Przeczytaj więcej podobnych informacji na stronie głównej Gazeta.pl.
Jak poinformował portal Niebezpiecznik.pl, pobieranie danych klientów i zarządzanie innymi systemami wewnętrznymi Plusa i Plusha umożliwiało publicznie dostępne, niezabezpieczone żadnym tokenem API (czyli interfejs programowania aplikacji, służący programistom do wygodniejszego sterowania systemami informatycznymi). Plus swoje API udostępnił bez żadnego zabezpieczenia pod następującymi adresami:
- api.plus.pl/api
- api.plushbezlimitu.pl/api
Dane klientów Plusa były zagrożone
Dla podanego numeru telefonu uzyskać można było między innymi takie informacje, jak: imię i nazwisko, PESEL, adres e-mail czy adres zamieszkania. Masowe pozyskiwanie tych danych na szczęście było utrudnione przez powolne działanie całego mechanizmu, które dodatkowo nie dla każdego numeru telefonu dawało równie wyczerpującą odpowiedź.
Po wnikliwej weryfikacji stwierdziliśmy, że nieznacznie zwiększona liczba wszystkich zapytań - o kilkadziesiąt sztuk - kierowanych do naszej bazy występowała od 5 października. Nie stwierdziliśmy, by w okresie istnienia luki miało miejsce masowe nieuprawnione odpytywanie o dane. Jedyne zarejestrowane zdarzenia związane z tym incydentem, zgodnie z naszymi ustaleniami na ten moment, dotyczą diagnozowania błędu przez ekspertów, którzy nas o nim poinformowali. Łącznie w tym okresie mówimy o kilkudziesięciu rekordach, których dotyczył nieautoryzowany dostęp
- napisał w odpowiedzi na pytania Niebezpiecznika Tomasz Matwiejczuk z Grupy Polsat Plus.
Plus został poinformowany o luce 11 października 2021 roku, a dzień później usunął błąd, który wystąpił w związku z przeprowadzoną aktualizacją systemu. Istnienie problemu zostało zgłoszone w wymaganym terminie do Urzędu Ochrony Danych Osobowych (UODO). Klienci, których dotyczył nieautoryzowany dostęp do danych, mają zostać indywidualnie poinformowani o tym przez operatora.
