Gadu-Gadu a prywatne dane internautów

Jeden z użytkowników serwisu społecznościowego GG.pl znalazł lukę umożliwiającą sprawdzenie prywatnych informacji wszystkim użytkownikom. Luka została już zlikwidowana.

Ponad tydzień temu na forum użytkowników GG pojawiła się informacja o wykrytej luce. Odkrywca, 15-letni Karol Olszacki, po znalezieniu dziury w API GG próbował skontaktować się z GG. Niestety, jego starania pozostały bez odpowiedzi. Zgodnie z wcześniejszą deklaracją, po tygodniowym braku reakcji ze strony GG, informacje o znalezionej luce zostały opublikowane m.in. na blogu odkrywcy i w serwisie Niebezpiecznik.pl.

Oficjalne oświadczenie Gadu-Gadu przedstawiamy na dole newsa

GG - teoretycznie - daje możliwość pokazywania profilu wyłącznie znajomym, przypadkowym osobom wyświetlając stosowny komunikat:

Zabezpieczenia te można jednak w prosty sposób obejść, co na swoim blogu opisuje Karol: "Gdy widzimy ten komunikat, wiemy, że ta osoba nie ma nas na swojej liście kontaktów. Oprócz tego, nie widzimy live streama, bo skrypt gg po prostu go nie pobiera [z innego pliku wie, czy ta osoba ma nas na liście czy nie]. Nic jednak nie stoi na przeszkodzie, abyśmy sami go pobrali! :-D Wystarczy, że posiadamy cookie z serwisu gg.pl (jesteśmy zalogowani) i możemy pobrać live stream dowolnego numeru".

Reklama

Jeśli chcecie sprawdzić jak to działa w praktyce, w blogu odkrywcy luki udostępniony został prosty skrypt. Miłej zabawy. Biorąc pod uwagę znaczenie wykrytego błędu, pozornie nie ma powodów do paniki. Ujawnione dane nie są - raczej - na tyle wrażliwe, by stanowić istotne zagrożenie dla użytkowników. Problemem jest jednak brak reakcji ze strony osób, od których zależy bezpieczeństwo komunikatora.

Otrzymaliśmy oficjalne oświadczenie Gadu-Gadu - luka została usunięta. Treść przedstawiamy poniżej:

"Użytkownicy serwisu społecznościowego GG.pl mogą od dzisiaj korzystać z poprawionej wersji. Administratorzy serwisu wprowadzili poprawkę poprawiającą prywatność użytkowników. Lukę usunięto po zgłoszeniu jej przez jednego z użytkowników GG, Karola Olszackiego - http://olszak.tk/pl/ . Mogła ona umożliwiać innym osobom dostęp do wpisów na tzw. pulpicie serwisu. Karol otrzyma w podziękowaniu prezent od GG Network.

- Dziękujemy za zgłoszenie błędu - mówi Zbigniew Pieńkowski, CIO GG Network S.A. - Prywatność użytkowników jest naszym jednym z głównych priorytetów. Dlatego każde takie zgłoszenie rozpatrujemy z pełną powagą. Przy tak dynamicznie rozwijającym się serwisie w skali społeczności GG.pl zawsze mogą zdarzać się jakieś potknięcia, ale najważniejsze, żeby je skutecznie usuwać. Wszelkie uwagi, błędy można zgłaszać na beta@gadu-gadu.pl."

Łukasz Michalik

Źródło: http://vbeta.pl

vbeta
Dowiedz się więcej na temat: Gadu-Gadu
Reklama
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy