O tym jak trudno usunąć konto z portali internetowych na przykładzie plfoto.com

Każdy właściciel portalu internetowego cieszy się, gdy nowi goście chętnie rejestrują się na jego stronie. Baza użytkowników rośnie, projekt się dynamicznie rozwija i wszyscy są szczęśliwi. Co dzieje się jednak w momencie, w którym postanowimy skasować nasze konto wraz z wszystkimi danymi? Wtedy – jak zwykle – zaczynają się schody.

Chyba każdemu przytrafiła się sytuacja, w której postanowił odejść z jakiegoś portalu lub forum i chciał przy tym skasować swoje konto. Czasem są z tym niemałe problemy i właśnie takich doświadczyłem, gdy chciałem skasować swoje dane z serwerów należących do plfoto.com. Decyzję o usunięciu konta podjąłem po tym jak jak przeczytałem, że serwis ten przysyła przypomnienie hasła jawnym tekstem. Postanowiłem odkopać swoje stare konto, ale oczywiście miałem problem z zalogowaniem, bo nie pamiętałem starych danych. Skorzystałem z opcji przypomnienia hasła i już po chwili otrzymałem moje hasło na maila. Było ono oczywiście przesłane jawnym tekstem.

Takie przesyłanie hasła zazwyczaj świadczy o tym, że również w bazie danych na serwerze usługodawcy jest ono przechowywane jawnym tekstem. Może to stwarzać duże problemy, jeżeli dojdzie do wycieku bazy na wskutek ataku lub włamania na serwer. Możliwa jest również druga opcja, iż portal, który wysłał nam hasło stosuje kryptografię symetryczną, co oznacza, że gdzieś w otchłani serwera zapisany jest klucz, którym można odszyfrować wszystkie zapisane na nim hasła. To rozwiązanie również jest niebezpieczne, ponieważ w przypadku włamania na serwer, intruz może je łatwo rozszyfrować. Jeżeli serwis korzystałby z kryptografii asymetrycznej, to w takim przypadku na serwerze znalazłby się gdzieś klucz prywatny dla zapisanego hasła.

Tak czy inaczej, przesyłanie hasła jawnym tekstem nie wróży nic dobrego. Postanowiłem skasować swoje konto, ale nie mogłem nigdzie znaleźć takiej opcji. Przebrnąłem więc przez FAQ i znalazłem taki cudowny zapis:

“Chcę usunąć swoje konto, jak to zrobić? Można to zrobić tylko kontaktując się z adminem. Jeżeli nie jesteś w 100% przekonany/a do tej decyzji, możesz po prostu przestać korzystać ze swojego konta. “

Zatem wypełniłem formularz kontaktowy i myślałem, że sprawa została załatwiona. Następnego dnia dostałem taką wiadomość od Admina:

“Twoje konto zostało zablokowane bezterminowo. Przyczyna zablokowania: Usunięte na prośbę użytkownika”

Zdziwił mnie fakt, że konto zostało zablokowane. Przecież prosiłem o jego usunięcie, a nie o blokadę. Sprawdziłem zatem na plfoto.com, czy mogę się zalogować i pojawił się komunikat o blokadzie. Czyli najzwyczajniej dali mi bana. Najlepsze było to, że jak poprosiłem wtedy o przypomnienie hasła, po kilku sekundach zostało mi ono przesłane na maila. Oczywiście napisałem do administratora portalu maila z informacją, że prosiłem o całkowite skasowanie konta, a nie jego blokadę. Konto nadal pozostawało na serwerze portalu, a hasło do niego było  nienależycie zabezpieczone. Dostałem na to taką odpowiedź:

“Pańskie konto zostanie usunięte. Hasła w serwisie Plfoto.com nie są przechowywane w formie czystego tekstu, są szyfrowane. Autor artykułu zamieścił już sprostowanie.”

Nie linkowałem do żadnego artykułu, ale ok, niech tak będzie. Po godzinie od otrzymania tej wiadomości moje konto nadal było widoczne w systemie. A przypomnienie hasła działało tak jak wcześniej opisałem. Czyli sytuacja bez zmian. Napisałem kolejnego maila, w którym wytłumaczyłem moje obawy o sposób przechowywania hasła, oraz odesłałem do wpisu na stronie niebezpiecznik.pl poświęconemu temu zagadnieniu.

Przez 5 dni nie dostałem, żadnej odpowiedzi od administracji portalu. Ale na całe szczęście próba logowania w serwisie plfoto.com zakończyła się komunikatem o braku takiego konta, a nie o jego blokadzie. Na wszelki wypadek zapytałem administratora, czy konto zostało skasowane oraz jakie moje dane są obecnie przechowywane w ich bazie danych. W końcu otrzymałem upragnioną odpowiedź i potwierdzenie wykonania czynności o które prosiłem od kilku maili. Admin odpisał:

“Pańskie konto zostało całkowicie usunięte wraz z danymi.”

Sprawa ta doskonale pokazuje jak często działa administracja dużych portali, gdy użytkownik próbuje dokonać czynności do której ma pełne prawo, ale bywa ona nie na rękę właścicielom serwisów internetowych. Warto dbać o swoje dane w sieci i jeżeli przeczytacie kiedyś informację o tym, że serwis z którego korzystacie lub korzystaliście padł ofiarą ataku lub niedostatecznie zabezpiecza Wasze dane, niezwłocznie dokonajcie zmiany hasła lub skasujcie konto jeżeli go już nie potrzebujecie.

źródło: plfoto.com, niebezpiecznik.pl