Masz nr w tej sieci? Ktoś mógł mieć dostęp do Twoich danych!

Klienci Plusa i jego drugiej marki - Plusha mogli pasć ofiarą wycieku danych. Jak informuje portal niebezpiecznik.pl każdy kto wszedł w specjalną podstronę w domenie telefonii komórkowej miał dostęp do danych klientów. 

Bez problemu można było ustalić do kogo należy dany numer telefonu a także uzyskać dostęp do PESEL-i, adresów zamieszkania klientów i innych danych.

Pobieranie danych klientów i zarządzanie innymi systemami wewnętrznymi Plusa i Plusha umożliwiało publicznie dostępne, niezabezpieczone żadnym tokenem API (czyli interfejs programowania aplikacji, służący programistom do wygodniejszego sterowania systemami informatycznymi). Plus swoje API udostępnił bez żadnego zabezpieczenia pod następującymi adresami:

api.plus.pl/ap
iapi.plushbezlimitu.pl/api

Zazwyczaj, aby z jakimś API “porozmawiać”, trzeba znać nie tylko jego adres, ale także nazwy metod (funkcji) i przyjmowanych przez nie parametrów. Nie zawsze łatwo jest je przewidzieć, ale w przypadku Plusa z pomocą przychodziła udostępniona dokumentacja do API. Bardzo precyzyjnie opisywała każdą z metod i przyjmowane przez nią argumenty - informuje portal niebezpiecznik.pl

Dane, które można było uzyskać to:

• imię i nazwisko
• adres zamieszkania
• numer dokumentu
• numer identyfikacyjny (PESEL) / nr dokumentu
• e-mail

Najprawdopodobniej luka w systemie działała od 5 miesięcy. Osoby, które miały wiedzę o błędzie miały wystarczająco dużo czasu aby pobrać dane klientów. 

Co więcej, prawdopodobnie ludzie znający dostęp do API mieli możliwość ingerencji w treść, jaka wyświetla się osobom odwiedzającym stronę internetową Plusa. 

Osoba, która uzyskałaby dostęp do modyfikacji treści stron internetowych operatora, mogłaby:

• Podsłuchiwać wprowadzane przez klientów dane, np. hasła podczas logowania
• Podmieniać wprowadzane przez klientów dane, np. te dotyczące doładowania, przejmując je i okradając klientów
• Oszukiwać klientów, wyświetlając atrakcyjne, ale kłamliwe promocje/bannery. Obiecując korzyści w zamian za np. jednorazową wpłatę przy pomocy karty płatniczej, wyłudzając tym samym dane karty klienta.

Poniżej publikujemy oświadczenie Plusa, które operator wystosował do portalu niebezpiecznik.pl

W jednym z naszych systemów teleinformatycznych wykryty został błąd związany z funkcjonowaniem API. Błąd ten wystąpił w związku z przeprowadzoną aktualizacją systemu. W jego wyniku istniała potencjalna możliwość uzyskania nieuprawnionego dostępu do danych zarządzanych przez spółkę. Luka umożliwiała wywołanie pojedynczych rekordów zawierających m.in. dane osobowe poprzez wykonanie odpowiedniego zapytania w API.Luka w zabezpieczeniach została wykryta przez ekspertów, a nie przez hakerów. Zostaliśmy o niej poinformowani w poniedziałek, 11 października. Błąd został niezwłocznie usunięty, po kilkunastu godzinach, od 12 października nasz system jest odpowiednio zabezpieczony. W ostatnich dniach przeprowadzaliśmy kompleksowe testy i weryfikacje, które miały na celu sprawdzenie bezpieczeństwa systemu po wyeliminowaniu luki. Przebiegły one pozytywnie.Po wnikliwej weryfikacji stwierdziliśmy, że nieznacznie zwiększona liczba wszystkich zapytań – o kilkadziesiąt sztuk – kierowanych do naszej bazy występowała od 5 października. Nie stwierdziliśmy, by w okresie istnienia luki miało miejsce masowe nieuprawnione odpytywanie o dane. Jedyne zarejestrowane zdarzenia związane z tym incydentem, zgodnie z naszymi ustaleniami na ten moment, dotyczą diagnozowania błędu przez ekspertów, którzy nas o nim poinformowali. Łącznie w tym okresie mówimy o kilkudziesięciu rekordach, których dotyczył nieautoryzowany dostęp.W wymaganym przepisami prawa terminie zgłosiliśmy do UODO zaistnienie opisywanego błędu systemowego. Klienci, których części danych dotyczył nieautoryzowany dostęp, zostaną indywidualnie poinformowani przez naszą spółkę. Dane pozostałych naszych klientów są bezpieczne.Pozdrawiam, Tomasz Matwiejczuk, Dyrektor ds. Komunikacji Korporacyjnej, Rzecznik Prasowy