanowić czy warto przekazywać swoje dane osobowe, czy nie zostaną one nigdzie upublicznione.

Wyjaśnienia Grono.pl

Po godzinie 20.00, na redakcyjną skrzynkę dotarł mail od Grono.net. Oto jego treść. Bez zmian i skrótów.

"Oświadczenie Zarządu grono.net

Zarząd grono.net informuje, iż w efekcie błędnej konfiguracji robota indeksującego w wyszukiwarce internetowej Google pojawiły się informacje z serwisu grono.net nie przeznaczone do indeksowania. Co istotne, poprzez Google dostępne były wyłącznie informacje, które są jawne dla wszystkich użytkowników grono.net. Dokładnie rodzaj wyświetlanych w Google informacji oraz przyczyny wyjaśniamy w załączonej informacji.

Zarząd firmy pragnie przeprosić użytkowników za zaistniałą sytuację. Pomimo, iż nie doszło do ujawnienia żadnych tajnych danych i bezpieczeństwo prywatności użytkowników nie było zagrożone, przyznajemy, że sytuacja ta nie powinna mieć miejsca.

Traktując kwestie bezpieczeństwa bardzo poważnie nie zlekceważyliśmy tej usterki. Zablokowaliśmy działanie wadliwego skryptu Google i na wszelki wypadek zwróciliśmy się o usunięcie w trybie ekspresowym z wyszukiwarki wszelkich informacji pochodzących z grono.net. Konsekwencją tej decyzji będzie czasowe całkowite zniknięcie serwisu grono.net z Google. W zaistniałej sytuacji zarząd grono.net uznał jednak, iż najważniejsze jest dobro i zaufanie użytkowników.

Raz jeszcze przepraszamy za ewentualne niedogodności.

Z poważaniem,
Zarząd grono.net


# # #

Co się stało?
W wyszukiwarce Google w wyniku błędu skryptu indeksującego znalazły się informacje o użytkownikach grono.net, które normalnie dostępne są dla innych użytkowników grono.net a nie dla wszystkich internautów. Są to informacje, które użytkownicy sami zdecydowali się uczynić publicznymi dla innych członków grono.net. Ani ich charakter, ani zakres nie powodował żadnego zagrożenia – np. uzyskania dostępu do poczty czy przejęcia konta użytkownika.
Przyczyna usterki została przez grono.net usunięta. Zwróciliśmy się także do Google o usunięcie w trybie ekspresowym z wyszukiwarki wszystkich informacji pochodzących z grono.net.

Jakie dane znalazły się w Google?
Skrypt indeksujący Google Bot był zarejestrowany w serwisie grono.net jako zwykły użytkownik i miał dostęp wyłącznie do widocznych publicznie danych – tych samych do jaki dostęp mają wszyscy użytkownicy grono.net. Dostępne były więc dane, które sam użytkownik zdecydował się ujawnić innym uczestnikom grono.net. Nie znalazły się w Google zastrzeżone dane konta użytkownika, hasła itd. Nie zostały także ujawnione dane, które użytkownik uczynił dostępnymi np. wyłącznie znajomym. Google Bot nie indeksował także ukrytych gron, ani żadnych innych informacji, których członkowie społeczności grono.net nie chcieli ujawnić. Zindeksowane zostały więc wyłącznie informacje widoczne dla każdego z miliona użytkowników serwisu. W okresie współpracy reklamowej z systemem Google, skrypt zindeksował jedynie ok. 15% profili użytkowników grono.net.


Dlaczego tak się stało?
Pod koniec 2006 roku serwis grono.net nawiązał współpracę reklamową z wyszukiwarką Google. Na podstawie instrukcji dostarczonych przez Google uruchomiono specjalny skrypt indeksujący, mający na celu jak najlepsze dopasowanie wyświetlanych na stronach grono.net reklam do poszczególnych profili użytkowników i gron tematycznych. Celem działania systemu AdSense jest dostarczanie użytkownikowi wyłącznie reklam potencjalnie go interesujących.
Skrypt indeksujący zadziałał wadliwie i umieścił w wyszukiwarce także strony nie przeznaczone dla wszystkich internautów a jedynie dla innych użytkowników grono.net.

Jakie działania podjęliśmy?
Po stwierdzeniu tej sytuacji zarząd grono.net podjął decyzję o zakończeniu opartej na systemie AdSense współpracy reklamowej z Google. Zwróciliśmy się także do Google o usunięcie wszystkich rekordów dotyczących grono.net z tej wyszukiwarki.

Jak ma się ta sytuacja do niedawnego ostrzeżenia przed atakiem XSS?
Są to dwie, niezależne od siebie sprawy. Kilka dni temu pojawiła się informacja o potencjalnej możliwości ataku XSS na serwis grono.net. Dzięki szybkiemu wykryciu i natychmiastowej likwidacji luki nie odnotowaliśmy żadnej próby ataku dokonanego przy użyciu tej metody. Nie pojawiły się także publicznie informacje, w jaki sposób tego typu atak można było przeprowadzić. Obecnie serwis grono.net jest więc całkowicie bezpieczny."