Portal niebezpiecznik.pl poinformował, że każdy, kto wszedł na specjalną podstronę w domenie Plusa, mógł podejrzeć dane klientów tej sieci oraz Plusha. Można było sprawdzić numery telefonów i PESEL czy adresy zamieszkania. Dostęp do zarządzania systemami wewnętrznymi umożliwiało publicznie dostępne i niezabezpieczone API. To interfejs programowania aplikacji służący programistom do wygodniejszego sterowania systemami informatycznymi.
„Zazwyczaj, aby z jakimś API »porozmawiać«, trzeba znać nie tylko jego adres, ale także nazwy metod (funkcji) i przyjmowanych przez nie parametrów. Nie zawsze łatwo jest je przewidzieć, ale w przypadku Plusa z pomocą przychodziła udostępniona dokumentacja do API. Bardzo precyzyjnie opisywała każdą z metod i przyjmowane przez nią argumenty” – wyjaśnił Niebezpiecznik.pl. Dane klientów mogły być publicznie dostępne dla cyberprzestępców od co najmniej 15 czerwca.
Plus komentuje wyciek danych klientów
Głos w sprawie zabrał dyrektor ds. komunikacji korporacyjnej i rzecznik prasowy Grupy Polsat Tomasz Matwiejczuk. Jak wyjaśnił, błąd związany z funkcjonowaniem API wystąpił po aktualizacji systemu. Błąd miał zostać usunięty po kilkunastu godzinach od momentu zgłoszenia. „W ostatnich dniach przeprowadzaliśmy kompleksowe testy i weryfikacje, które miały na celu sprawdzenie bezpieczeństwa systemu po wyeliminowaniu luki. Przebiegły one pozytywnie” – tłumaczył Plus.
Sieć ujawniła, że nieznacznie zwiększona liczba wszystkich zapytań do bazy miała miejsce od 5 października, ale nie stwierdzono, „by w okresie istnienia luki doszło do masowego nieuprawnionego odpytywania o dane”. Sprawa została zgłoszona do UODO. Klienci, których dotyczył nieautoryzowany dostęp, mają zostać indywidualnie poinformowani przez spółkę. „Dane pozostałych klientów są bezpieczne” – zapewnił Matwiejczuk.
Czytaj też:
Lawinowy wzrost cyberataków w Polsce. Najgorsze dane w historii