Bezpieczeństwo

Dane klientów Plusa w niebezpieczeństwie – każdy mógł je pobrać

Błąd w API Plusa pozwalał na specjalnej stronie podejrzeć dane klientów tej sieci. Zagrożone były również dane użytkowników Plusha.

Marian Szutiak (msnet)
MARIAN SZUTIAK (MSNET) 18 PAŹ 2021
19
Udostępnij na fb
Udostępnij na X
Dane klientów Plusa w niebezpieczeństwie – każdy mógł je pobrać

Niebezpiecznik.pl poinformował w weekend o zagrożeniu, jakie wisiało nad klientami Plusa i Plusha. Odkryto, że każdy mógł użyć niezabezpieczonego API Plusa (pod adresami api.plus.pl/api i api.plushbezlimitu.pl/api) i dla podanego numeru telefonu uzyskać między innymi takie informacje, jak imię i nazwisko, PESEL, adres e-mail czy adres zamieszkania. Masowe pozyskiwanie tych danych na szczęście było utrudnione przez powolne działanie całego mechanizmu, które dodatkowo nie dla każdego numeru telefonu dawało równie wyczerpującą odpowiedź.

Dalsza część tekstu pod wideo

Zobacz: Plus ma 25 lat! Przez ćwierć wieku świat zmienił się na plus
Zobacz: Wielkie zmiany w Plusie i Polsacie – zyskujemy na nich wszyscy

Wybrane okazje dla Ciebie
Końcówka szczoteczki BBLUV B0118 (2 szt.) (Idealna dla dzieci)
Końcówka szczoteczki BBLUV B0118 (2 szt.) (Idealna dla dzieci)
0 zł
29.99 zł - najniższa cena
Kup teraz 29.99 zł
Lodówka MPM 206-CZ-22 143cm Biała
Lodówka MPM 206-CZ-22 143cm Biała
0 zł
999.99 zł - najniższa cena
Kup teraz 999.99 zł
Klawiatura MCHOSE MC-K99-3 Zielony
Klawiatura MCHOSE MC-K99-3 Zielony
0 zł
499 zł - najniższa cena
Kup teraz 499 zł
Advertisement

Co ciekawe, z informacji dostępnych w serwisie Archive.org wynika, że publiczny dostęp do plusowego API, o którym mowa powyżej, był co najmniej od 15 czerwca tego roku. Operator sieci Plus poinformował w swojej odpowiedzi na pytania Niebezpiecznika, że zauważył zwiększony ruch do API 5 października tego roku, co może sugerować, że właśnie wtedy ktoś mógł skorzystać z odkrytej luki.

Po wnikliwej weryfikacji stwierdziliśmy, że nieznacznie zwiększona liczba wszystkich zapytań – o kilkadziesiąt sztuk – kierowanych do naszej bazy występowała od 5 października. Nie stwierdziliśmy, by w okresie istnienia luki miało miejsce masowe nieuprawnione odpytywanie o dane. Jedyne zarejestrowane zdarzenia związane z tym incydentem, zgodnie z naszymi ustaleniami na ten moment, dotyczą diagnozowania błędu przez ekspertów, którzy nas o nim poinformowali. Łącznie w tym okresie mówimy o kilkudziesięciu rekordach, których dotyczył nieautoryzowany dostęp.

– napisał Tomasz Matwiejczuk z Grupy Polsat Plus

Plus został poinformowany o luce 11 października 2021 roku, a dzień później usunął błąd, który wystąpił w związku z przeprowadzoną aktualizacją systemu. Istnienie problemu zostało zgłoszone w wymaganym terminie do Urzędu Ochrony Danych Osobowych (UODO). Klienci, których dotyczył nieautoryzowany dostęp do danych, mają zostać indywidualnie poinformowani o tym przez operatora.

Zapraszamy do dyskusji na powyższy temat na Forum Telepolis.

Zobacz: Użytkownicy iPhone’ów łapią się na nowe oszustwo. Chcą randkować, tracą pieniądze
Zobacz: Rosyjski haker obraził się na Apple, i ma rację

 

Image
telepolis
plus plush wyciek danych UODO dane klientów błąd w API
Zródła zdjęć: Charles Deluvio / Unsplash
Źródła tekstu: Niebezpiecznik.pl