Poważny błąd w sklepie NEONET – możliwy wyciek danych klientów

dodał 23 marca 2015 o 16:41 w kategorii Błędy  z tagami:
Poważny błąd w sklepie NEONET – możliwy wyciek danych klientów

Przed kilkoma godzinami niezbyt odpowiedzialny internauta opublikował w sieci metodę na uzyskanie szczegółowych danych klientów firmy NEONET, którzy składali w niej reklamacje. Błąd niestety nadal występuje w systemie.

W jednym z popularnych serwisów internetowych ktoś opublikował pełen oburzenia wpis na temat metod ochrony danych osobowych w firmie NEONET wraz ze szczegółowym opisem sposobu, w jaki można zapoznać się z danymi osób trzecich.

Banalny błąd w witrynie

Wyciek danych umożliwia trywialny i w dzisiejszych czasach niedopuszczalny błąd programistyczny. Problem tkwi w interfejsie serwisu. W jednym z formularzy zmieniając pewne pole, będące pod kontrolą użytkownika, można wyświetlić dane dotyczące dowolnej reklamacji.

W wyświetlanym formularzu znajdują się pełne dane klientów firmy takie jak:

  • imię i nazwisko
  • pełen adres zamieszkania
  • adres poczty elektronicznej
  • numer telefonu kontaktowego

oraz miejsce zakupu, pełna informacja o zakupionym towarze wraz z numerem seryjnym a także treść zgłoszenia reklamacyjnego.

Aktualizacja 18:00
Błąd został już tymczasowo załatany przez zablokowanie dostępu do części serwisu, w której występował. Błąd był opisany w serwisie pokazywarka.pl oraz wrzucony na Wykop. Wystarczyło zmienić parametr id w zapytaniu wyświetlającym formularz reklamacyjny.
Fragment przykładowego zgłoszenia

Fragment przykładowego zgłoszenia

Błąd fatalny, ale to zgłoszenie…

Nie da się ukryć, ze błąd na stronie NEONETu to prawdziwe przedszkole programistyczne (choć NEONET nie jest tutaj sam – podobny problem miał swego czasu EMPIK). Trzeba jednak dodać, że to, jak postąpiła osoba zgłaszająca błąd, jest co najmniej równie bulwersujące. Zamiast powiadomić o błędzie właściciela sklepu lub przynajmniej jeden z serwisów zajmujących się bezpieczeństwem, opublikowała informację wraz z szczegółowymi wskazówkami w ogólnodostępnym serwisie internetowym.

Nie podajemy nazwy serwisu, w którym znajduje się opis błędu, by nie ułatwiać wyszukania tych informacji zanim błąd nie zostanie załatany. Czemu publikujemy nasz artykuł? Informację o błędzie widziała już ponad setka osób oraz robot Google, zatem trudno udawać, że nie wie jeszcze o tym połowa internetu. Pisaliśmy także do NEONETu, lecz najwyraźniej proces obsługi zgłoszeń nie jest doskonały. Może w ten sposób informacja dotrze szybciej do odpowiednich osób.

Aktualizacja 2015-03-24: otrzymaliśmy oświadczenie firmy NEONET, które publikujemy w całości.

Szanowni Państwo,

W nawiązaniu do powyższych informacji odnośnie wycieku danych, pragniemy poinformować, że problem faktycznie miał miejsce.  Po zgłoszeniu problemu strona została  natychmiast zablokowana i dostęp do przeglądania informacji był niemożliwy.  Przyczyną zaistniałej sytuacji był błąd programistyczny, na etapie testowania nowej wersji programu obsługi reklamacji.  Dziś w godzinach porannych została przywrócona funkcjonalność systemu  z wyeliminowanym błędem.  Jest to pierwsza tego typu sytuacja w NEONET, za którą przepraszamy.  Bezpieczeństwo danych naszych Klientów stanowi dla nas priorytet. Osobom, które zwróciły nam uwagę na błąd dziękujemy. Z Klientami, którzy zostali poszkodowani w obecnej sytuacji, będziemy się kontaktować osobiście w sprawie zadośćuczynienia. W przyszłości dołożymy wszelkich starań, aby podobna sytuacja nie miała miejsca.