Jak długo spaliście po Sylwestrze? Dzień? Dwa? Niektórzy prawdopodobnie nawet tydzień, a inni już w poniedziałek przy trzeźwym umyśle (zapewne przez młody wiek ) byli w stanie zrobić drobnego psikusa spółce z dwoma G w nazwie (nie, nie chodzi mi o Google…)

Karol Olszacki – młody internauta (lat 15, znany chyba najbardziej forumowiczom komunikatora AQQ jako moderator karololszak), znalazł ciekawy błąd w API do GG.pl: konkretnie umożliwiał on złamanie jednego z założeń portalu GG.pl, czyli odczytywanie live-streamu osób, których to na liście kontaktów nie posiadaliśmy. Ponieważ wg. ankiety na Niebezpieczniku, 93% głosujących nie ma pojęcia co to w ogóle jest GG.pl, to szybko wyjaśnię, że jest to coś w stylu tablicy z Facebooka, przy czym lądują na niej wszystkie Twoje opisy – z automatu i bez Twojej wiedzy (nie rób takich wielkich oczu… GG Network nie za bardzo wie co to prywatność). Teraz wyobraźmy sobie, że kiedyś w przeszłości posiadałeś opis pod adresem szefa ajć! Błąd pozwalał na pobranie aż 100 ostatnich wpisów… Każdy wiedział kiedy byłeś dostępny i co wypisywałeś w swych opisach. Dodajmy do tego opisy ustawione przypadkiem lub przez magiczne linki ustawiające opisy w stylu “Lubię smak f…” itp

Uprzedzając komentarze typu “Opis i tak jest widoczny dla wszystkich“, odpowiadam: nieprawda. Istnieje magiczna opcja “Ukrywaj przed osobami spoza listy kontaktów”. Nie jest to zatem zawsze informacja publiczna.

Na dobrą sprawę nie byłoby żadnego problemu – błąd jak błąd – zdarzyć się może. Problem raczej nie polega na tym, że błąd się pojawił, problem polega na reakcji spółki, a raczej jej braku. O samym problemie dowiedzieliśmy się od Karola w poniedziałek z Blipa (tag #GG), informacja pojawiła się również na forum GG, podesłano ją na dwa maile z Gadu-Gadu, pewien zły admin, pewnego złego forum podesłał pewien magiczny PM, skorzystano również z formularza kontaktowego w serwisie  GG.pl i… nic. Cisza. GG Network sp. z b.o.o chyba nie potrafi korzystać z własnych kanałów komunikacji:
Nie mam pojęcia po co podawać do oficjalnej wiadomości informację o mailach – w celu zbierania spamu? Pewnie część tego ląduje później w AdPoczcie…
Po co ktoś poświęcał czas na pisanie formularza kontaktowego na stronie GG.pl? Można było ten czas poświecić na dopracowanie API GG.pl pod kątem prywatności

Tu sam bym sobie zaprzeczył – przed chwilą napisałem, że wpadki mogą się zdarzać – trudno – może ktoś coś przeoczył przy czytaniu wiadomości…? Dziwi mnie jednak fakt, że w każdym z powyższych kanałów GG Network popełnia te same błędy – przeoczenia, które ja nazywam ignorowaniem użytkowników (już widzę komunikat “cały czas obserwujemy opinię naszych użytkowników” – uwielbiam ten tekst i postuluję o jego użycie w oficjalnym komunikacie prasowym dotyczącym opisywanego błędu )

Wiadomość o błędzie dotarła do twórców nie przez maila, nie przez formularz kontaktowy, a przez szum w Internecie jaki się wytworzył wokół luki, w końcu ile można czekać na odpowiedź z Gadu-Gadu? Skoro właściciel serwisu olewa błąd – niech wszyscy się dowiedzą… i poszło. Najpierw publikacja na blogu Karola, potem na GaduNews, potem na Niebezpieczniku, Interii, vBeta, Wykopie… Co istotne: odkrywca błędu opublikował przy okazji działający skrypt, wykorzystujący lukę… A GG Network nadal milczy…

(Prawdopodobnie) rozwiązaniem  problemu była dodatkowa linijka z instrukcją warunkową po stronie serwera. Trzeba było jednak czekać aż tydzień na jej napisanie Ktoś zaspał?

Historia ma jakiś happy-end – błąd poprawiono, odkrywca zostanie nagrodzony Rzecznik Prasowy GG Network wie dobrze, że blogi i blogerzy mają siłę, szczególnie takie jak Niebezpiecznik – w końcu Jarosław Rybus pracuje właśnie nad filmem “Blogersi” (swoją drogą ciekawie się zapowiada), dlatego też tym razem nagrodą nie są śmieszne i żałosne opisy graficzne*, a starter ze złotym numerem GaduAIR
Powyższa historia też pokazuje, że mimo, że produkty GG Network kierowane są głównie do ludzi bardzo młodych, to nie można ich w żaden sposób ignorować, a mi daje nadzieję, że jednak zgłaszanie błędów tej spółce ma jakiś sens (choć jak widać – jest to dość utrudnione).

---

* Opisy graficzne otrzymał w nagrodę znalazca innego błędu w Gadu-Gadu. Na szczęście po jakimś czasie otrzymał o wiele normalniejszą i o wiele bardziej poważną nagrodę od innego pracownika spółki, dzięki czemu zgłaszanie błędów tejże firmie nie jest niczym “siarowym”.