02.07.2018 | 21:12

Adam Haertle

Jak łatwo nakręcić aferę, czyli czy faktycznie z Dotpaya wyciekły dane klientów

Od paru godzin internet obiega sensacyjna wiadomość o odkrytym właśnie wycieku danych klientów popularnego serwisu obsługującego płatności internetowe. Informacja ta w dużej mierze wprowadza w błąd Czytelników.

Jak mawiał Albert Einstein, nie wszystko, co przeczytacie w internecie, okazuje się (całą) prawdą. Nawet wpisy ze strony głównej Wykopu. Zebrane informacje warto zawsze przeanalizować przed rozkręceniem afery.

Wyciek, ale gdzie te dane

Od paru godzin bombardujecie nas doniesieniami, że z Dotpaya wyciekły dane klientów i ich transakcji. Trudno odpisywać każdemu pojedynczo, więc prościej będzie zrobić to hurtowo. Zatem po kolei.

Zaczęło się prawdopodobnie od tego wpisu na Facebooku. Daniel Kędzierski z Pawłem Gontarkiem ogłosili, że odnaleźli w sieci informacje „na co ludzie wydają pieniądze”, „ile kupują i od kogo” oraz „co sprzedaje twoja konkurencja”. Do ogłoszenia dodali kilka zrzutów ekranu, na których widać kolejno:

  • wyniki wyszukiwania w Google pokazujące kilka tysięcy trafień na zapytanie dotyczące frazy „site:dotpay.pl intitle:”payment form” „total amount” poly sport
  • kilka zrzutów ekranów pokazujących że:
    • hostel LGBT przyjmuje darowizny po 200 PLN,
    • usługa SexCAMP kosztuje 400 PLN,
    • agencja sponsorek sprzedaje 5 kontaktów do sponsorek za 31 PLN,
    • pani Ewelina sprzedaje 1000 subskrybentów w 90 dni za 247 PLN,
    • a ktoś używający konkretnego adresu e-mail dokonał płatności na kwotę 67,40 na rzecz sklepu deashop.pl.

Nie licząc ostatniego zrzutu ekranu, zebrane informacje nie wskazywały na żadne dane kupujących, a jedynie na formularze zapłaty za transakcje, zawierające dane sprzedających, kwoty transakcji i nazwy towarów. Wracając zatem do komentarzy odkrywców, można było, w pewnym zakresie, dowiedzieć się, jakimi towarami i za ile handlują konkretne firmy – czyli plus minus to samo, ile można dowiedzieć się, wchodząc na czyjąś stronę internetową lub składając zamówienie – chyba że ktoś prowadząc biznes te dane ukrywa. Zdecydowanie nie było tam informacji „ile kupują” – chociażby dlatego, że formularze nie miały dat ani nie zapewniały kompletności przeglądu sytuacji handlowej danego podmiotu.

Ale dane kupujących!

Spędziliśmy ponad godzinę, przeszukując wyniki z Google i być może coś przeoczyliśmy (dajcie znać, jeśli faktycznie), ale trafiliśmy na 3 (słownie: trzy) wyniki, ujawniające adres e-mail nabywcy, kwotę transakcji i nazwę sklepu, w którym dokonał zakupu. Jeden z przykładów poniżej:

Ale tam są transakcje z seksem w nazwie!

Faktycznie w tym incydencie Dotpay udostępnił informacje, których udostępnić raczej nie chciał – świadczyć może o tym chociażby fakt, że transakcje mają unikalne identyfikatory i krótko po wybuchu afery linki do nich zostały zablokowane w serwisie, a kopie zniknęły z Google. Istotnie, w przypadku firm, których biznes polega na ukrywaniu swoich produktów i cenników (a być może są takie), mogło dojść do ujawnienia informacji. Nie jest to jednak afera dotycząca klientów indywidualnych (oprócz trojga pechowców), a raczej klientów biznesowych i to w bardzo ograniczonym zakresie. W końcu wyciek informacji, że sklep z butami sprzedaje buty, wyciekiem raczej nie jest. Chyba że jest to informacja o tym, że konsultuje przez Skype’a, bo pisemnie robi zbyt dużo byków…

Nie tylko Dotpay

CSI:Wykop podąża niestrudzenie tropem afery i wykryło, że także w serwisie Przelewy24 zindeksowane są pewne strony. Są to strony służące do dokonywania płatności lub darowizn na rzecz różnych podmiotów, które zapewne ze swojej natury powinny być jawne. Nie każdy zatem wynik w Google pokazujący czyjeś dane stanowi wyciek informacji.

PS. Dotpay zmodyfikował swoją stronę tak, by pokazywać błąd 404, gdy ktoś wejdzie z Google. Ale gdy się wklei link „na czysto” (czyli usunie pole „Referer”), to znienacka strony są ponownie dostępne…

Powrót

Komentarze

  • 2018.07.02 22:12 Marcin

    Ale przecież to są transakcje testowe. Tak samo jak na Paypal’u jest oddzielny system na sub-domenie „sandbox” tak tutaj takiego czegoś nie ma. Konta/transakcje założone przez developera do testów w Dotpay lądują tak samo jak normalne transakcje w tej samej domenie i wyglądają tak samo. Można zobaczy to po tym, że nie zostały anulowane po jakimś czasie. Ktoś po prostu testował i o tym zapomniał a Google to wszystko zindeksował.

    Odpowiedz
  • 2018.07.03 08:38 cg

    Nie rozumiem. Linki statyczne, które znajduje Google są przeznaczone do korespondencji niejawnej (np. wysłane e-mailem, jakimś instant messengerem, czy nawet SMS-em). Jeśli ktoś publikuje taki link na swojej stronie i nie wie co robi, w szczególności nie blokuje pająków, to owszem, może pojawić się w sieci. Jak każda inna informacja opublikowana na stronie takiego sklepu. Jeśli do linku zostały dodane dane wpłacającego (żeby miał łatwiej, nie bezpieczniej), to będą wyświetlone na stronie – proste. Co to ma wspólnego z Dotpay? W którym momencie to Dotpay cokolwiek „ujawnił”? Mało, że sami niczego nie opublikowali, odkąd zrobiło się głośno o tym durnym temacie, Dotpay zaczął chronić swoich klientów blokując wejścia z Google, jednocześnie nie blokując wejść z pozostałych źródeł (np. wyżej wspomnianego maila), bo mniej techniczni ludzie najwyraźniej opierają na tym swój biznes. Jak dla mnie zachowanie wzorowe. Nie ich wina, mogli nie robić nic.

    Odpowiedz
    • 2018.07.04 01:25 pm

      Mogli skonfigurować plik robots i zakazać Google indeksować te podstrony. Zgadzam się jednak, że wina udostępniających linki.

      Odpowiedz
      • 2018.07.04 15:43 cg

        Nie wiem, czy robots.txt dałoby wiele, bo z tego co pamiętam Google oficjalnie informuje, że URL-e nadal pojawią się w rezultatach wyszukiwania, jeśli zostaną gdzieś zamieszczone. Ale faktycznie, dodali meta noindex i zniknęli przynajmniej z tych przykładowych Google queries podanych w artykule. Na tę chwilę jak dla mnie rekordowo szybki czas reakcji.

        Odpowiedz

Zostaw odpowiedź do cg

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak łatwo nakręcić aferę, czyli czy faktycznie z Dotpaya wyciekły dane klientów

Komentarze