Dane tysięcy polskich klientów AliExpress były dostępne w sieci
Możliwość śledzenia przesyłek z Chin, podróżujących często tygodniami, pozwala nieco zmniejszyć poziom stresu związanego z oczekiwaniem. Niestety czasem umożliwia także poznanie danych odbiorców tysięcy przesyłek.
Jeden z naszych Czytelników, Piotrek, podesłał nam informację wskazującą na potencjalnie spory wyciek danych osobowych polskich klientów AliExpress na stronie umożliwiającej śledzenie przesyłek. Na szczęście jej autorzy szybko zareagowali i problem został usunięty.
Śledzenie nie tylko przesyłek, ale i klientów
Piotrek zauważył, że w serwisie PostalNinja nie tylko numery śledzenia przesyłek są przewidywalne, ale każdy z nich umożliwia zapoznanie się z pełnym imieniem, nazwiskiem oraz adresem odbiorcy przesyłki. Wyglądało to tak:
W oknie wyszukiwania wystarczyło wpisać numer śledzenia między PL00000001XXXX a PL0000008XXXXXX, by przeglądać dane dostawy dla kilkuset tysięcy paczek wysłanych za pomocą SinoAir z AliExpress między październikiem a grudniem tego roku. Zakładając, że nasze mocno ograniczone testy były wiarygodne, a numeracja ciągła, to problem mógł dotyczyć ok. 800 000 przesyłek.
Dla każdej testowanej przez nas wartości z tego przedziału strona bez problemu odnajdywała, oprócz historii podróży paczki, także imię i nazwisko odbiorcy oraz jego adres dostawy.
Zaskakująco szybka interwencja
Nie chcąc publikować informacji o wycieku danych nadal możliwym do wykorzystania, najpierw skontaktowaliśmy się z firmą odpowiedzialną za serwis Postal Ninja. W ciągu 3 godzin otrzymaliśmy informację o przyjęciu zgłoszenia, uznaniu problemu za wart interwencji oraz obietnicę wdrożenia zmian w ciągu doby. Dobę później problem został załatany – obecnie nadal widać status przesyłki, lecz z imienia i nazwiska odbiorcy pozostały tylko po 3 pierwsze litery, a z adresu zniknęły ulica i numer domu oraz mieszkania. Musimy przyznać, imponujący czas reakcji.
Potencjalne skutki
W ujawnianych danych nie było ani numeru telefonu, ani adresu e-mail odbiorców, zatem użycie zdobytej w ten sposób bazy w masowych atakach raczej nie jest proste. Zebrane dane można jednak wykorzystywać do akcji reklamowych, wysyłając tradycyjny spam do najaktywniejszych kupujących. Ciekawe też, czy po numerach śledzących można zweryfikować, co było przedmiotem zakupu – takie informacje mogą być już dużo ciekawsze.
Usunięcie tego problemu nie oznacza oczywiście, że dane dostaw nie pojawiają się teraz w innym miejscu – jak widać, nawet zewnętrzne podmioty śledzące przesyłki mogą otrzymać dostęp do wszystkich informacji dotyczących paczki w niezanonimizowanej formie. Jeśli zatem gdzieś natraficie na podobny problem, to dajcie znać – jak się okazuje, da się takie rzeczy dość szybko załatwić z korzyścią dla prywatności wszystkich miłośników chińskich zakupów.
Źródło: zaufanatrzeciastrona.pl
Więcej informacji:
Kara za niewystarczające zabezpieczenia organizacyjne i techniczne
500 tysięcy haseł do serwerów, routerów i IoT trafiło do sieci.
Czynności kontrolne w Virgin Mobile Polska
Prezes UODO nałożył pierwszą karę pieniężną na podmiot publiczny- Kolejna kara RODO
- Sąd przyznał rację Prezesowi UODO. Wysokość nałożonej kary administracyjnej do ponownej analizy
Dane ponad 100 000 posiadaczy karty miejskiej ZTM Gdańsk mogły wyciec- Hasła 350 tysięcy użytkowników Morele już złamane.
- 50 mln euro kary dla Google za naruszenie RODO
- Dane 36 000 użytkowników księgarni XLM.pl wyciekły i ktoś chciał je sprzedać