Dziura w systemie informatycznym Plusa

Newsy
Dodaj opinię
Opinie: 0
Dziura w systemie informatycznym Plusa

Serwis niebezpiecznik.pl poinformował, że każdy kto wszedł na specjalną podstronę w domenie Plusa, mógł podejrzeć dane klientów Plusa i Plusha. Można było ustalić do kogo należy dany numer telefonu a także uzyskać dostęp do numerów PESEL, adresów zamieszkania klientów itp.

Pobieranie danych klientów i zarządzanie innymi systemami wewnętrznymi Plusa i Plusha umożliwiało publicznie dostępne, niezabezpieczone żadnym tokenem API.

Dane to m.in:

  • imię i nazwisko
  • adres zamieszkania
  • numer dokumentu
  • numer identyfikacyjny (PESEL) / nr dokumentu
  • e-mail

Oficjalne oświadczenie Plusa w tej sprawie:

W jednym z naszych systemów teleinformatycznych wykryty został błąd związany z funkcjonowaniem API. Błąd ten wystąpił w związku z przeprowadzoną aktualizacją systemu. W jego wyniku istniała potencjalna możliwość uzyskania nieuprawnionego dostępu do danych zarządzanych przez spółkę. Luka umożliwiała wywołanie pojedynczych rekordów zawierających m.in. dane osobowe poprzez wykonanie odpowiedniego zapytania w API.
Luka w zabezpieczeniach została wykryta przez ekspertów, a nie przez hakerów. Zostaliśmy o niej poinformowani w poniedziałek, 11 października. Błąd został niezwłocznie usunięty, po kilkunastu godzinach, od 12 października nasz system jest odpowiednio zabezpieczony. W ostatnich dniach przeprowadzaliśmy kompleksowe testy i weryfikacje, które miały na celu sprawdzenie bezpieczeństwa systemu po wyeliminowaniu luki. Przebiegły one pozytywnie.

Po wnikliwej weryfikacji stwierdziliśmy, że nieznacznie zwiększona liczba wszystkich zapytań – o kilkadziesiąt sztuk – kierowanych do naszej bazy występowała od 5 października. Nie stwierdziliśmy, by w okresie istnienia luki miało miejsce masowe nieuprawnione odpytywanie o dane. Jedyne zarejestrowane zdarzenia związane z tym incydentem, zgodnie z naszymi ustaleniami na ten moment, dotyczą diagnozowania błędu przez ekspertów, którzy nas o nim poinformowali. Łącznie w tym okresie mówimy o kilkudziesięciu rekordach, których dotyczył nieautoryzowany dostęp.
W wymaganym przepisami prawa terminie zgłosiliśmy do UODO zaistnienie opisywanego błędu systemowego. Klienci, których części danych dotyczył nieautoryzowany dostęp, zostaną indywidualnie poinformowani przez naszą spółkę. Dane pozostałych naszych klientów są bezpieczne.

Pozdrawiam, Tomasz Matwiejczuk, Dyrektor ds. Komunikacji Korporacyjnej, Rzecznik Prasowy

Pełna treść artykułu znajduje się tutaj

Opinie:

Rekomendowane:

Akcje partnerskie: