Przed kilkoma godzinami niezbyt odpowiedzialny internauta opublikował w sieci metodę na uzyskanie szczegółowych danych klientów firmy NEONET, którzy składali w niej reklamacje. Błąd niestety nadal występuje w systemie.
W jednym z popularnych serwisów internetowych ktoś opublikował pełen oburzenia wpis na temat metod ochrony danych osobowych w firmie NEONET wraz ze szczegółowym opisem sposobu, w jaki można zapoznać się z danymi osób trzecich.
Banalny błąd w witrynie
Wyciek danych umożliwia trywialny i w dzisiejszych czasach niedopuszczalny błąd programistyczny. Problem tkwi w interfejsie serwisu. W jednym z formularzy zmieniając pewne pole, będące pod kontrolą użytkownika, można wyświetlić dane dotyczące dowolnej reklamacji.
W wyświetlanym formularzu znajdują się pełne dane klientów firmy takie jak:
- imię i nazwisko
- pełen adres zamieszkania
- adres poczty elektronicznej
- numer telefonu kontaktowego
oraz miejsce zakupu, pełna informacja o zakupionym towarze wraz z numerem seryjnym a także treść zgłoszenia reklamacyjnego.
Fragment przykładowego zgłoszenia
Błąd fatalny, ale to zgłoszenie…
Nie da się ukryć, ze błąd na stronie NEONETu to prawdziwe przedszkole programistyczne (choć NEONET nie jest tutaj sam – podobny problem miał swego czasu EMPIK). Trzeba jednak dodać, że to, jak postąpiła osoba zgłaszająca błąd, jest co najmniej równie bulwersujące. Zamiast powiadomić o błędzie właściciela sklepu lub przynajmniej jeden z serwisów zajmujących się bezpieczeństwem, opublikowała informację wraz z szczegółowymi wskazówkami w ogólnodostępnym serwisie internetowym.
Nie podajemy nazwy serwisu, w którym znajduje się opis błędu, by nie ułatwiać wyszukania tych informacji zanim błąd nie zostanie załatany. Czemu publikujemy nasz artykuł? Informację o błędzie widziała już ponad setka osób oraz robot Google, zatem trudno udawać, że nie wie jeszcze o tym połowa internetu. Pisaliśmy także do NEONETu, lecz najwyraźniej proces obsługi zgłoszeń nie jest doskonały. Może w ten sposób informacja dotrze szybciej do odpowiednich osób.
Aktualizacja 2015-03-24: otrzymaliśmy oświadczenie firmy NEONET, które publikujemy w całości.
Szanowni Państwo,
W nawiązaniu do powyższych informacji odnośnie wycieku danych, pragniemy poinformować, że problem faktycznie miał miejsce. Po zgłoszeniu problemu strona została natychmiast zablokowana i dostęp do przeglądania informacji był niemożliwy. Przyczyną zaistniałej sytuacji był błąd programistyczny, na etapie testowania nowej wersji programu obsługi reklamacji. Dziś w godzinach porannych została przywrócona funkcjonalność systemu z wyeliminowanym błędem. Jest to pierwsza tego typu sytuacja w NEONET, za którą przepraszamy. Bezpieczeństwo danych naszych Klientów stanowi dla nas priorytet. Osobom, które zwróciły nam uwagę na błąd dziękujemy. Z Klientami, którzy zostali poszkodowani w obecnej sytuacji, będziemy się kontaktować osobiście w sprawie zadośćuczynienia. W przyszłości dołożymy wszelkich starań, aby podobna sytuacja nie miała miejsca.
Komentarze
Teraz się okaże, czy pracownicy IT NEONET czytają portale dot. bezpieczeństwa informacji :)
Załatane :)
chyba wszystkie systemy neonetu mają dziury. ja kiedyś znalazłem możliwość podmiany (bez odczytu) danych wszystkich klientów. nie zgłaszałem tego. potem na wykopie ktoś pisał, że to również znalazł, zgłosił i dostał 1000zł w ramach czegoś w rodzaju bug bounty (oficjalnie neonet tego nie prowadzi).
a na innym dużym sklepie można sobie dorzucać pewien towar (nie wszystkie) z własną ceną, w tym ujemną ;)
praktycznie każda strona ma mniejsze lub większe dziury. o dziwo – pomimo tego, że takie strony działają jedynie na zasadzie zaufania i ew. lenistwa innych – to działają cały czas..
komputronik :>
Dobrze chłopak zrobił – może zaczną doceniać tych, którzy zgłaszają takie rzeczy i będą im coś dawać w zamian, a nie jak do tej pory – robili wolontariat i guzik z tego mieli.. a kasę dostawali tylko Ci, którzy mieli do takich „błędów” nie dopuszczać …
Akurat Neonet wyslal mi znizke 1k~ na dowolny produkt za zgloszenie buga.
Tak samo można zrobić na stronie VMWare, zmienisz numer id i możesz wygenerować na ich stronie dowolny certyfikat z Twoimi danymi :)
Sami sobie chyba odpowiedzieliście, na pytanie, dlaczego ktoś opublikował ten błąd. Był zapewne wkurzony na obsługę i pewne opieszałość po zgłoszeniu reklamacji. Nikt nie lubi jak się nas traktuje jak kolejne zło konieczne. Napisaliście sami do nich, a ich odpowiedz świadczy o fatalnym marketingu relacji a nawet jego braku. Firma zapewne idzie w ilość a nie jakość, w takich firmach kontakt między klientem, który nie kupuje jest na ostatnim miejscu.
Jeszcze bardziej banalny błąd (lub raczej lenistwo programistyczne) dotyczy ksiąg wieczystych.
Do autora tekstu:A pomyślałeś o tym że osoba która to wykryła wolała nie narażać się organom ścigania?Sam byłem świadkiem pewnych okoliczności gdy zostały złamane pewne „zabezpieczenia” a następnie uczciwie zgłoszone przez „łamiącego” o wykrytych lukach,pech chciał że tego nie docenili albo raczej się wystraszyli i 8 świeczek zgasło na raz,a chciał być uczciwy.W chorym Państwie żyjemy z chorymi układami.
Jeśli chcecie to od ręki są dostępne skany pewnych papierzysk,także tego typu informacje są obojętne a jednocześnie przydatne.
@dzek , sam pisałem ostatnio sklep problem polega na tym że najlepiej jest każdą akcję przeładowywać za pomocą AJAXA, wtedy odpytujemy bazę danych o aktualną cenę i system to sprawdza automatycznie.
chodzi o to że jeśli używamy AJAXA to nie da się nic nadpisać bo system i tak odpyta bazę danych o cenę.