Nasi czytelnicy mają różne pasje. Realizując je, odwiedzają różne strony i czasem znajdują na nich mniej lub bardziej poważne błędy. Co powiecie na możliwość ujawnienia danych kilkuset tysięcy klientów sklepu Militaria.pl?
Serwis Militaria.pl pozycjonuje się jako „największy sklep z asortymentem strzeleckim i outdoorowym w Polsce”. Kupowane produkty można oczywiście oceniać. Jeden z użytkowników zauważył, że gdy przechodzi z podstrony zawierającej opinie wybranego użytkownika do panelu logowania, w polu „Login” wyświetla mu się adres e-mail zupełnie obcej osoby. Okazało się, że w kodzie stron z opiniami, które są tworzone dla poszczególnych użytkowników (również tych, którzy żadnej opinii nie dodali), można znaleźć także ich adresy e-mail, których zdecydowanie nie powinno tam być.
Nasz czytelnik bardzo się zdziwił i zaczął sprawdzać podstrony z opiniami losowo wybieranych klientów – z takim samym skutkiem. Zdecydował się więc powiadomić nas o możliwym wycieku adresów e-mail ze sklepu Militaria.pl. Poniżej możecie zobaczyć parę przykładowych zrzutów ekranu.
Zweryfikowaliśmy otrzymane od czytelnika informacje – rzeczywiście w kodzie źródłowym stron z opiniami znaleźliśmy adresy e-mail klientów, którzy te opinie dodali. Według naszych szacunków na podstawie numeracji kont problem mógł dotknąć ponad 300 tys. użytkowników – zarówno tych, którzy opinie dodali, jak i tych, którzy jedynie założyli konto w serwisie.
Potencjalne konsekwencje
Konsekwencje tego wycieku mogły być poważne. Dysponując adresami e-mail klientów sklepu, przestępcy mogli próbować ich oszukiwać i podobnie jak w przypadku sklepu Morele.net wysyłać im np. wiadomości o konieczności dopłaty do właśnie wykonanych zakupów, a w konsekwencji doprowadzać do utraty pieniędzy z rachunków. Z technicznego punktu widzenia nie było to trudne – wystarczyło monitorować nowo utworzone konta klientów, wyciągać z nich adresy e-mail i pisać wiarygodne wiadomości.
Reakcja Militaria.pl
Jak zwykle w podobnych przypadkach nawiązaliśmy kontakt z firmą, której dotyczyło zgłoszenie. Na reakcję nie musieliśmy długo czekać. Odezwał się do nas Marek Prudel z Militaria.pl, który podziękował za przesłanie informacji o błędzie i udzielił następujących wyjaśnień:
W wyniku błędu programistycznego na podstronach o znikomej popularności (udział tych stron w ruchu całej strony jest na poziomie 0,002%) w kodzie źródłowym dostępne były adresy e-mail klientów. Były to konkretnie podstrony z listą opinii o produktach danego zarejestrowanego użytkownika. Te podstrony były wyłączone z indeksowania ze względu na ich niską użyteczność. Nie są one dostępne w wyszukiwarkach google.pl, bing.com czy też duckduckgo.com. Dane te znalazły się w kodzie źródłowym w wyniku niepoprawnego zadziałania kodu przy okazji wdrażania zmian w innym obszarze strony.
Nie jest możliwe określenie z całą pewnością, czy dane te rzeczywiście zostały pobrane przez osoby nieuprawnione i ile takich pobrań było, czy pobrane zostały wszystkie opublikowane dane, czy tylko część z nich. Biorąc pod uwagę niską popularność problematycznych podstron oraz ich wykluczenie z ruchu wyszukiwarek, prawdopodobieństwo wystąpienia szkody po stronie naszych użytkowników oceniamy jako niskie.
Natychmiast po otrzymaniu informacji o niezamierzonym ujawnieniu danych podjęliśmy działania naprawcze. Tego samego dnia, 19.06.2019 o godzinie 14:00 dane widoczne w kodzie zostały usunięte. Pracujemy aktualnie nad zmianą tych stron, aby podobna sytuacja w ogóle nie była możliwa w przyszłości. Zwiększymy także liczbę testów polegających na skanowaniu strony pod kątem ujawnienia danych osobowych.
O niezamierzonym ujawnieniu danych poinformowaliśmy już Urząd Ochrony Danych Osobowych. Będziemy informować klientów o zaistniałej sytuacji zarówno poprzez komunikację e-mailową, jak i komunikat na naszej stronie.
Musimy pochwalić reakcję Militaria.pl – serwis zareagował ekspresowo, od razu potraktował sprawę poważnie i sprawnie się z nami komunikował. Bardzo nas to cieszy, gdyż nie zawsze spotykamy się z prawidłową reakcją na incydent w trakcie jego zgłaszania.
Jeśli zaobserwujecie podobny wyciek danych lub inny problem z bezpieczeństwem i będziecie chcieli go nagłośnić, zapraszamy do kontaktu. Gwarantujemy anonimowość i chętnie pomożemy w usunięciu zagrożenia.
Komentarze
szacun dla militaria.pl
Chyba Cie Bozia opuściła.
Szacun? Jak zaczynają zdaniem „…na podstronach o znikomej popularności[…]” to dla mnie dramat!
Frajerstwo totalne. Tłumaczenia o „znikomej popularności” stron z udostępnionymi przez głupotę adresami są żałosne.
Fajna amatorszczyzna, pasuje do tego sklepu. Mój email byłby też „wyciekł”, gdyby publikowali negatywne opinie. Na szczęście przez moderatorów przechodzą tylko pozytywne. :)
Niestety, agile i/lub amatorszczyzna zbiera żniwo. Wymagania bezpieczeństwa nie mieszczą się w user story więc potem nikt tego nie testuje.
@Ech
Dla wielu firm Agile (powinienem powiedzieć pseudoAgile) ogranicza się do nieprowadzenia dokumentacji, robienia wszystkiego jak się komu podoba, w kolejności dowolnej, ale za to bardzo płytko ;)
Poprawnie wdrożone metodyki agilowe wymagają więcej dyscypliny i pomyślunku od zespołu niż waterfall. No ale tak dobrych ludzi, którzy rzeczywiście umieją współpracować nad tym co mają do zrobienia, rzadko udaje się zgromadzić w jednym miejscu (dużo wygadanych niedouków obecnie), więc wychodzi jak wychodzi.
Dobrze wiedzieć,trzeba będzie bardziej uważać przy zakupach u nich,dzięki.
no nieźle, będę musiał pozmieniać hasła na wszelki wypadek, a ogólnie to ostatnio przerzuciłem się parę razy z zakupami na sklep combat.pl
A książki do biblioteki to gdzie?
sam email to nie dana osobowa.
Adres email to jak najbardziej 'dana osobowa’. Po pierwsze w adresie email zazwyczaj jest imię i nazwisko, a po drugie każda 'dana’, która jest w stanie pośrednio lub bezpośrednio zidentyfikować osobę jest 'daną osobową’.
Co do argumentu, że podstrony z opiniami mają marginalne ruch, to aż szkoda słów by komentować. Podany ruch i mniejszy niz 0.0002% i tak wystarcza, by wszystkie dane mogły wyciec.
Jeśli w adresie podana jest dana danej osoby to wydana jest dana osobowa.
Marcok też tam ostatnio kupowałem ceny konkurencyjne albo i lepsze
Ale nadal robią ludzi w wała sprzedając hukowce na gumowe kulki ;)
Może wam Militaria szybko odpowiedziały. Ale klientów poinformowali dopiero dzisiaj. Tak, dzisiaj rozesłali maila z informacją, że mogło dojść do wycieku danych.