Facebook Google+ Twitter

Grono.net informuje o błędzie po publikacjach Wiadomości24.pl

Współautorzy: Adam Plona

– Z przykrością informujemy, iż w efekcie błędnej konfiguracji robota indeksującego w wyszukiwarce internetowej Google pojawiły się informacje z serwisu grono.net nie przeznaczone do indeksowania – zaczyna się komunikat prasowy, jaki właśnie pojawił się na stronach społecznościowego serwisu Grono.net. Wiadomości24.pl ujawniły, że w wyszukiwarce Google można znaleźć prywatne dane użytkowników Grona.

fot. www.grono.net.plPo informacji Wiadomości24.pl, sprawą zajął się już Główny Inspektor Ochrony Danych Osobowych. – Jeśli będzie trzeba, poinformujemy organy ścigania – mówią urzędnicy. Pracownicy serwisu Grono.net nie chcieli z nami rozmawiać. – Prześlemy wkrótce oficjalne stanowisko – powiedział Mikołaj Nowak, User Support Manager. Na stronach Grono.net pojawił się komunikat prasowy .


– Sprawdzimy, czy serwis Grono.net spełnił wszystkie wymogi prawne. Jeżeli będzie taka potrzeba, poinformujemy odpowiednie organy ścigania – powiedziała nam Małgorzata Kałużyńska-Jasak, rzecznik prasowy GIODO. – Jeśli ktoś czuje się pokrzywdzony działalnością serwisu Grono.net, prosimy o składanie skarg.

Co się stało?

Grono.net to zamknięty serwis społecznościowy. Aby się w nim znaleźć, trzeba dostać zaproszenie od kogoś, kto jest już jego użytkownikiem. Z tego powodu internauci zarejestrowani w Gronie decydowali się upubliczniać więcej prywatnych danych niż zazwyczaj, w innych portalach. Mieli pewność, że nikt, kto nie jest członkiem Grona, nie będzie miał do nich dostępu. Wczoraj, dzięki naszemu tekstowi , dowiedzieli się, że telefony, adresy oraz imiona i nazwiska użytkowników serwisu są dostępne... publicznie. Wystarczy wpisać hasło "grono.net" w wyszukiwarkę Google. Telefony, imiona i nazwiska, daty urodzenia – to wszystko można znaleźć w wyszukiwarce.

Regulamin Grono.net mówi: §5 2. Gromadzone przez serwis dane nie będą udostępniane innym podmiotom, chyba, że po uzyskaniu uprzedniej zgody użytkownika. Tym razem zgromadzone dane zostały ujawnione wszystkim możliwym podmiotom, które mają dostęp do internetu.

Wiedzieli wcześniej?


– Grono.net zostało przeindeksowane przez Google bez naszej wiedzy. To poważny błąd, który jak najszybciej zostanie poprawiony – skomentował wczoraj Mikołaj Nowak, zajmujący się serwisem.

Administratorzy Grona wiedzieli o błędzie już wcześniej, bo przed świętami Bożego Narodzenia. Dodatkowo 30 grudnia jeden z użytkowników powiadomił serwis o problemie.

– Od czasu zgłoszenia, nasz zespół badał przyczynę problemu. Następnie okres przedświąteczny uniemożliwił nam działanie w tej sprawie. Niedawno zlokalizowaliśmy przyczynę po stronie robota reklam AdSense Google. Ten udostępnił więcej, niż dane publiczne z serwisu, za co oczywiście przepraszamy – napisał wczoraj Mikołaj Nowak.

Dziś okazało się , że upublicznione mogły być nawet skrzynki wiadomości przechowywane w serwisie. Pracownicy Grono.net nie chcieli z nami rozmawiać. – Nie udzielam żadnych informacji. Prześlemy wkrótce oficjalne stanowisko – zakończył rozmowę Mikołaj Nowak, User Support Manager.

