Brałeś chwilówkę w tej firmie pożyczkowej? Ktoś mógł pobrać twoje dane [Aktualizacja]

Portal Niebezpiecznik.pl informuje o wykryciu potencjalnie groźnej luki w zabezpieczeniach serwisu pożyczkowego ViaSMS.pl. Jeden z pożyczkobiorców odkrył jak pobierać umowy pożyczkowe zawarte przez innych klientów. Czy doszło do wycieku danych? ViaSMS zdecydowanie temu zaprzecza.

ViaSMS.pl to jeden z licznych serwisów oferujących natychmiastowe pożyczki przez internet. Jeden z jego klientów poinformował serwis Niebezpiecznik.pl, specjalizujący się w kwestiach cyberbezpieczeństwa, że odkrył bardzo prosty sposób na uzyskanie dostępu do danych osobowych innych osób.


Przeczytaj też: Wpłatomat pożarł mu 5400 zł. Odzyskał pieniądze?

 

Po przyznaniu pożyczki klient pobiera swoją umowę  ze strony serwisu. Jest to plik PDF opatrzony identyfikatorem - w tym wypadku numerem 2097211.

Informator Niebezpiecznka twierdzi, że wystarczy zmienić ten numer na np. 2097210, 2097209, by pobrać ze strony ViaSMS.pl plik PDF zawierający umowę obcej umowy. A w pliku znajdują się wszelkie krytyczne dane osobowe: imię i nazwisko, adres, PESEL, seria i numer dowodu osobistego...

Serwis reaguje

Niebezpiecznik.pl, który odkrył lukę w serwisie w niedzielę do wtorku wieczorem nie uzyskał żadnego komentarza ze strony ViaSMS, spółki należącej do łotewskiej grupy kapitałowej. Serwis zablokował jednak dostęp do danych - sposób, który odkrył jeden z klientów już nie działa.

Nie jest jednak jasne jak długo działał, czy ktoś go wcześniej odkrył i wykorzystał. Jest całkiem prawdopodobne, że ktoś ręcznie lub za pomocą prostego skryptu pobrał bliżej nieokreśloną liczbę plików PDF z umowami. Według Niebezpiecznika wyciek mógł dotknąć nawet dwóch milionów osób.

W skrajnym przypadku na twoje dane można wziąć kredyt

Bez względu na skalę wycieku jego konsekwencje mogą być - w skrajnym przypadku - bardzo przykre. Dane zawarte w umowach mogą posłużyć do założenia fałszywych kont i wystąpienia o pożyczki do innych firm. A tych w Polsce jest kilkadziesiąt - wiele oferuje chwilówki autoryzując jedynie numer konta (musi zgadzać się z danymi we wniosku).

Na szczęście firmy pożyczkowe wypracowały procedury, które możliwość takiego scenariusza minimalizują. Wyjaśnił to nam Jarosław Ryba ze Związku Firm Pożyczkowych.

Ochrona danych osobowych jest bardzo ważna i nie należy swoich danych osobowych udostępniać bez potrzeby osobom trzecim. Chciałbym jednak uspokoić czytelników i jednoznacznie stwierdzić, że same dane zawarte w umowie czy też na dowodzie osobistym nie wystarczą do otrzymania pożyczki w sieci. Nawet jeżeli osoba trzecia weszła w posiadanie danych osobowych takich jak: imię i nazwisko, numer PESEL, adres zamieszkania, numer dowodu osobistego - nie uda jej się w ten sposób wyłudzić pożyczki na konto właściciela danych. Żadna firma pożyczkowa w Polsce nie udzieli pożyczki za pośrednictwem internetu wyłącznie na podstawie wpisanych danych. Warunkiem złożenia wniosku jest dokonanie przez wnioskodawcę przelewu weryfikacyjnego z konta bankwowego, którego dane z pełni zgadzają się z danymi we wniosku kredytowym.

Przestępca, który dysponuje naszymi danymi założyć konto może tylko w placówce. Jeśli zrobi to przez internet dane z dowodu weryfikuje kurier. A zatem zaciągnięcie pożyczki w naszym imieniu nie jest proste, co nie oznacza, że nie jest niemożliwe.

Chciałbym podkreślić raz jeszcze, że uzyskiwanie pożyczek przez internet jest bezpieczne i od lat powszechne w Polsce i na świecie. Wiele mitów które narosły na ten temat biorą się z niewiedzy i nieprecyzyjnie przekazywanych informacji. Jakkolwiek dane osobowe są informacjami wrażliwymi, to jeszcze raz należy podkreślić, że samo ich użycie nie umożliwi zaciągnięcie pożyczki. - precyzuje pan Ryba.

ViaSMS: Włamanie nie jest wcale takie proste!

Poprosiliśmy o komentarz władze serwisu ViaSMS. Oto oświadczenie jaki otrzymaliśmy od Atjomsa Zaicevsa, Dyrektora Zarządzającego VIA SMS PL.

Natychmiast po otrzymaniu informacji zawartych w artykule Niebezpiecznika wprowadziliśmy odpowiednie nowe zabezpieczenia, które wyeliminowały możliwość pobierania danych przez osoby do tego nieuprawnione. Chcę zapewnić, że dane osobowe wszystkich naszych klientów są bezpieczne, a ich pobranie jest niemożliwe.
Dodam, że także przed wprowadzeniem tych zmian, pobieranie umów naszych klientów nie było tak proste, jak opisał to portal Niebezpiecznik. Chwilowy dostęp do wybranych danych możliwy był wyłącznie dla naszych klientów. Żadna osoba ?z zewnątrz? nie miała możliwości tego dokonać. Jednocześnie ? po dokładnym przeanalizowaniu danych ? możemy zapewnić naszych klientów, że nikt nie pobierał masowo umów z serwisu viasms.pl. Pobrania, które opisał portal Niebezpiecznik nastąpiły w jednym czasie (4 dni przed publikacją artykułu) i wyłącznie z jednego źródła. Dlatego możemy przypuszczać, że kradzieży tej dokonała osoba, która przekazała informację redakcji portalu. Jeśli okaże się, że w wyniku tej kradzieży ucierpiał którykolwiek z naszych klientów, skierujemy sprawę do odpowiednich organów zajmujących się zwalczaniem cyberprzestępczości.

Zaicevs zapewnił też, że firma jest przygotowana na różnego rodzaju ataki, do których dochodzi każdego dnia.

O tym, że nasze dane są bezpieczne mogło się przekonać wiele osób, które próbowały dokonać włamania po publikacji artykułu. Ataki na serwisy internetowe, to dziś codzienność. Sami odnotowujemy kilkaset takich prób dziennie. Zauważyliśmy jednak, że ich liczba wzrosła 40-krotnie po opublikowaniu ww. artykułu. Wszystkie te próby zostały oczywiście zablokowane. [...] Zapewniamy także, że opisane przez portal Niebezpiecznik zagrożenia związane z posiadaniem danych osobowych, które zawierają nasze umowy z klientami zostały w ww. artykule znacznie wyolbrzymione. System zawierania umów posiada dodatkowe zabezpieczenia, dzięki którym zawarcie umowy kredytowej na podstawie skradzionych danych jest niemożliwe.

ViaSMS zapowiedziała też, że wprowadzi dodatkowe zabezpieczenia, a wszyscy klienci zostaną poinformowani o zaistniałej sytuacji.

Sądzę , że lepiej przyjmować wszelkie sygnały o słabościach w zabezpieczeniach za dobrą monetę - luka, którą odkrył czytelnik Niebezpiecznika była realnym zagrożeniem, tym razem nikt po prostu nie skorzystał z okazji.

To dobrze, że ViaSMS deklaruje, że nie stwierdził żadnego wycieku danych ze swojego systemu oraz że poważnie podszedł do informacji o zagrożeniu - zablokował dostęp do danych bardzo szybko.

Więcej o: