Newsy z portalu nasza-klasa

Nowe miasta na NK
07.07.2010
Do katalogu kont polecanych na NK dołącza coraz więcej polskich miast. Dziś chcemy Wam przedstawić 4 miejscowości, które ostatnio pojawiły się w serwisie.
Położone u stóp Tart, Zakopane, ze słynnymi Krupówkami pachnącymi oscypkami i spoglądającym na nie Giewontem, nie od dziś jest jednym z najchętniej odwiedzanych Polskich miast o każdej porze roku. Na oficjalnym profilu miasta znajdziecie informacje o aktualnych wydarzeniach kulturalnych mających tam miejsce. Śledźcie profil Zakopanego, a dowiecie się, jakie atrakcje czekają na Was w stolicy polskich gór.
Również Łowicz, jedno z najstarszych miast polskich, o niepowtarzalnym folklorze, słynący m.in. z pasiastych spódnic i przepięknych ludowych wycinanek, możecie śledzić na NK.
Malowniczo położony w Górach Izerskich Świeradów Zdrój, jest jednym z najbardziej znanych uzdrowisk w Polsce; świeradowskie wody o leczniczych właściwościach znane są już od XIV wieku. Zapraszamy do śledzenia oficjalnego profilu Świeradowa.
Również malowniczo położona Ścinawa zaprasza Was do śledzenia swoich aktualności.

Gry na NK
06.07.2010
Od tygodnia na NK można korzystać z gier. Do tej pory najwięcej sympatyków zgromadziła gra zręcznościowa Icy Tower, a lista gier wydłużyła się o kolejne propozycje.
Do gier można się dostać z górnego menu widocznego na każdej stronie serwisu.
Obecnie w katalogu znajdują się: wzmiankowana Icy Tower, Miejskie Gangi, Crazy Charlie, Funtris , Pet Party, Turtle Squad, a niedawno dołączyły do nich Szpital i Moja Szkoła.
Szpital to gra, w której uczestnik dostaje na początku rozgrywki niewielki szpital, musi go odnawiać i ulepszać, by zostać dyrektorem dobrze prosperującej placówki. Nieodzowna jest tu pomoc przyjaciół.
Dyrektorem też można zostać w Mojej Szkole, rozwijać kompleks budynków, dbać o edukację i bezpieczeństwo uczniów.

Źródło: http://nk.pl/blog/portal

Hakerzy zaatakowali portal nasza-klasa

Znany portal walczy z lewymi reklamami. Autorzy fikcyjnych kont w rękach policji.
Na ponad 60 milionów złotych wycenili swoje straty spowodowane działalnością dwóch młodych hakerów właściciele wrocławskiego serwisu Nasza-klasa.pl.

Komputerowcy ze Śląska stworzyli program do rozprowadzania tzw. spamu, czyli niechcianych reklam. Działał tak, że do każdego nowego zdjęcia publikowanego w serwisie dopisywał miły komentarz. Ale oprócz ciepłych słów pojawiała się tam również reklama płatnej strony do ściągania plików. Policja ustaliła, że wysłano ok. 120 tys. takich komentarzy.

Skąd wzięło się 60 milionów złotych strat? Joanna Gajewska, rzecznik prasowy serwisu, tłumaczy że to wyliczenia na podstawie cennika reklam w Naszej-klasie. Wydawcy strony policzyli, ile hakerzy zapłaciliby za reklamę, gdyby zamówili ją legalnie.

Aby usunąć przygotowany przez hakerów program, trzeba było na godzinę wyłączyć serwer. Wtedy Nasza-klasa była nieczynna.
- Autorzy programu odpowiedzą przed sądem rodzinnym - zapowiada Janusz Jończyk z katowickiej policji.

60 milionów zł hakerzy płacić nie będą musieli.
- Nie wyciągniemy większych konsekwencji w przypadku zatrzymanych osób. Niech potraktują to jako ostatnie ostrzeżenie - mówi Gajewska.
Tymczasem policjanci z Łodzi zatrzymali kolejnych dwóch spamerów - ojca i syna. Tym razem z Sieradza. Dla nich nie będzie litości.
- Mieli bardzo profesjonalny sprzęt, m.in. szafę serwerową - mówi Gajewska.

