Błąd w API Plusa pozwalał na specjalnej stronie podejrzeć dane klientów tej sieci. Zagrożone były również dane użytkowników Plusha.
Niebezpiecznik.pl poinformował w weekend o zagrożeniu, jakie wisiało nad klientami Plusa i Plusha. Odkryto, że każdy mógł użyć niezabezpieczonego API Plusa (pod adresami api.plus.pl/api i api.plushbezlimitu.pl/api) i dla podanego numeru telefonu uzyskać między innymi takie informacje, jak imię i nazwisko, PESEL, adres e-mail czy adres zamieszkania. Masowe pozyskiwanie tych danych na szczęście było utrudnione przez powolne działanie całego mechanizmu, które dodatkowo nie dla każdego numeru telefonu dawało równie wyczerpującą odpowiedź.
Zobacz: Plus ma 25 lat! Przez ćwierć wieku świat zmienił się na plus
Zobacz: Wielkie zmiany w Plusie i Polsacie – zyskujemy na nich wszyscy
Co ciekawe, z informacji dostępnych w serwisie Archive.org wynika, że publiczny dostęp do plusowego API, o którym mowa powyżej, był co najmniej od 15 czerwca tego roku. Operator sieci Plus poinformował w swojej odpowiedzi na pytania Niebezpiecznika, że zauważył zwiększony ruch do API 5 października tego roku, co może sugerować, że właśnie wtedy ktoś mógł skorzystać z odkrytej luki.
Po wnikliwej weryfikacji stwierdziliśmy, że nieznacznie zwiększona liczba wszystkich zapytań – o kilkadziesiąt sztuk – kierowanych do naszej bazy występowała od 5 października. Nie stwierdziliśmy, by w okresie istnienia luki miało miejsce masowe nieuprawnione odpytywanie o dane. Jedyne zarejestrowane zdarzenia związane z tym incydentem, zgodnie z naszymi ustaleniami na ten moment, dotyczą diagnozowania błędu przez ekspertów, którzy nas o nim poinformowali. Łącznie w tym okresie mówimy o kilkudziesięciu rekordach, których dotyczył nieautoryzowany dostęp.
– napisał Tomasz Matwiejczuk z Grupy Polsat Plus
Plus został poinformowany o luce 11 października 2021 roku, a dzień później usunął błąd, który wystąpił w związku z przeprowadzoną aktualizacją systemu. Istnienie problemu zostało zgłoszone w wymaganym terminie do Urzędu Ochrony Danych Osobowych (UODO). Klienci, których dotyczył nieautoryzowany dostęp do danych, mają zostać indywidualnie poinformowani o tym przez operatora.
Zapraszamy do dyskusji na powyższy temat na Forum Telepolis.
Zobacz: Użytkownicy iPhone’ów łapią się na nowe oszustwo. Chcą randkować, tracą pieniądze
Zobacz: Rosyjski haker obraził się na Apple, i ma rację
Źródło zdjęć: Charles Deluvio / Unsplash
Źródło tekstu: Niebezpiecznik.pl