Niedopuszczalna wpadka Plusa! Poufne dane klientów zagrożone

Instrukcja obsługi umożliwiająca kradzież danych klientów Plusa i Plusha była dostępna w sieci. Na specjalnej stronie operatora po wpisaniu numeru telefonu można było ustalić do kogo należy numer, sprawdzić adres zamieszkania, numer PESEL oraz adres e-mail.

Blisko tydzień temu doszło do niebezpiecznej wpadki ze strony popularnego operatora telekomunikacyjnego sieci Plus.
Operatory omyłkowo wdrożyli nową aktualizację, która okazała się być niedopracowana.
Na specjalnej stronie każdy po podaniu numeru telefonu mógł uzyskać odpowiednie dane klientów Plusa i Plusha.
Dyrektor ds. Komunikacji Korporacyjnej Tomasz Matwiejczuk poinformował, że ofiary kradzieży danych zostaną poinformowani o zagrożeniu.
Plus poinformował także, że od 12 października wgrano nową i bezpieczną aktualizację.
Zobacz także: Kalendarium Patriotyczne Mediów Narodowych [18-24.10]: demonstracje, pikiety, spotkania

Przez pewien czas dane klientów Plusa i Plusha były dostępne na specjalnej stronie, do której dostęp miał każdy, gdyż operator omyłkowo zamieścił niezabezpieczony plik APi – instrukcję obsługi umożliwiającą poznanie danych osobowych. Wystarczyło wpisać na niej odpowiedni numer klienta Plusa lub Plusha, aby otrzymać obszerne dane z takimi informacjami jak: dokładny adres zamieszkania, numer dokumentu, numer PESEL oraz adres e-mail.

Do sprawy odniósł się dyrektor ds. Komunikacji Korporacyjnej, Rzecznika Prasowego Plusa, Tomasza Matwiejczuka. Wyjaśnił on, że do wycieku danych osobowych klientów popularnego operatora telekomunikacyjnego doszło na wskutek niedopracowanej aktualizacji. Klienci, którzy mogli paść ofiarą kradzieży tożsamości zostaną poinformowani o zagrożeniu.

Chcesz być na bieżąco? Czytaj codziennie MediaNarodowe.com

Niekontrolowany wyciek informacji

Portal branżowy “niebezpiecznik.pl”, który informował o niebezpiecznej sytuacji, wyjaśnił od strony technicznej problematykę awarii Plusa, która stanowiła zagrożenie dla bezpieczeństwa swoich klientów.

Zazwyczaj, aby z jakimś API “porozmawiać”, trzeba znać nie tylko jego adres, ale także nazwy metod (funkcji) i przyjmowanych przez nie parametrów. Nie zawsze łatwo jest je przewidzieć, ale w przypadku Plusa z pomocą przychodziła udostępniona dokumentacja do API
– wyjaśnił portal “niebezpiecznik.pl”.

Umieszczenie takiego niezabezpieczonego pliku w sieci spowodowało, że każdy internauta mógł zbudować odpowiednie zapytanie i otrzymać dostęp do danych klientów.

Jak podaje portal Archive.org, istnienie prawdopodobieństwo, że API było publicznie dostępne od co najmniej 15 czerwca 2021 roku. Operator Plus poinformował, że zaobserwował większy ruch od 5 października – wtedy nieuprawnione osoby mogły korzystać z dostępu do danych.