Wyciek danych klientów Plusa. Dziura miała kilka miesięcy?

Wyciek danych klientów Plusa. Dziura miała kilka miesięcy?

Osoba trzymająca telefon, zdjęcie ilustracyjne
Osoba trzymająca telefon, zdjęcie ilustracyjne Źródło: Pixabay / afra32
Dane klientów sieci Plus były dostępne dla każdego. Problem wystąpił po aktualizacji systemu i mógł występować od co najmniej 15 czerwca. Plus zapewnił, że błąd został usunięty kilkanaście godzin po zgłoszeniu i dane klientów są już bezpieczne.

Portal niebezpiecznik.pl poinformował, że każdy, kto wszedł na specjalną podstronę w domenie Plusa, mógł podejrzeć dane klientów tej sieci oraz Plusha. Można było sprawdzić numery telefonów i PESEL czy adresy zamieszkania. Dostęp do zarządzania systemami wewnętrznymi umożliwiało publicznie dostępne i niezabezpieczone API. To interfejs programowania aplikacji służący programistom do wygodniejszego sterowania systemami informatycznymi.

„Zazwyczaj, aby z jakimś API »porozmawiać«, trzeba znać nie tylko jego adres, ale także nazwy metod (funkcji) i przyjmowanych przez nie parametrów. Nie zawsze łatwo jest je przewidzieć, ale w przypadku Plusa z pomocą przychodziła udostępniona dokumentacja do API. Bardzo precyzyjnie opisywała każdą z metod i przyjmowane przez nią argumenty” – wyjaśnił Niebezpiecznik.pl. Dane klientów mogły być publicznie dostępne dla cyberprzestępców od co najmniej 15 czerwca.

Plus komentuje wyciek danych klientów

Głos w sprawie zabrał dyrektor ds. komunikacji korporacyjnej i rzecznik prasowy Grupy Polsat Tomasz Matwiejczuk. Jak wyjaśnił, błąd związany z funkcjonowaniem API wystąpił po aktualizacji systemu. Błąd miał zostać usunięty po kilkunastu godzinach od momentu zgłoszenia. „W ostatnich dniach przeprowadzaliśmy kompleksowe testy i weryfikacje, które miały na celu sprawdzenie bezpieczeństwa systemu po wyeliminowaniu luki. Przebiegły one pozytywnie” – tłumaczył Plus.

Sieć ujawniła, że nieznacznie zwiększona liczba wszystkich zapytań do bazy miała miejsce od 5 października, ale nie stwierdzono, „by w okresie istnienia luki doszło do masowego nieuprawnionego odpytywania o dane”. Sprawa została zgłoszona do UODO. Klienci, których dotyczył nieautoryzowany dostęp, mają zostać indywidualnie poinformowani przez spółkę. „Dane pozostałych klientów są bezpieczne” – zapewnił Matwiejczuk.

Czytaj też:
Lawinowy wzrost cyberataków w Polsce. Najgorsze dane w historii

Źródło: niebezpiecznik.pl