Mężczyźni za pośrednictwem Naszej-klasy sprzedawali kościelne obrazki. Młodszy z panów opracował skrypt komputerowy pozwalający na automatyczne tworzenie fikcyjnych kont. Za ich pośrednictwem na ogromną skalę rozsyłano do innych użytkowników portalu reklamy. Sprawą zajęła się prokuratura. Hakerom grozi więzienie.

Źródło: http://wroclaw.naszemiasto.pl/wydarzenia/895660.html

Nasza-Klasa - Pobierz dane milionów polaków

16 stycznia w Faktach i innych programach telewizyjnych obejrzeliśmy informację o tym, że Nasza-Klasa ma zostać skontrolowana przez GIODO. Jeden z właścicieli Naszej-Klasy zapewniał że dane są bezpieczne, umieszczone i chronione w super nowoczesnej, poznańskiej serwerowni (w podziemiach Starego Browaru) - tylko co ma piernik do wiatraka ??

Dane 7 mln (prawie 8 mln) użytkowników, niestety każdy może sobie pobrać na swój własny komputer przy pomocy np. VPS za 5 $. Dane takie jak imię, nazwisko (często również rodowe), ukończona szkoła, zdjęcia, czasem numer telefonu i gg, nie są ukryte. Wątpię czy policja dysponuje lepszą bazą danych. Więc do dzieła :

Zaczynamy pobieranie od zalogowania się w serwisie. Wystarczy nam do tego curl.

curl_setopt($c, CURLOPT_URL, 'http://nasza-klasa.pl/login');
curl_setopt($c, CURLOPT_POST, 1);
curl_setopt($c, CURLOPT_POSTFIELDS,
'login=******&password=******');

Załóżmy, że formularz logowania przeszedł - otrzymujemy zwrot z identyfikatorem sesji np.
'nk_session=fssofsfX76bggfdfs3g9hBRge' coś takiego.

Ponownie wrzucamy to do curl'a

curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_COOKIE, $cookie);
curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)");

Ameryki tutaj nie odkrywam. Wystarczy zwiększać ID użytkownika (n+1), filtrujemy stronę preg_match_all .... i mamy wszystkie dane o użytkowniku. Oto zaimportowane dane w exelowej tabelce:

Podstawowe błędy serwisu Nasza-Klasa:
Nadawanie kolejnych numerów użytkownikom zamiast losowych znaków;
Brak możliwości zablokowania podglądu profilu dla nieznajomych (nie ma nawet takiej opcji);
Brak zabezpieczeń takich jak kody captcha uruchamiane np. po odwiedzeniu więcej niż 15 profili;
Bardzo proste metody logowania.
Wyszukiwanie po GG i Skype to istny raj. Wystarczy mi Twój numer GG a powiem Ci jak wyglądasz.
Jedynym atutem jest tylko i wyłącznie to, że ich serwery strasznie zamulają i w rzeczywistości pojedyncza osoba pobierze najwyżej kilkadziesiąt tysięcy rekordów. Ale co z zorganizowaną grupą ludzi posiadającą pieniądze na dobre serwery... w tej samej serwerowni ;) Tutaj praktycznie żadne zabezpieczenia nie podziałają, tylko Twoja ostrożność i traktowanie internetu na poważnie gwarantuje bezpieczeństwo.

Co należy robić by zachować odrobinę anonimowości?
Lepiej umieszczać mniej danych o sobie niż więcej. Po co w naszej klasie umieszczać numer telefonu? Czy na pewno znajomy z przed 20 lat zadzwoni? Podobnie z numerem GG;
Czy na pewno musisz podawać nazwisko? Najlepiej zrobić skrót np. Anna W. przecież jak jesteś dopisany do swoich klas nie jest Ci ono tak naprawdę potrzebne;
Podnieca Ciebie jak pół polski widzi Twoje zdjęcie w stroju kąpielowym?

Źródło: http://hacking.pl/pl/news-7280-Nasza_Klasapl_pobierz_sobie_dane_milionow_Polakow_.html