Wyciek danych InPost. „To niewielki procent”
Radio Kraków poinformowało, że firma InPost napotkała duże problemy dotyczące bezpieczeństwa. Dane adresowe użytkowników usługi były wystawione na widok publiczny. Nie potrzeba było do tego szczególnych umiejętności. Na szczęście sytuacja dotyczyła znacznie mniejszej liczby użytkowników, niż na początku sądzono.
Spis treści
Zagadkowy wyciek
Jak w środę 20 marca podał serwis radiokrakow.pl, strona InPost pozwalała zalogowanym użytkownikom na dostęp do informacji na temat 7,4 miliona innych kont. Wśród udostępnionych danych miały być m.in. numery telefonów, adresy e-mail (często zdradzające nazwiska właścicieli) i dokładne dane adresowe (w wypadkach, gdy przesyłka nie była adresowana do Paczkomatu InPost). Na domiar złego po zalogowaniu się na konto użytkownika uzyskiwało się podgląd do zleceń pojawiających się w systemie w czasie rzeczywistym.
Całą sprawę uznać należy za dość kuriozalną, jako że w celu przechwycenia wrażliwych danych nie trzeba było używać żadnej wymyślnej praktyki szpiegowskiej. Wystarczyło skorzystanie z jednej z bardziej podstawowych funkcjonalności usługi: zalogowania się na własne konto. W ten sposób w ręce przypadkowych ludzi trafiały informacje, które zdecydowanie nie powinny zostać im przekazane.
Problem istnieje, ale jest marginalny
Na Facebooku pojawiło się oświadczenie firmy w sprawie wycieku danych, w którym przyznano się do istniejącego problemu. InPost tłumaczył jednak, że dotyczył on nikłej części użytkowników serwisu. “W dniach 18-19.03.2019 roku w trakcie aktualizacji aplikacji Manager Paczek został zidentyfikowany incydent związany z wyświetlaniem się niektórym użytkownikom aplikacji informacji dotyczących przesyłek, które nie były nadane przez aktualnie zalogowanego użytkownika”, czytamy na profilu InPost. “Incydent dotyczył 0.04 proc. użytkowników ściśle przez nas zidentyfikowanych. Incydenty występowały okresowo i były krótkotrwałe. Dane obejmowały zakres, jaki podali nadawcy w serwisie. Odpowiednie działania zapobiegawcze zostały w trybie natychmiastowym podjęte przez zespoły IT.”
Wiadomo kto miał dostęp
Rzecznik prasowy InPost w rozmowie z Radiem Kraków poinformował, że sprawa została zgłoszona do Urzędu Ochrony Danych Osobowych. Niestety póki co nie wiadomo, czy informacje, do których można było uzyskać dostęp poprzez logowanie na własne konto, zostały przez kogoś pobrane lub opublikowane w sieci. InPost uspokaja jednak, że zidentyfikowano wszystkie osoby, które miały okazję podejrzeć wrażliwe dane w wyniku zagadkowej awarii. Tajemnicą pozostaje jednak również to, czy owe informacje zostały właściwie zabezpieczone, a ofiary kuriozalnej awarii mogą liczyć na odpowiednią rekompensatę ze strony przedsiębiorstwa, które nie zadbało o bezpieczeństwo ich danych.
W konsekwencji linii obrony zaprezentowanej przez InPost na facebookowym profilu firmy pojawiła się następująca informacja: “Radio Kraków przeprasza firmę InPost za podanie nieprawdziwych informacji o wycieku danych i posiadaniu “udokumentowanych informacji dotyczących ponad 7 400 000 przesyłek. Przy każdym zamówieniu widnieją dane osobowe takie jak numer telefonu, adres email, często złożony z imienia i nazwiska oraz – w wielu przypadkach – dokładny adres odbiorcy i nadawcy” – Radio Kraków nie było i nie jest w posiadaniu takich danych.”
Źródło: spidersweb.pl