O kolejnych lukach w systemach Grona doniósł portal IDG.pl. – Poinformowaliśmy o usterce w tym serwisie, umożliwiającej przejęcie nazwy i hasła użytkownika i w rezultacie - kradzież konta. Obsługa grono.net została już szczegółowo poinformowana o możliwościach potencjalnego ataku. Jeden z komentarzy przy poprzedniej informacji sugeruje, iż błąd naprawiono, w rzeczywistości jednak - możliwość przejęcie hasła ciągle istnieje – czytamy dzisiaj na stronach portalu IDG.pl.

Podobnie jest w przypadku dziury wykrytej przez naszego autora – prywatne dane wciąż można oglądać za pomocą Google. – Kopia strony trzymana jest w Google przez dość długi czas, nawet gdy sama strona przestaje być dostępna. Istnieje jednak procedura umożliwiająca usunięcie zindeksowanych zasobów – tłumaczy Przemysław Jaroszwski, z firmy Cert Polska, zajmującej się bezpieczeństwem internetowym. Do tego, by prywatne dane zniknęły z serwerów Google wcześniej, potrzebna jest jednak interwencja właścicieli serwisu Grono.net.

Trzeba uważać

Błędy w zabezpieczeniach Grono.net nie są przypadkiem odosobnionym. – Pozostawianie dokumentów w przestrzeniach serwerów WWW bez świadomości, że mogą one być zindeksowane przez wyszukiwarkę jest powszechne. Jest cała szkoła odpowiedniego odpytywania Google tak, by dostać interesujące wyniki zawierające np. dane osobowe, dane finansowe – mówi Przemysław Jaroszewski.

Podobnego zdania jest Małgorzata Kałużyńska-Jasak, rzecznik GIODO. – Kontrola nad danymi w internecie jest iluzoryczna – mówi. – Zanim naciśniemy enter, warto się zastanowić czy warto przekazywać swoje dane osobowe, czy nie zostaną one nigdzie upublicznione.

Wyjaśnienia Grono.pl

Po godzinie 20.00, na redakcyjną skrzynkę dotarł mail od Grono.net. Oto jego treść. Bez zmian i skrótów.

"Oświadczenie Zarządu grono.net

Zarząd grono.net informuje, iż w efekcie błędnej konfiguracji robota indeksującego w wyszukiwarce internetowej Google pojawiły się informacje z serwisu grono.net nie przeznaczone do indeksowania. Co istotne, poprzez Google dostępne były wyłącznie informacje, które są jawne dla wszystkich użytkowników grono.net. Dokładnie rodzaj wyświetlanych w Google informacji oraz przyczyny wyjaśniamy w załączonej informacji.

Zarząd firmy pragnie przeprosić użytkowników za zaistniałą sytuację. Pomimo, iż nie doszło do ujawnienia żadnych tajnych danych i bezpieczeństwo prywatności użytkowników nie było zagrożone, przyznajemy, że sytuacja ta nie powinna mieć miejsca.

Traktując kwestie bezpieczeństwa bardzo poważnie nie zlekceważyliśmy tej usterki. Zablokowaliśmy działanie wadliwego skryptu Google i na wszelki wypadek zwróciliśmy się o usunięcie w trybie ekspresowym z wyszukiwarki wszelkich informacji pochodzących z grono.net. Konsekwencją tej decyzji będzie czasowe całkowite zniknięcie serwisu grono.net z Google. W zaistniałej sytuacji zarząd grono.net uznał jednak, iż najważniejsze jest dobro i zaufanie użytkowników.

Raz jeszcze przepraszamy za ewentualne niedogodności.

Z poważaniem,
Zarząd grono.net


# # #

Co się stało?
W wyszukiwarce Google w wyniku błędu skryptu indeksującego znalazły się informacje o użytkownikach grono.net, które normalnie dostępne są dla innych użytkowników grono.net a nie dla wszystkich internautów. Są to informacje, które użytkownicy sami zdecydowali się uczynić publicznymi dla innych członków grono.net. Ani ich charakter, ani zakres nie powodował żadnego zagrożenia – np. uzyskania dostępu do poczty czy przejęcia konta użytkownika.
Przyczyna usterki została przez grono.net usunięta. Zwróciliśmy się także do Google o usunięcie w trybie ekspresowym z wyszukiwarki wszystkich informacji pochodzących z grono.net.

