W artykule o nadchodzących technologiach 2020 roku poruszyłem kwestię bezpieczeństwa, a raczej spodziewanej, wciąż rosnącej liczby ataków hakerów. Cyberbezpieczeństwo to nadal bardzo prężnie rozwijany sektor, na którym niestety zbyt często wygrywają ci źli. Jednak wszystkie ataki mają jeden, wspólny mianownik – niewłaściwe zabezpieczenia. Właśnie tego typu wpadkę zaliczyła jedna z bardziej popularnych stron do śledzenia przesyłek – Postal Ninja. Na niej bez problemu można było odczytać dane teoretycznie do 800 tysięcy zamówień do Polski z AlExpress. Przyczyną całego zamieszania okazała się… prostota.
Postal Ninja miał za nic ukrywanie danych klientów AliExpress
Rozwiązywanie zagadek logicznych to naprawdę ciekawe zajęcie. Szczególnie w momencie, gdy można odkryć coś nad wyraz niespodziewanego. Z takim tematem zgłosił się jeden z Czytelników Zaufanej Trzeciej Strony, informując, że bez problemu można wpisywać kolejne numery śledzenia przesyłek z AliExpress na stronie Postal Ninja. W ten sposób otrzymywaliśmy szczegółowe informacje o zamówieniach z tego jakże popularnego serwisu do Polski. Mowa jest o numerach od PL00000001XXXX do PL0000008XXXXXX, czyli teoretycznie o około 800 tysiącach paczek, które zostały wysłane z AliExpress za pomocą SinoAir do Polski w okresie od października do grudnia. W ten sposób bez problemu można było dowiedzieć się, kto, co i gdzie zamówił.
Zobacz też: Dwuetapowe logowanie nie jest straszne chińskim hakerom.
Na szczęście, zanim opublikowano informacje o tym wycieku danych, to zgłoszono problem Postal Ninja, a ten szybko zanonimizował dane, prezentując jedynie pierwsze 3 litery imienia i nazwiska oraz usuwając informacje o ulicy, numerze domu oraz mieszkania z adresu. Mimo wszystko niewykluczone, że wcześniej już niejednokrotnie został zrobiony zrzut tych informacji, który może idealnie posłużyć za próby oszustwa.
Źródło: Zaufana Trzecia Strona