Możliwość śledzenia przesyłek z Chin, podróżujących często tygodniami, pozwala nieco zmniejszyć poziom stresu związanego z oczekiwaniem. Niestety czasem umożliwia także poznanie danych odbiorców tysięcy przesyłek.
Jeden z naszych Czytelników, Piotrek, podesłał nam informację wskazującą na potencjalnie spory wyciek danych osobowych polskich klientów AliExpress na stronie umożliwiającej śledzenie przesyłek. Na szczęście jej autorzy szybko zareagowali i problem został usunięty.
Śledzenie nie tylko przesyłek, ale i klientów
Piotrek zauważył, że w serwisie PostalNinja nie tylko numery śledzenia przesyłek są przewidywalne, ale każdy z nich umożliwia zapoznanie się z pełnym imieniem, nazwiskiem oraz adresem odbiorcy przesyłki. Wyglądało to tak:
W oknie wyszukiwania wystarczyło wpisać numer śledzenia między PL00000001XXXX a PL0000008XXXXXX, by przeglądać dane dostawy dla kilkuset tysięcy paczek wysłanych za pomocą SinoAir z AliExpress między październikiem a grudniem tego roku. Zakładając, że nasze mocno ograniczone testy były wiarygodne, a numeracja ciągła, to problem mógł dotyczyć ok. 800 000 przesyłek.
Dla każdej testowanej przez nas wartości z tego przedziału strona bez problemu odnajdywała, oprócz historii podróży paczki, także imię i nazwisko odbiorcy oraz jego adres dostawy.
Zaskakująco szybka interwencja
Nie chcąc publikować informacji o wycieku danych nadal możliwym do wykorzystania, najpierw skontaktowaliśmy się z firmą odpowiedzialną za serwis Postal Ninja. W ciągu 3 godzin otrzymaliśmy informację o przyjęciu zgłoszenia, uznaniu problemu za wart interwencji oraz obietnicę wdrożenia zmian w ciągu doby. Dobę później problem został załatany – obecnie nadal widać status przesyłki, lecz z imienia i nazwiska odbiorcy pozostały tylko po 3 pierwsze litery, a z adresu zniknęły ulica i numer domu oraz mieszkania. Musimy przyznać, imponujący czas reakcji.
Potencjalne skutki
W ujawnianych danych nie było ani numeru telefonu, ani adresu e-mail odbiorców, zatem użycie zdobytej w ten sposób bazy w masowych atakach raczej nie jest proste. Zebrane dane można jednak wykorzystywać do akcji reklamowych, wysyłając tradycyjny spam do najaktywniejszych kupujących. Ciekawe też, czy po numerach śledzących można zweryfikować, co było przedmiotem zakupu – takie informacje mogą być już dużo ciekawsze.
Usunięcie tego problemu nie oznacza oczywiście, że dane dostaw nie pojawiają się teraz w innym miejscu – jak widać, nawet zewnętrzne podmioty śledzące przesyłki mogą otrzymać dostęp do wszystkich informacji dotyczących paczki w niezanonimizowanej formie. Jeśli zatem gdzieś natraficie na podobny problem, to dajcie znać – jak się okazuje, da się takie rzeczy dość szybko załatwić z korzyścią dla prywatności wszystkich miłośników chińskich zakupów.
Komentarze
Czyli dobrze zrobiłem zamawiając wszystko na dane bez podawania nazwiska i zawsze każda rzecz doszła, a w przypadku paczek rejestrowanych to już nie pamiętam czy tam robiłem wyjątek i nazwisko podawałem czy nie, za kilka dni będę wiedział na 100%, bo zamówiłem coś rejestrowanego na imię bez nazwiska i już jest w WER WARSZAWA, raczej listonosz nie będzie robił problemu w tym przypadku (mimo, że to tym razem list polecony)
Dobrze ze nie podales nazwiska bo to ze zamowiles gadzet do niczego ci nie potrzebny…tyle by to zmienilo w swiecie ze moze nawet globalne ocieplenie by wrocilo do normy….
Co na to przepisy celne?
Bo wszystkie paczki spoza europejskiego obszaru celnego podlegają kontroli celnej i bywają otwierane.
No i cos sie stalo w zwiazku z wyciekiem
Idziesz ulica i na okolo ktos mieszka
Jeden kowalski drugi malinowski i co komu do tego.
Media i system tak zrobili by ludzie cigle zyli w strachu.
A i tak kazdy jest na podsluchu… Tylko o tym sie nie mowi…
Hahaha
Mozna dodac komentaz niby anonimowo…
…A po co komu sa dane komentujacych ty pu asres email?
Nawet bez adresu google moze namierzyc kazda osobe na swiecie…tylko o tym tez sie nie mowi….
…..No i cos sie stalo w zwiazku z wyciekiem
Idziesz ulica i na okolo ktos mieszka
Jeden kowalski drugi malinowski i co komu do tego.
Media i system tak zrobili by ludzie cigle zyli w strachu.
A i tak kazdy jest na podsluchu… Tylko o tym sie nie mowi…
Dobrze że w kraju mamy lepszą świadomosć niż u ruskich, do których należy wspomniana strona jak i kilka innych często podających zbyt dużo danych. Nasz krajowy, wart uwagi produkt czyli alipaczka.pl podaje tylko zawartość, masę i kod pocztowy przesyłki.
To, że ich nie wyświetla, nie znaczy, że ich nie posiada/przetwarza ;)
Problem nadal występuje np. na tej stronie http://parcelsapp.com/en i dodatkowo widać co zadeklarowano jako zawartość paczki
Nic nowego. Tak samo było w przypadku wielu przewoźników, naprawdę wielu. PostNL, postEE, asendia etc. W niektórych przypadkach były dostępne adresy e-mail, numery telefonów.
A kolego Pawle, to, że alipaczka nie pokazuje tych danych nie oznacza, że ich nie pobiera i przetwarza. Pobranie danych osobowych z zewnetrznego serwera == przetwarzanie danych osobowych, niezależnie od tego co ktoś sobie napisze w polityce prywatności.
Chińskie firmy mają w dupie prywatność swoich klientów i to nic nowego.
W przypadku niektórych przewoźników to wyglądało tak, że dane nie były wyświetlane, ale były np w XMLu czy JSONie przesyłanym do przeglądarki.
Widzę że, sezon ogórkowy w pełni. Niezbyt ciekawa ta informacja. Taka mało użyteczna. Jeśli ktokolwiek miałby scrapować dane Polaków jechał by po publicznie, z mocy prawa, dostępnych rejestrów. Ksiąg wieczystych (którymi przy okazji można wyciągać informacje o majętności), KRS, CiDG…
Sinoair udostępniał te dane od kilkunastu miesięcy przy swoich przesyłkach (w tym np. ASS 0045…. czy komuś poza wspomnianym Piotrem to przeszkadzało? Mi pomagało, bo od razu wiedziałem, jak sprzedawca podał czyjś numer przy mojej przesyłce. Niektórzy ludzie teraz pierdolca dostają jak zobaczą gdzieś swój adres czy nazwisko. Zresztą urzędnicy też. Nie tak dawno w naszej gminie urząd uznał, że trzeba chronić dane przedsiębiorcy, dokładnie jego imię i nazwisko w publikacjach w BIP… nawet nie wiem, czy to śmieszne, czy już żałosne.