Jakie dane znalazły się w Google?
Skrypt indeksujący Google Bot był zarejestrowany w serwisie grono.net jako zwykły użytkownik i miał dostęp wyłącznie do widocznych publicznie danych – tych samych do jaki dostęp mają wszyscy użytkownicy grono.net. Dostępne były więc dane, które sam użytkownik zdecydował się ujawnić innym uczestnikom grono.net. Nie znalazły się w Google zastrzeżone dane konta użytkownika, hasła itd. Nie zostały także ujawnione dane, które użytkownik uczynił dostępnymi np. wyłącznie znajomym. Google Bot nie indeksował także ukrytych gron, ani żadnych innych informacji, których członkowie społeczności grono.net nie chcieli ujawnić. Zindeksowane zostały więc wyłącznie informacje widoczne dla każdego z miliona użytkowników serwisu. W okresie współpracy reklamowej z systemem Google, skrypt zindeksował jedynie ok. 15% profili użytkowników grono.net.


Dlaczego tak się stało?
Pod koniec 2006 roku serwis grono.net nawiązał współpracę reklamową z wyszukiwarką Google. Na podstawie instrukcji dostarczonych przez Google uruchomiono specjalny skrypt indeksujący, mający na celu jak najlepsze dopasowanie wyświetlanych na stronach grono.net reklam do poszczególnych profili użytkowników i gron tematycznych. Celem działania systemu AdSense jest dostarczanie użytkownikowi wyłącznie reklam potencjalnie go interesujących.
Skrypt indeksujący zadziałał wadliwie i umieścił w wyszukiwarce także strony nie przeznaczone dla wszystkich internautów a jedynie dla innych użytkowników grono.net.

Jakie działania podjęliśmy?
Po stwierdzeniu tej sytuacji zarząd grono.net podjął decyzję o zakończeniu opartej na systemie AdSense współpracy reklamowej z Google. Zwróciliśmy się także do Google o usunięcie wszystkich rekordów dotyczących grono.net z tej wyszukiwarki.

Jak ma się ta sytuacja do niedawnego ostrzeżenia przed atakiem XSS?
Są to dwie, niezależne od siebie sprawy. Kilka dni temu pojawiła się informacja o potencjalnej możliwości ataku XSS na serwis grono.net. Dzięki szybkiemu wykryciu i natychmiastowej likwidacji luki nie odnotowaliśmy żadnej próby ataku dokonanego przy użyciu tej metody. Nie pojawiły się także publicznie informacje, w jaki sposób tego typu atak można było przeprowadzić. Obecnie serwis grono.net jest więc całkowicie bezpieczny."

Wybrane dla Ciebie:




Komentarze (34):

Sortuj komentarze:

Świetny artykuł. Dobre dziennikarstwo interwencyjne. Mam jedynie małą, malutką uwagę, ale to takie moje typowo zawodowe zboczenie :) Organ zajmujący się w Polsce ochroną danych osobowych to Generalny (a nie Główny) Inspektor Ochrony Danych Osobowych.

Komentarz został ukrytyrozwiń

Czarownico - o jakim Ty niebezpieczeństwie mówisz? O tym, że Państwo w24 zareagowało nadpobudliwie, niemalże jak fikcyjne tvn'owe w11 :) robiąc wielką aferę, żeby wylansować swój sajt?
Hm, dla mnie jak sensacja to sensacja, ale nie z 'igły widły'. Robienie sensacji z tego, że ludzie umieścili swoje dane (świadomie) w Internecie a następnie firma software'owa taka, jak to całe grono miała buga :) WOW.
Tak na marginesie: idę komentować inne artykuły :)

Komentarz został ukrytyrozwiń

Nie mogę ominąć tego materiału i nie przyznać plusa. Brawo!

Komentarz został ukrytyrozwiń

ja jestem takim samym użytkownikiej jak Ty - bez dodatkowych praw / odobiązków / odpowiedzialności - chodzi mi o to, że jak widzę napis "wersja testowa" to podchodze do całości z dużo większą rezerwą, czujnością, mniejszym zaufaniem. jednocześnie zauważyłam, zaglądając tu co jakiś czas, jak reagują "twórcy" na odkrywane problemy. na grono.net wszyscy byli zapewniani o doskonałym bezpieczeństwie danych, a jednocześnie, gdy pojawiły się schody - przez tak długi okres "szukano powodów" nie informując o niebezpieczeństwie użytkowników. to jest dla mnie istotna różnica w owej polityce.

Komentarz został ukrytyrozwiń

doskonale wiedziałeś, że To jest wersja testowa serwisu. Jeśli miałeś jakieś uwagi, zauważyłeś, że coś nie działa, mogłeś do nas napisać! "

ot, co z Waszej polityki

Komentarz został ukrytyrozwiń

Rozumiem, że metka 'beta' daje Wam nieograniczone wprost możliwości wymigiwania się od odpowiedzialności, jaką jest dbanie o bezpieczeństwo zarejestrowanych użytkowników. Jak coś się stanie, włamanie na konto, przejęcie danych, to możecie powiedzieć przecież: "sorry, ale

Komentarz został ukrytyrozwiń

etiuda... jedna mała rożnica: tutaj na samej górze strony widnieje napis "To jest wersja testowa serwisu. Jeśli macie jakieś uwagi, zauważycie, że coś nie działa, piszcie do nas!" a poprawki wprowadzane są na bierząco i wykrytych problemów nikt nie próbuje ukryć za szafą

Komentarz został ukrytyrozwiń

Od czego tu zaczac. Hm.
Otoz, zgodnie z regulaminem grono. net, firma brandlej jest administratorem bazy danych osobowych. Natomiast wg. GIODO takowa nie istnieje. Dziwne odrobine? Nawet bardziej niz odrobine.
Ciekawe w co chlopcy z brandleja pogrywaja? Ten regulamin jest bardzo elastyczny oraz bardzo nieprawdziwy. A i firme stawia w dosc nieciekwym swietle.
"Wraz z rejestracją użytkownik wyraża zgodę na gromadzenie, przetwarzanie oraz wykorzystywanie przekazanych przez siebie danych osobowych przez serwis grono. net w celach statystycznych i marketingowych. Administratorem powyższych danych osobowych jest Brandlay Sp. z o.o. z siedzibą w Zielonej Górze, Plac Słowiański 13 - właściciel i administrator serwisu grono. net".
Wg. GIODO baza danych grono.net zarejestrowana jest na firme Luksorna (odpowiedz telefoniczna z GIODO).
Wiec o co chodzi?

Komentarz został ukrytyrozwiń

Szacun, cóż dodać plus

Komentarz został ukrytyrozwiń

Dziennikarze potrafią wytykać błędy innym, ale nie dostrzegają swoich. Sprawa tyczy się chyba wystarczająco wolnego i 'obłędowanego' grona.net. Chciałabym się dowiedzieć, jak redakcja w24 ustosunkuje się do tego: http://kacper.bblog.pl/wpis,uzytkownicy;wiadomosci24;pl;uwazajcie,1343.html
jak już wspominałam wcześniej, w komentarzu odnośnie innego artykułu chciałabym o wyżej opisanym problemie napisać na łamach w24. Mam nadzieję, że mój reportaż nie zniknie w nagłych okolicznościach?

Komentarz został ukrytyrozwiń

Jeśli chcesz dodawać komentarze, musisz się zalogować.

Najpopularniejsze

Copyright 2017 Wiadomosci24.pl

Korzystamy z cookies i local storage.

Bez zmiany ustawień pliki są zapisywane na urządzeniu. Więcej przeczytasz tutaj.