"Instrukcja" obsługi umożliwiająca kradzież danych klientów Plusa i Plusha była dostępna w sieci. Na specjalnej stronie operatora po wpisaniu numeru telefonu można było ustalić do kogo należy numer, sprawdzić adres zamieszkania, numer PESEL oraz adres e-mail.
Przeczytaj także
Dane klientów Plusa i Plusha były dostępne w sieci na specjalnej stronie. Dostęp do niej mógł uzyskać każdy, ponieważ operator omyłkowo zamieścił niezabezpieczony plik API, czyli "instrukcję obsługi" umożliwiająca poznanie danych osobowych. Po wpisaniu numeru telefonu klienta Plusa i Plusha można było otrzymać następujące informacje:
- imię i nazwisko,
- dokładny adres zamieszkania,
- numer dokumentu,
- numer PESEL,
- adres e-mail.
Na czym dokładnie polegał wyciek danych klientów Plusa i Plusha i jak do niego doszło? Według informacji podanej przez Tomasza Matwiejczuk, dyrektora ds. Komunikacji Korporacyjnej, Rzecznika Prasowego Plusa, do umieszczenia API (interfejs programowania aplikacji) bez żadnych zabezpieczeń w sieci doprowadziła aktualizacja. Klienci, których mogli paść ofiarą kradzieży tożsamości, zostaną poinformowani o zagrożeniu, podał operator sieci.
Przeczytaj także
"Zazwyczaj, aby z jakimś API "porozmawiać", trzeba znać nie tylko jego adres, ale także nazwy metod (funkcji) i przyjmowanych przez nie parametrów. Nie zawsze łatwo jest je przewidzieć, ale w przypadku Plusa z pomocą przychodziła udostępniona dokumentacja do API" – wyjaśnia Niebezpiecznik.pl. Umieszczenie takiego niezabezpieczonego pliku w sieci spowodowało, że każdy internauta mógł zbudować odpowiednie zapytanie i otrzymać dostęp do danych klientów.
Przeczytaj także
Jak podaje portal Archive.org, istnienie prawdopodobieństwo, że API było publicznie dostępne od co najmniej 15 czerwca 2021 roku. Operator Plus poinformował, że zaobserwował większy ruch od 5 października - wtedy nieuprawnione osoby mogły korzystać z dostępu do danych. "Od 12 października nasz system jest odpowiednio zabezpieczony" – podał Plus w odpowiedzi na pytanie serwisu Niebezpiecznik.pl.
DF
