Każdy, kto wszedł na podstronę notowaną jako Plus, mógł podejrzeć dane klientów jego i jego drugiej spółki – Plusha. Można więc było w międzyczasie ustalić bez zbędnych kłopotów: do kogo należy numer telefonu czy poznać PESEL i adres zamieszkania klienta. Chyba nie tak chciał Plus świętował swoje 25-lecie…

Co ciekawe, pobieranie danych i zarządzanie nimi systemami Plusa i Plusha umożliwiło publicznie dostępne, niezabezpieczone tokenem API. Plus udostępnił z kolei swoje API bez zabezpieczenia tutaj: api.plux.pl/api i api.plushbezlimitu.pl/api.

A ponieważ przeważnie, by z API porozmawiać trzeba raczej znać nie tylko jego adres, ale i nazwy funkcji i przyjmowanych przez nie parametrów… Nie jest łatwo się tam dostać. Jednak w przypadku Plusa z pomocą przyszła udostępniona dokumentacja API, która w międzyczasie bardzo precyzyjnie opisywała każdą metodę i jej argumenty.

plus dane klientów

Co ciekawe, na podstawie analizy dokumentacji można było zbudować pewne zapytanie, które… Zwracało dane klienta dla numeru telefonu! Mowa zarówno o adresie, jak i imieniu, nazwisku, numerze dokumentu i… PESELu. Jednak wciąż, chwała Plusie, API nie zawsze zwracało dane szybko oraz.. API nie dla każdego numeru zwracała odpowiedź w ogóle (albo pełne dane).

Czytaj też: UWAGA: oszustwa na Instagramie!

Co na to sam Plus?

Pytanie w sprawie otwartego API skierował sam Niebezpiecznik do Plusa. Dzień później dopiero zapewniono go, że… odpowiedni dział zajmie się tematem. Po kilku dniach dopiero trafiła odpowiedź do klienta. Oto odpowiedzi Plusa.

W jednym z naszych systemów teleinformatycznych wykryty został błąd związany z funkcjonowaniem API. Błąd ten wystąpił w związku z przeprowadzoną aktualizacją systemu. W jego wyniku istniała potencjalna możliwość uzyskania nieuprawnionego dostępu do danych zarządzanych przez spółkę. Luka umożliwiała wywołanie pojedynczych rekordów zawierających m.in. dane osobowe poprzez wykonanie odpowiedniego zapytania w API.

Luka w zabezpieczeniach została wykryta przez ekspertów, a nie przez hakerów. Zostaliśmy o niej poinformowani w poniedziałek, 11 października. Błąd został niezwłocznie usunięty, po kilkunastu godzinach, od 12 października nasz system jest odpowiednio zabezpieczony. W ostatnich dniach przeprowadzaliśmy kompleksowe testy i weryfikacje, które miały na celu sprawdzenie bezpieczeństwa systemu po wyeliminowaniu luki. Przebiegły one pozytywnie.

Po wnikliwej weryfikacji stwierdziliśmy, że nieznacznie zwiększona liczba wszystkich zapytań – o kilkadziesiąt sztuk – kierowanych do naszej bazy występowała od 5 października. Nie stwierdziliśmy, by w okresie istnienia luki miało miejsce masowe nieuprawnione odpytywanie o dane. Jedyne zarejestrowane zdarzenia związane z tym incydentem, zgodnie z naszymi ustaleniami na ten moment, dotyczą diagnozowania błędu przez ekspertów, którzy nas o nim poinformowali. Łącznie w tym okresie mówimy o kilkudziesięciu rekordach, których dotyczył nieautoryzowany dostęp.

W wymaganym przepisami prawa terminie zgłosiliśmy do UODO zaistnienie opisywanego błędu systemowego. Klienci, których części danych dotyczył nieautoryzowany dostęp, zostaną indywidualnie poinformowani przez naszą spółkę. Dane pozostałych naszych klientów są bezpieczne.

Pozdrawiam, Tomasz Matwiejczuk, Dyrektor ds. Komunikacji Korporacyjnej, Rzecznik Prasowy

Nawet najwięksi mają wpadki… Plus zdradził dane klientów

W efekcie, okazało się, że odsłonięcie niezabezpieczonego API doprowadziła aktualizacja. Plus, co prawda, nie wie, kiedy to nastąpiło, ale… Analizuje logi związane z działaniem API i będzie się kontaktował z klientami, których dane mogły zostać pobrane.

Tymczasem, okazuje się, że niestety – sprawa mogła się ciągnąć nawet… 5 miesięcy. 

Co ciekawe, warto też wspomnieć, że dostęp do API to nie tylko pobieranie danych. To także ich zmiana lub samo tworzenie. Część z nich, według Plusa, to takie metody, które dają możliwość sterowania treścią, jaka wyświetla się osobom odwiedzającym stronę internetową Plusa. Z kolei, osoba która faktycznie zdobyła takie dane, mogłaby na przykład podsłuchiwać wprowadzane przez klientów dane, podmienić wprowadzane przez klientów dane, czy nawet oszukiwać klientów, wyświetlając im atrakcyjne ale kłamliwe promocje.

Nie dysponujemy informacjami, które mogłyby niezależnie potwierdzić lub zaprzeczyć temu oświadczeniu. Jak najbardziej mogło być tak, jak twierdzi Plus — metody choć obecne, efektywnie nie powodowały żadnych zmian

Czytaj też: Spisałeś się? Dane mogą być zagrożone. Ponad 500 maili wyciekło…

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *