Każdy mógł pobrać dane klientów Plusa. Sieć reaguje na wyciek

Od czerwca tego roku strona internetowa Plusa posiadała lukę dzięki której każdy mógł pobrać wrażliwe dane osobowe klientów tej sieci. Wystarczyło znać jej numer telefonu.

O informacji pierwszy poinformował blog "Niebezpiecznik", który specjalizuje się w bezpieczeństwie w sieci. Jak informują autorzy publikacji: "każdy kto wszedł na specjalną podstronę w domenie Plusa, mógł podejrzeć dane klientów Plusa i jego drugiej marki, Plusha. Można było ustalić do kogo należy dany numer telefonu a także uzyskać dostęp do PESEL-i, adresów zamieszkania klientów i innych danych".

Dostęp do wrażliwych danych klientów Plusa

Żeby pobrać takie dane wystarczyło wejść na jedną z dwóch niezabezpieczonych stron w domenie Plusa. Były to: api.plus.pl/api i api.plushbezlimitu.pl/api. API pozwala aplikacjom i stronom komunikować się między sobą na przykład w celu przetwarzania danych użytkowników. W większości przypadków API jest zabezpieczone i niedostępne bez specjalnych tokenów uwierzytelniających, jednak w tym przypadku dane użytkowników były ogólnodostępne.

Dane milionów Polaków wyciekły do sieci. Sprawdź, czy twoje także

Nauka i technologia

Dzięki danym udostępnianym przez stronę możliwe było ustalenie do kogo należy numer telefonu, jaki jest jego PESEL, adres zamieszkania, numer dokumentu, adres e-mail. Jednak jak zauważa blog, uzyskanie tych danych było możliwe tylko w niektórych przypadkach.

Jak informuje "Niebezpiecznik", sprawa została zgłoszona Plusowi w poniedziałek 11 października o godzinie 16:00. Finalnie awaria została usunięta w piątek o godzinie 18:00. Dzisiaj nie można już pobrać danych osobowych klientów sieci.

Jak poinformował operator, aktualnie trwa badanie czyje dane mogły zostać pobrane ze strony. Jeśli faktycznie do tego doszło, to Plus będzie kontaktował się z wybranymi osobami.