REKLAMA

Dane klientów Plusa dostępne w sieci

2021-10-18 08:38
publikacja
2021-10-18 08:38
Dane klientów Plusa dostępne w sieci
Dane klientów Plusa dostępne w sieci
fot. Tero Vesalainen / / Shutterstock

"Instrukcja" obsługi umożliwiająca kradzież danych klientów Plusa i Plusha była dostępna w sieci. Na specjalnej stronie operatora po wpisaniu numeru telefonu można było ustalić do kogo należy numer, sprawdzić adres zamieszkania, numer PESEL oraz adres e-mail.

Dane klientów Plusa i Plusha były dostępne w sieci na specjalnej stronie. Dostęp do niej mógł uzyskać każdy, ponieważ operator omyłkowo zamieścił niezabezpieczony plik API, czyli "instrukcję obsługi" umożliwiająca poznanie danych osobowych. Po wpisaniu numeru telefonu klienta Plusa i Plusha można było otrzymać następujące informacje:

  • imię i nazwisko,
  • dokładny adres zamieszkania,
  • numer dokumentu,
  • numer PESEL,
  • adres e-mail.

Na czym dokładnie polegał wyciek danych klientów Plusa i Plusha i jak do niego doszło? Według informacji podanej przez Tomasza Matwiejczuk, dyrektora ds. Komunikacji Korporacyjnej, Rzecznika Prasowego Plusa, do umieszczenia API (interfejs programowania aplikacji) bez żadnych zabezpieczeń w sieci doprowadziła aktualizacja. Klienci, których mogli paść ofiarą kradzieży tożsamości, zostaną poinformowani o zagrożeniu, podał operator sieci.

"Zazwyczaj, aby z jakimś API "porozmawiać", trzeba znać nie tylko jego adres, ale także nazwy metod (funkcji) i przyjmowanych przez nie parametrów. Nie zawsze łatwo jest je przewidzieć, ale w przypadku Plusa z pomocą przychodziła udostępniona dokumentacja do API" – wyjaśnia Niebezpiecznik.pl. Umieszczenie takiego niezabezpieczonego pliku w sieci spowodowało, że każdy internauta mógł zbudować odpowiednie zapytanie i otrzymać dostęp do danych klientów.

Jak podaje portal Archive.org, istnienie prawdopodobieństwo, że API było publicznie dostępne od co najmniej 15 czerwca 2021 roku. Operator Plus poinformował, że zaobserwował większy ruch od 5 października - wtedy nieuprawnione osoby mogły korzystać z dostępu do danych. "Od 12 października nasz system jest odpowiednio zabezpieczony" – podał Plus w odpowiedzi na pytanie serwisu Niebezpiecznik.pl.

DF

Źródło:
Tematy
Sprawdź ile możesz zyskać z Kontem Jakie Chcę

Sprawdź ile możesz zyskać z Kontem Jakie Chcę

Advertisement

Komentarze (6)

dodaj komentarz
nepot_synekurzasty
A czy to nie firma tego pana co elektrownię jądrową chce budować? Przy tej fachowości to ciekawe co tam mu będzie wyciekać.
marekpoznan
Co zrobią owi 'poinformowani'..? Zmienią swoje nazwiska i numery pesel..?
nalexon165
Wykupią płatny dostęp do powiadomień o zaciąganiu kredytów na ich dane. Wymienią dowód i będą aktualizować go wszędzie. Niewiele to pomoże ale taki mamy klimat. Plus jak zapłaci karę to i tak nic nie trafi do poszkodowanych - ot podatek od potknięć :P
ehalley odpowiada nalexon165
Nie taki mamy klimat tylko trzeba wprowadzić surowe kary za tego typu praktyki. To, że dane klientów wyciekają, bo firma np. zaoszczędziła na specjalistach od zabezpieczeń lub szybko chce wdrożyć niesprawdzoną funkcjonalność żadnego poszkodowanego nie powinno interesować. Klient powinien dostać słone odszkodowanie Nie taki mamy klimat tylko trzeba wprowadzić surowe kary za tego typu praktyki. To, że dane klientów wyciekają, bo firma np. zaoszczędziła na specjalistach od zabezpieczeń lub szybko chce wdrożyć niesprawdzoną funkcjonalność żadnego poszkodowanego nie powinno interesować. Klient powinien dostać słone odszkodowanie za robienie sobie napisu na margarynie z jego prywatnych danych, ponieważ implikacje takich poczynań mogą być katastrofalne, od kradzieży tożsamości zaczynając. Dane prywatne dostępne z poziomu sieci = kłopoty któregoś pięknego dnia.
fiat126p odpowiada nalexon165
Zamiast płacić karę do budżetu a poszkodowani fatygować się do sądu cywilnego całość kary powinna być z automatu przekazana poszkodowanym. Nie tylko zresztą w sprawach o ochronę danych.
Poza tym jest gigantyczna dysproporcja w wysokościach kar dla podmiotów prywatnych (do 4% rocznego obrotu) i publicznych (do
Zamiast płacić karę do budżetu a poszkodowani fatygować się do sądu cywilnego całość kary powinna być z automatu przekazana poszkodowanym. Nie tylko zresztą w sprawach o ochronę danych.
Poza tym jest gigantyczna dysproporcja w wysokościach kar dla podmiotów prywatnych (do 4% rocznego obrotu) i publicznych (do 100 tys. zł a dla "jednostek kultury" zaledwie 10 tys.).
A w sumie można by się zastanowić, czy nie pozwolić na szybką zmianę tożsamości poszkodowanym...

Powiązane: Cyberbezpieczeństwo

Polecane

Najnowsze

Popularne

Ważne linki