Lista 35,5 mln profili Google leży sobie niezabezpieczona w sieci

14.07.2011
Lista 35,5 mln profili Google leży sobie niezabezpieczona w sieci

Nie jestem do końca pewny co znaleźliśmy, ale jeśli mnie oko nie myli, to jest to lista 35,5 mln publicznych profili Google’a. Leży sobie w sieci ot tak – każdy może sobie ją przejrzeć, bo nie jest zabezpieczona żadnym hasłem. Wystarczy – jak wtedy w październiku 2010 r., kiedy ręcznie zmieniając adresy URL forum dyskusyjnego Apple’a dotarliśmy do tego, co Steve Jobs pokaże na konferencji „Back to Mac” – wklepać kolejne numery w adresie stron by dotrzeć do unikalnych adresów profili użytkowników Google’a, w tym nowego serwisu Google+.

Wystarczy skopiować taki adres by znaleźć się na profilu danego użytkownika, a tam sprawdzić wszystko – dane kontaktowe, informacje o zawodzie, zatrudnieniu, wykształceniu, miejscu zamieszkania, zdjęcia, osoby w kręgu Google+, statusy w usłudze Buzz, itd. – wszystko to, co dany użytkownik ustawił na pokaz publiczny. Tych list jest 7104 – to znaczy aktywne strony kończą się na numerze 7103, ale zabawa rozpoczyna się od numeru 000, czyli od: do . Na każdej z nich jest 5 tys. profili, więc łącznie jest nieco ponad 35,5 mln profili Google’a. Co to dokładnie oznacza trudno wyczuć. Czyżby tylko tyle osób miało profile Google? Albo tylko tyle czyniło je publicznymi? Czy wśród nich są wszyscy użytkownicy usługi Google+?

Sprawdziłem swój profil Google’a. On również ma swój unikalny numer – taki jak 35 mln innych i również znajduje się na liście. Po kliknięciu w niego przenosi mnie do usługi Google+. Sprawdziłem także kilka przypadkowo znalezionych nazwisk na podstawie numerów poszczególnych profili w Google’u. Wpisując to nazwisko w wyszukiwarkę wraz ze słowami Google Profile dostaniemy wynik, który przeniesie nas bezpośrednio do profilu danego użytkownika.

Trudno wyrokować, czy nie zabezpieczając takiej listy Google popełnia błąd, czy nie, ale przecież tak przygotowana lista może w prosty sposób paść łupem kogoś, kto będzie chciał z niej zrobić niecny pożytek – na jej podstawie łatwo przecież wyciągnąć zdobyć dane osobowe milionów osób, a także napisać skrypt, który będzie wysyłał wiadomości e-mail do tych osób (adres e-mail nie jest widoczny na stronach tych profili), jest tylko przycisk wyślij e-mail), albo nawet taki, który pobierze imiona i nazwiska 35,5 mln osób!

Nie trzeba więc być hackerem z LulzSec, aby w łatwy sposób ‚wyciągnąć’ grubą listę użytkowników danego serwisu. Nawet nie trzeba jej osobno publikować, bo już jest opublikowana.

Dołącz do dyskusji

MAŁO? CZYTAJ KOLEJNY WPIS...

MAŁO? CZYTAJ KOLEJNY WPIS...

Advertisement