23.03.2015 | 16:41

Adam Haertle

Poważny błąd w sklepie NEONET – możliwy wyciek danych klientów

Przed kilkoma godzinami niezbyt odpowiedzialny internauta opublikował w sieci metodę na uzyskanie szczegółowych danych klientów firmy NEONET, którzy składali w niej reklamacje. Błąd niestety nadal występuje w systemie.

W jednym z popularnych serwisów internetowych ktoś opublikował pełen oburzenia wpis na temat metod ochrony danych osobowych w firmie NEONET wraz ze szczegółowym opisem sposobu, w jaki można zapoznać się z danymi osób trzecich.

Banalny błąd w witrynie

Wyciek danych umożliwia trywialny i w dzisiejszych czasach niedopuszczalny błąd programistyczny. Problem tkwi w interfejsie serwisu. W jednym z formularzy zmieniając pewne pole, będące pod kontrolą użytkownika, można wyświetlić dane dotyczące dowolnej reklamacji.

W wyświetlanym formularzu znajdują się pełne dane klientów firmy takie jak:

  • imię i nazwisko
  • pełen adres zamieszkania
  • adres poczty elektronicznej
  • numer telefonu kontaktowego

oraz miejsce zakupu, pełna informacja o zakupionym towarze wraz z numerem seryjnym a także treść zgłoszenia reklamacyjnego.

Aktualizacja 18:00
Błąd został już tymczasowo załatany przez zablokowanie dostępu do części serwisu, w której występował. Błąd był opisany w serwisie pokazywarka.pl oraz wrzucony na Wykop. Wystarczyło zmienić parametr id w zapytaniu wyświetlającym formularz reklamacyjny.
Fragment przykładowego zgłoszenia

Fragment przykładowego zgłoszenia

Błąd fatalny, ale to zgłoszenie…

Nie da się ukryć, ze błąd na stronie NEONETu to prawdziwe przedszkole programistyczne (choć NEONET nie jest tutaj sam – podobny problem miał swego czasu EMPIK). Trzeba jednak dodać, że to, jak postąpiła osoba zgłaszająca błąd, jest co najmniej równie bulwersujące. Zamiast powiadomić o błędzie właściciela sklepu lub przynajmniej jeden z serwisów zajmujących się bezpieczeństwem, opublikowała informację wraz z szczegółowymi wskazówkami w ogólnodostępnym serwisie internetowym.

Nie podajemy nazwy serwisu, w którym znajduje się opis błędu, by nie ułatwiać wyszukania tych informacji zanim błąd nie zostanie załatany. Czemu publikujemy nasz artykuł? Informację o błędzie widziała już ponad setka osób oraz robot Google, zatem trudno udawać, że nie wie jeszcze o tym połowa internetu. Pisaliśmy także do NEONETu, lecz najwyraźniej proces obsługi zgłoszeń nie jest doskonały. Może w ten sposób informacja dotrze szybciej do odpowiednich osób.

Aktualizacja 2015-03-24: otrzymaliśmy oświadczenie firmy NEONET, które publikujemy w całości.

Szanowni Państwo,

W nawiązaniu do powyższych informacji odnośnie wycieku danych, pragniemy poinformować, że problem faktycznie miał miejsce.  Po zgłoszeniu problemu strona została  natychmiast zablokowana i dostęp do przeglądania informacji był niemożliwy.  Przyczyną zaistniałej sytuacji był błąd programistyczny, na etapie testowania nowej wersji programu obsługi reklamacji.  Dziś w godzinach porannych została przywrócona funkcjonalność systemu  z wyeliminowanym błędem.  Jest to pierwsza tego typu sytuacja w NEONET, za którą przepraszamy.  Bezpieczeństwo danych naszych Klientów stanowi dla nas priorytet. Osobom, które zwróciły nam uwagę na błąd dziękujemy. Z Klientami, którzy zostali poszkodowani w obecnej sytuacji, będziemy się kontaktować osobiście w sprawie zadośćuczynienia. W przyszłości dołożymy wszelkich starań, aby podobna sytuacja nie miała miejsca.

Powrót

Komentarze

  • 2015.03.23 16:56 hmk

    Teraz się okaże, czy pracownicy IT NEONET czytają portale dot. bezpieczeństwa informacji :)

    Odpowiedz
  • 2015.03.23 17:40 Jaa

    Załatane :)

    Odpowiedz
  • 2015.03.23 18:03 dzek

    chyba wszystkie systemy neonetu mają dziury. ja kiedyś znalazłem możliwość podmiany (bez odczytu) danych wszystkich klientów. nie zgłaszałem tego. potem na wykopie ktoś pisał, że to również znalazł, zgłosił i dostał 1000zł w ramach czegoś w rodzaju bug bounty (oficjalnie neonet tego nie prowadzi).

    a na innym dużym sklepie można sobie dorzucać pewien towar (nie wszystkie) z własną ceną, w tym ujemną ;)

    praktycznie każda strona ma mniejsze lub większe dziury. o dziwo – pomimo tego, że takie strony działają jedynie na zasadzie zaufania i ew. lenistwa innych – to działają cały czas..

    Odpowiedz
    • 2015.03.23 20:28 w0isq

      komputronik :>

      Odpowiedz
  • 2015.03.23 18:16 Grzegorz

    Dobrze chłopak zrobił – może zaczną doceniać tych, którzy zgłaszają takie rzeczy i będą im coś dawać w zamian, a nie jak do tej pory – robili wolontariat i guzik z tego mieli.. a kasę dostawali tylko Ci, którzy mieli do takich „błędów” nie dopuszczać …

    Odpowiedz
    • 2015.03.23 18:50 SDSDS

      Akurat Neonet wyslal mi znizke 1k~ na dowolny produkt za zgloszenie buga.

      Odpowiedz
  • 2015.03.23 20:15 Misi

    Tak samo można zrobić na stronie VMWare, zmienisz numer id i możesz wygenerować na ich stronie dowolny certyfikat z Twoimi danymi :)

    Odpowiedz
  • 2015.03.24 08:29 Zibi

    Sami sobie chyba odpowiedzieliście, na pytanie, dlaczego ktoś opublikował ten błąd. Był zapewne wkurzony na obsługę i pewne opieszałość po zgłoszeniu reklamacji. Nikt nie lubi jak się nas traktuje jak kolejne zło konieczne. Napisaliście sami do nich, a ich odpowiedz świadczy o fatalnym marketingu relacji a nawet jego braku. Firma zapewne idzie w ilość a nie jakość, w takich firmach kontakt między klientem, który nie kupuje jest na ostatnim miejscu.

    Odpowiedz
  • 2015.03.24 09:18 Miggi

    Jeszcze bardziej banalny błąd (lub raczej lenistwo programistyczne) dotyczy ksiąg wieczystych.

    Odpowiedz
  • 2015.03.25 02:39 takosamo

    Do autora tekstu:A pomyślałeś o tym że osoba która to wykryła wolała nie narażać się organom ścigania?Sam byłem świadkiem pewnych okoliczności gdy zostały złamane pewne „zabezpieczenia” a następnie uczciwie zgłoszone przez „łamiącego” o wykrytych lukach,pech chciał że tego nie docenili albo raczej się wystraszyli i 8 świeczek zgasło na raz,a chciał być uczciwy.W chorym Państwie żyjemy z chorymi układami.

    Odpowiedz
  • 2015.03.25 02:42 takosamo

    Jeśli chcecie to od ręki są dostępne skany pewnych papierzysk,także tego typu informacje są obojętne a jednocześnie przydatne.

    Odpowiedz
  • 2015.03.29 11:37 haxite.org

    @dzek , sam pisałem ostatnio sklep problem polega na tym że najlepiej jest każdą akcję przeładowywać za pomocą AJAXA, wtedy odpytujemy bazę danych o aktualną cenę i system to sprawdza automatycznie.

    Odpowiedz
    • 2015.03.29 11:39 haxite.org

      chodzi o to że jeśli używamy AJAXA to nie da się nic nadpisać bo system i tak odpyta bazę danych o cenę.

      Odpowiedz

Zostaw odpowiedź do dzek

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Poważny błąd w sklepie NEONET – możliwy wyciek danych klientów

Komentarze