Dane klientów sieci Plus znalazły się w niebezpieczeństwie — dowolna osoba mogła się z nimi zapoznać. Chodzi m.in. o adresy zamieszkania i numery PESEL. Problem dotyczy również użytkowników oferty Plush.
Plus i zagrożone dane klientów
Jak ustalił portal Niebezpiecznik.pl, dane klientów Plusa i Plusha mógł podejrzeć każdy, kto wszedł na specjalną podstronę w domenie popularnego operatora. Nic nie stało na przeszkodzie, by sprawdzić, do kogo należy dany numer telefonu oraz jaki ta osoba ma adres zamieszkania i PESEL. Jak to możliwe?
Na pobranie danych klientów pozwoliło publiczne, niezabezpieczone żadnym tokenem API (interfejs programowania aplikacji). Zazwyczaj, aby z jakimś API “porozmawiać”, trzeba znać nie tylko jego adres, ale także nazwy metod (funkcji) i przyjmowanych przez nie parametrów. Nie zawsze łatwo jest je przewidzieć, ale w przypadku Plusa z pomocą przychodziła udostępniona dokumentacja do API — wyjaśnia Niebezpiecznik.pl. Analizując dokumentację, można było stworzyć zapytanie, po którym otrzymywaliśmy dane klienta dla podanego numeru telefonu. Pewnym pocieszeniem może być fakt, że API nie zawsze zwracało kompletne dane.
W odpowiedzi na pytania od portalu Niebezpiecznik.pl Plus wyjaśnił, że w systemie teleinformatycznym wystąpił błąd spowodowany aktualizacją systemu. Powstała luka pozwalająca na wywołanie pojedynczych rekordów zawierających m.in. dane osobowe poprzez wykonanie odpowiedniego zapytania. Plus dowiedział się o sprawie w poniedziałek 11 października, a po kilkunastu godzinach udało się usunąć usterkę. W kolejnych dniach operator sprawdzał swoje zabezpieczenia. Testy przyniosły pozytywne rezultaty. Plus zgłosił sprawę do UODO (tak nakazują przepisy). Od kiedy dokładnie funkcjonowało niezabezpieczone API? Tego do końca nie wiadomo. Na podstawie danych z serwisu Archive.org można jednak przypuszczać, że API było publicznie dostępne przynajmniej od 15 czerwca 2021 roku.
Czytaj także: Ogromne laptopy w Gdańsku i Warszawie — Microsoft zaskoczył spacerowiczów
Jak sprawdzić, czy wyciek nas dotyczy? Klienci, których części danych dotyczył nieautoryzowany dostęp, zostaną indywidualnie poinformowani przez naszą spółkę. Dane pozostałych naszych klientów są bezpieczne — zapewnił w rozmowie z portalem Niebezpiecznik.pl Tomasz Matwiejczuk, rzecznik prasowy i dyrektor ds. komunikacji korporacyjnej Plusa. Osoby z numerem w Plusie lub Plushu powinny więc zwrócić szczególną uwagę na komunikaty od operatora.
źródło: Niebezpiecznik.pl