Każdy mógł pobrać dane klientów Plusa. Fatalna wpadka sieci komórkowej

Błąd sieci komórkowej pozwalał oglądać dane klientów sieci Plus oraz Plush. Niepowołane osoby mogły ustalić, do kogo należy dany numer telefonu, a także uzyskać dostęp do numerów PESEL i adresów zamieszkania klientów.

 Przeczytaj więcej podobnych informacji na stronie głównej Gazeta.pl. 

Jak poinformował portal Niebezpiecznik.pl, pobieranie danych klientów i zarządzanie innymi systemami wewnętrznymi Plusa i Plusha umożliwiało publicznie dostępne, niezabezpieczone żadnym tokenem API (czyli interfejs programowania aplikacji, służący programistom do wygodniejszego sterowania systemami informatycznymi). Plus swoje API udostępnił bez żadnego zabezpieczenia pod następującymi adresami:

  • api.plus.pl/api
  • api.plushbezlimitu.pl/api
Zobacz wideo Michał Wawrykiewicz był gościem Porannej Rozmowy Gazeta.pl (19.10)

Dane klientów Plusa były zagrożone

Dla podanego numeru telefonu uzyskać można było między innymi takie informacje, jak: imię i nazwisko, PESEL, adres e-mail czy adres zamieszkania. Masowe pozyskiwanie tych danych na szczęście było utrudnione przez powolne działanie całego mechanizmu, które dodatkowo nie dla każdego numeru telefonu dawało równie wyczerpującą odpowiedź.

Po wnikliwej weryfikacji stwierdziliśmy, że nieznacznie zwiększona liczba wszystkich zapytań - o kilkadziesiąt sztuk - kierowanych do naszej bazy występowała od 5 października. Nie stwierdziliśmy, by w okresie istnienia luki miało miejsce masowe nieuprawnione odpytywanie o dane. Jedyne zarejestrowane zdarzenia związane z tym incydentem, zgodnie z naszymi ustaleniami na ten moment, dotyczą diagnozowania błędu przez ekspertów, którzy nas o nim poinformowali. Łącznie w tym okresie mówimy o kilkudziesięciu rekordach, których dotyczył nieautoryzowany dostęp

- napisał w odpowiedzi na pytania Niebezpiecznika Tomasz Matwiejczuk z Grupy Polsat Plus.

Plus został poinformowany o luce 11 października 2021 roku, a dzień później usunął błąd, który wystąpił w związku z przeprowadzoną aktualizacją systemu. Istnienie problemu zostało zgłoszone w wymaganym terminie do Urzędu Ochrony Danych Osobowych (UODO). Klienci, których dotyczył nieautoryzowany dostęp do danych, mają zostać indywidualnie poinformowani o tym przez operatora.

Więcej o: