20.06.2019 | 09:34

Anna Wasilewska-Śpioch

Adresy e-mail 300 tysięcy klientów Militaria.pl mogły wyciec do sieci

Nasi czytelnicy mają różne pasje. Realizując je, odwiedzają różne strony i czasem znajdują na nich mniej lub bardziej poważne błędy. Co powiecie na możliwość ujawnienia danych kilkuset tysięcy klientów sklepu Militaria.pl?

Serwis Militaria.pl pozycjonuje się jako „największy sklep z asortymentem strzeleckim i outdoorowym w Polsce”. Kupowane produkty można oczywiście oceniać. Jeden z użytkowników zauważył, że gdy przechodzi z podstrony zawierającej opinie wybranego użytkownika do panelu logowania, w polu „Login” wyświetla mu się adres e-mail zupełnie obcej osoby. Okazało się, że w kodzie stron z opiniami, które są tworzone dla poszczególnych użytkowników (również tych, którzy żadnej opinii nie dodali), można znaleźć także ich adresy e-mail, których zdecydowanie nie powinno tam być.

Nasz czytelnik bardzo się zdziwił i zaczął sprawdzać podstrony z opiniami losowo wybieranych klientów – z takim samym skutkiem. Zdecydował się więc powiadomić nas o możliwym wycieku adresów e-mail ze sklepu Militaria.pl. Poniżej możecie zobaczyć parę przykładowych zrzutów ekranu.

Zweryfikowaliśmy otrzymane od czytelnika informacje – rzeczywiście w kodzie źródłowym stron z opiniami znaleźliśmy adresy e-mail klientów, którzy te opinie dodali. Według naszych szacunków na podstawie numeracji kont problem mógł dotknąć ponad 300 tys. użytkowników – zarówno tych, którzy opinie dodali, jak i tych, którzy jedynie założyli konto w serwisie.

Potencjalne konsekwencje

Konsekwencje tego wycieku mogły być poważne. Dysponując adresami e-mail klientów sklepu, przestępcy mogli próbować ich oszukiwać i podobnie jak w przypadku sklepu Morele.net wysyłać im np. wiadomości o konieczności dopłaty do właśnie wykonanych zakupów, a w konsekwencji doprowadzać do utraty pieniędzy z rachunków. Z technicznego punktu widzenia nie było to trudne – wystarczyło monitorować nowo utworzone konta klientów, wyciągać z nich adresy e-mail i pisać wiarygodne wiadomości.

Reakcja Militaria.pl

Jak zwykle w podobnych przypadkach nawiązaliśmy kontakt z firmą, której dotyczyło zgłoszenie. Na reakcję nie musieliśmy długo czekać. Odezwał się do nas Marek Prudel z Militaria.pl, który podziękował za przesłanie informacji o błędzie i udzielił następujących wyjaśnień:

W wyniku błędu programistycznego na podstronach o znikomej popularności (udział tych stron w ruchu całej strony jest na poziomie 0,002%) w kodzie źródłowym dostępne były adresy e-mail klientów. Były to konkretnie podstrony z listą opinii o produktach danego zarejestrowanego użytkownika. Te podstrony były wyłączone z indeksowania ze względu na ich niską użyteczność. Nie są one dostępne w wyszukiwarkach google.pl, bing.com czy też duckduckgo.com. Dane te znalazły się w kodzie źródłowym w wyniku niepoprawnego zadziałania kodu przy okazji wdrażania zmian w innym obszarze strony.

Nie jest możliwe określenie z całą pewnością, czy dane te rzeczywiście zostały pobrane przez osoby nieuprawnione i ile takich pobrań było, czy pobrane zostały wszystkie opublikowane dane, czy tylko część z nich. Biorąc pod uwagę niską popularność problematycznych podstron oraz ich wykluczenie z ruchu wyszukiwarek, prawdopodobieństwo wystąpienia szkody po stronie naszych użytkowników oceniamy jako niskie.

Natychmiast po otrzymaniu informacji o niezamierzonym ujawnieniu danych podjęliśmy działania naprawcze. Tego samego dnia, 19.06.2019 o godzinie 14:00 dane widoczne w kodzie zostały usunięte. Pracujemy aktualnie nad zmianą tych stron, aby podobna sytuacja w ogóle nie była możliwa w przyszłości. Zwiększymy także liczbę testów polegających na skanowaniu strony pod kątem ujawnienia danych osobowych.

O niezamierzonym ujawnieniu danych poinformowaliśmy już Urząd Ochrony Danych Osobowych. Będziemy informować klientów o zaistniałej sytuacji zarówno poprzez komunikację e-mailową, jak i komunikat na naszej stronie.

Musimy pochwalić reakcję Militaria.pl – serwis zareagował ekspresowo, od razu potraktował sprawę poważnie i sprawnie się z nami komunikował. Bardzo nas to cieszy, gdyż nie zawsze spotykamy się z prawidłową reakcją na incydent w trakcie jego zgłaszania.

Jeśli zaobserwujecie podobny wyciek danych lub inny problem z bezpieczeństwem i będziecie chcieli go nagłośnić, zapraszamy do kontaktu. Gwarantujemy anonimowość i chętnie pomożemy w usunięciu zagrożenia.

Powrót

Komentarze

  • 2019.06.20 12:20 p0l0

    szacun dla militaria.pl

    Odpowiedz
    • 2019.06.20 15:47 Ted

      Chyba Cie Bozia opuściła.

      Odpowiedz
    • 2019.06.21 07:16 a8lX

      Szacun? Jak zaczynają zdaniem „…na podstronach o znikomej popularności[…]” to dla mnie dramat!

      Odpowiedz
      • 2019.07.06 19:34 Beny

        Frajerstwo totalne. Tłumaczenia o „znikomej popularności” stron z udostępnionymi przez głupotę adresami są żałosne.

        Odpowiedz
  • 2019.06.20 19:22 prysznic

    Fajna amatorszczyzna, pasuje do tego sklepu. Mój email byłby też „wyciekł”, gdyby publikowali negatywne opinie. Na szczęście przez moderatorów przechodzą tylko pozytywne. :)

    Odpowiedz
  • 2019.06.20 23:19 Ech

    Niestety, agile i/lub amatorszczyzna zbiera żniwo. Wymagania bezpieczeństwa nie mieszczą się w user story więc potem nikt tego nie testuje.

    Odpowiedz
    • 2019.06.22 11:57 wk

      @Ech

      Dla wielu firm Agile (powinienem powiedzieć pseudoAgile) ogranicza się do nieprowadzenia dokumentacji, robienia wszystkiego jak się komu podoba, w kolejności dowolnej, ale za to bardzo płytko ;)

      Poprawnie wdrożone metodyki agilowe wymagają więcej dyscypliny i pomyślunku od zespołu niż waterfall. No ale tak dobrych ludzi, którzy rzeczywiście umieją współpracować nad tym co mają do zrobienia, rzadko udaje się zgromadzić w jednym miejscu (dużo wygadanych niedouków obecnie), więc wychodzi jak wychodzi.

      Odpowiedz
  • 2019.06.22 10:03 kez87

    Dobrze wiedzieć,trzeba będzie bardziej uważać przy zakupach u nich,dzięki.

    Odpowiedz
  • 2019.06.24 11:56 Marcok

    no nieźle, będę musiał pozmieniać hasła na wszelki wypadek, a ogólnie to ostatnio przerzuciłem się parę razy z zakupami na sklep combat.pl

    Odpowiedz
  • 2019.06.24 12:20 Konan Katoda

    A książki do biblioteki to gdzie?

    Odpowiedz
  • 2019.06.25 07:51 ori

    sam email to nie dana osobowa.

    Odpowiedz
    • 2019.06.25 20:13 Wojciech

      Adres email to jak najbardziej 'dana osobowa’. Po pierwsze w adresie email zazwyczaj jest imię i nazwisko, a po drugie każda 'dana’, która jest w stanie pośrednio lub bezpośrednio zidentyfikować osobę jest 'daną osobową’.
      Co do argumentu, że podstrony z opiniami mają marginalne ruch, to aż szkoda słów by komentować. Podany ruch i mniejszy niz 0.0002% i tak wystarcza, by wszystkie dane mogły wyciec.

      Odpowiedz
    • 2019.07.06 19:37 Beny

      Jeśli w adresie podana jest dana danej osoby to wydana jest dana osobowa.

      Odpowiedz
  • 2019.06.26 13:53 Andrzej

    Marcok też tam ostatnio kupowałem ceny konkurencyjne albo i lepsze

    Odpowiedz
  • 2019.06.27 16:19 andrzej

    Ale nadal robią ludzi w wała sprzedając hukowce na gumowe kulki ;)

    Odpowiedz
  • 2019.07.06 09:47 alex

    Może wam Militaria szybko odpowiedziały. Ale klientów poinformowali dopiero dzisiaj. Tak, dzisiaj rozesłali maila z informacją, że mogło dojść do wycieku danych.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Adresy e-mail 300 tysięcy klientów Militaria.pl mogły wyciec do sieci

Komentarze