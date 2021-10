Portal niebezpiecznik.pl poinformował, że każdy, kto wszedł na specjalną podstronę w domenie Plusa, mógł podejrzeć dane klientów tej sieci oraz Plusha. Można było sprawdzić numery telefonów i PESEL czy adresy zamieszkania. Dostęp do zarządzania systemami wewnętrznymi umożliwiało publicznie dostępne i niezabezpieczone API. To interfejs programowania aplikacji służący programistom do wygodniejszego sterowania systemami informatycznymi.

„Zazwyczaj, aby z jakimś API »porozmawiać«, trzeba znać nie tylko jego adres, ale także nazwy metod (funkcji) i przyjmowanych przez nie parametrów. Nie zawsze łatwo jest je przewidzieć, ale w przypadku Plusa z pomocą przychodziła udostępniona dokumentacja do API. Bardzo precyzyjnie opisywała każdą z metod i przyjmowane przez nią argumenty” – wyjaśnił Niebezpiecznik.pl. Dane klientów mogły być publicznie dostępne dla cyberprzestępców od co najmniej 15 czerwca.

Plus komentuje wyciek danych klientów

Głos w sprawie zabrał dyrektor ds. komunikacji korporacyjnej i rzecznik prasowy Grupy Polsat Tomasz Matwiejczuk. Jak wyjaśnił, błąd związany z funkcjonowaniem API wystąpił po aktualizacji systemu. Błąd miał zostać usunięty po kilkunastu godzinach od momentu zgłoszenia. „W ostatnich dniach przeprowadzaliśmy kompleksowe testy i weryfikacje, które miały na celu sprawdzenie bezpieczeństwa systemu po wyeliminowaniu luki. Przebiegły one pozytywnie” – tłumaczył Plus.

Sieć ujawniła, że nieznacznie zwiększona liczba wszystkich zapytań do bazy miała miejsce od 5 października, ale nie stwierdzono, „by w okresie istnienia luki doszło do masowego nieuprawnionego odpytywania o dane”. Sprawa została zgłoszona do UODO. Klienci, których dotyczył nieautoryzowany dostęp, mają zostać indywidualnie poinformowani przez spółkę. „Dane pozostałych klientów są bezpieczne” – zapewnił Matwiejczuk.

