Gadu-Gadu a prywatne dane internautów
Jeden z użytkowników serwisu społecznościowego GG.pl znalazł lukę umożliwiającą sprawdzenie prywatnych informacji wszystkim użytkownikom. Luka została już zlikwidowana.
Ponad tydzień temu na forum użytkowników GG pojawiła się informacja o wykrytej luce. Odkrywca, 15-letni Karol Olszacki, po znalezieniu dziury w API GG próbował skontaktować się z GG. Niestety, jego starania pozostały bez odpowiedzi. Zgodnie z wcześniejszą deklaracją, po tygodniowym braku reakcji ze strony GG, informacje o znalezionej luce zostały opublikowane m.in. na blogu odkrywcy i w serwisie Niebezpiecznik.pl.
Oficjalne oświadczenie Gadu-Gadu przedstawiamy na dole newsa
GG - teoretycznie - daje możliwość pokazywania profilu wyłącznie znajomym, przypadkowym osobom wyświetlając stosowny komunikat:
Zabezpieczenia te można jednak w prosty sposób obejść, co na swoim blogu opisuje Karol: "Gdy widzimy ten komunikat, wiemy, że ta osoba nie ma nas na swojej liście kontaktów. Oprócz tego, nie widzimy live streama, bo skrypt gg po prostu go nie pobiera [z innego pliku wie, czy ta osoba ma nas na liście czy nie]. Nic jednak nie stoi na przeszkodzie, abyśmy sami go pobrali! :-D Wystarczy, że posiadamy cookie z serwisu gg.pl (jesteśmy zalogowani) i możemy pobrać live stream dowolnego numeru".
Jeśli chcecie sprawdzić jak to działa w praktyce, w blogu odkrywcy luki udostępniony został prosty skrypt. Miłej zabawy. Biorąc pod uwagę znaczenie wykrytego błędu, pozornie nie ma powodów do paniki. Ujawnione dane nie są - raczej - na tyle wrażliwe, by stanowić istotne zagrożenie dla użytkowników. Problemem jest jednak brak reakcji ze strony osób, od których zależy bezpieczeństwo komunikatora.
Otrzymaliśmy oficjalne oświadczenie Gadu-Gadu - luka została usunięta. Treść przedstawiamy poniżej:
"Użytkownicy serwisu społecznościowego GG.pl mogą od dzisiaj korzystać z poprawionej wersji. Administratorzy serwisu wprowadzili poprawkę poprawiającą prywatność użytkowników. Lukę usunięto po zgłoszeniu jej przez jednego z użytkowników GG, Karola Olszackiego - http://olszak.tk/pl/ . Mogła ona umożliwiać innym osobom dostęp do wpisów na tzw. pulpicie serwisu. Karol otrzyma w podziękowaniu prezent od GG Network.
- Dziękujemy za zgłoszenie błędu - mówi Zbigniew Pieńkowski, CIO GG Network S.A. - Prywatność użytkowników jest naszym jednym z głównych priorytetów. Dlatego każde takie zgłoszenie rozpatrujemy z pełną powagą. Przy tak dynamicznie rozwijającym się serwisie w skali społeczności GG.pl zawsze mogą zdarzać się jakieś potknięcia, ale najważniejsze, żeby je skutecznie usuwać. Wszelkie uwagi, błędy można zgłaszać na beta@gadu-gadu.pl."
Łukasz Michalik
Źródło: http://vbeta.pl
