Adresy e-mail 300 tysięcy klientów Militaria.pl mogły wyciec do sieci

dodał 20 czerwca 2019 o 09:34 w kategorii Prywatność, Wpadki  z tagami:
Adresy e-mail 300 tysięcy klientów Militaria.pl mogły wyciec do sieci

Nasi czytelnicy mają różne pasje. Realizując je, odwiedzają różne strony i czasem znajdują na nich mniej lub bardziej poważne błędy. Co powiecie na możliwość ujawnienia danych kilkuset tysięcy klientów sklepu Militaria.pl?

Serwis Militaria.pl pozycjonuje się jako „największy sklep z asortymentem strzeleckim i outdoorowym w Polsce”. Kupowane produkty można oczywiście oceniać. Jeden z użytkowników zauważył, że po przejściu z podstrony zawierającej opinie wybranego użytkownika do panelu logowania w polu „Login” wyświetlił mu się adres e-mail zupełnie obcej osoby. Okazało się, że w kodzie źródłowym stron z opiniami, tworzonych dla poszczególnych użytkowników (również tych, którzy żadnej opinii nie dodali), można znaleźć także ich adresy e-mail, których zdecydowanie nie powinno tam być.

Nasz czytelnik bardzo się zdziwił i zaczął sprawdzać podstrony z opiniami losowo wybieranych klientów – z takim samym skutkiem. Zdecydował się więc powiadomić nas o możliwym wycieku adresów e-mail ze sklepu Militaria.pl. Poniżej możecie zobaczyć parę przykładowych zrzutów ekranu.

Zweryfikowaliśmy otrzymane od czytelnika informacje – rzeczywiście w kodzie źródłowym stron z opiniami znaleźliśmy adresy e-mail klientów, którzy te opinie dodali. Według naszych szacunków na podstawie numeracji kont problem mógł dotknąć ponad 300 tys. użytkowników – zarówno tych, którzy opinie dodali, jak i tych, którzy jedynie założyli konto w serwisie.

Potencjalne konsekwencje

Konsekwencje tego wycieku mogły być poważne. Dysponując adresami e-mail klientów sklepu, przestępcy mogli próbować ich oszukiwać i podobnie jak w przypadku sklepu Morele.net wysyłać im np. wiadomości o konieczności dopłaty do właśnie wykonanych zakupów, a w konsekwencji doprowadzać do utraty pieniędzy z rachunków. Z technicznego punktu widzenia nie było to trudne – wystarczyło monitorować nowo utworzone konta klientów, wyciągać z nich adresy e-mail i pisać wiarygodne wiadomości do klientów.

Reakcja Militaria.pl

Jak zwykle w podobnych przypadkach nawiązaliśmy kontakt z firmą, której dotyczyło zgłoszenie. Na reakcję nie musieliśmy długo czekać. Odezwał się do nas Marek Prudel z Militaria.pl, który podziękował za przesłanie informacji o błędzie i udzielił następujących wyjaśnień:

W wyniku błędu programistycznego na podstronach o znikomej popularności (udział tych stron w ruchu całej strony jest na poziomie 0,002%) w kodzie źródłowym dostępne były adresy e-mail klientów. Były to konkretnie podstrony z listą opinii o produktach danego zarejestrowanego użytkownika. Te podstrony były wyłączone z indeksowania ze względu na ich niską użyteczność. Nie są one dostępne w wyszukiwarkach google.pl, bing.com czy też duckduckgo.com. Dane te znalazły się w kodzie źródłowym w wyniku niepoprawnego zadziałania kodu przy okazji wdrażania zmian w innym obszarze strony.

Nie jest możliwe określenie z całą pewnością, czy dane te rzeczywiście zostały pobrane przez osoby nieuprawnione i ile takich pobrań było, czy pobrane zostały wszystkie opublikowane dane, czy tylko część z nich. Biorąc pod uwagę niską popularność problematycznych podstron oraz ich wykluczenie z ruchu wyszukiwarek, prawdopodobieństwo wystąpienia szkody po stronie naszych użytkowników oceniamy jako niskie.

Natychmiast po otrzymaniu informacji o niezamierzonym ujawnieniu danych podjęliśmy działania naprawcze. Tego samego dnia, 19.06.2019 o godzinie 14:00 dane widoczne w kodzie zostały usunięte. Pracujemy aktualnie nad zmianą tych stron, aby podobna sytuacja w ogóle nie była możliwa w przyszłości. Zwiększymy także liczbę testów polegających na skanowaniu strony pod kątem ujawnienia danych osobowych.

O niezamierzonym ujawnieniu danych poinformowaliśmy już Urząd Ochrony Danych Osobowych. Będziemy informować klientów o zaistniałej sytuacji zarówno poprzez komunikację e-mailową, jak i komunikat na naszej stronie.

Musimy pochwalić reakcję Militaria.pl – serwis zareagował ekspresowo, od razu potraktował sprawę poważnie i sprawnie się z nami komunikował. Bardzo nas to cieszy, gdyż nie zawsze spotykamy się z prawidłową reakcją na incydent w trakcie jego zgłaszania.

Jeśli zaobserwujecie podobny wyciek danych lub inny problem z bezpieczeństwem i będziecie chcieli go nagłośnić, zapraszamy do kontaktu. Gwarantujemy anonimowość i chętnie pomożemy w usunięciu zagrożenia.