Prawa jazdy, dowody rejestracyjne, polisy były dostępne w sieci

dodał 30 lipca 2018 o 06:46 w kategorii Prywatność, Wpadki  z tagami:
Prawa jazdy, dowody rejestracyjne, polisy były dostępne w sieci

Zebranie dokumentów od klientów nie jest specjalnie trudne. Nieco trudniejsze jest jednak zapewnienie bezpieczeństwa zebranych danych, o czym przekonała się firma eRzeczoznawcy, a pośrednio także jej klienci.

Nowe technologie są wygodne. Można w kilka minut postawić swoją infrastrukturę w chmurze, przechowywać tam dziesiątki tysięcy dokumentów, nie martwić się o nic. Gorzej, że może się okazać, że te kilkadziesiąt tysięcy dokumentów, zawierających dane osobowe klientów, może pobrać każdy internauta…

Wyszukiwarka kubełków

Jednym z najpopularniejszych sposobów składowania plików w sieci jest używanie „kubełków” Amazona (Simple Storage Services – Amazon buckets), czyli usługi składowania danych przez webserwisy. Usługa jest prosta, tania i przez to także popularna. Zdarza się jednak (i to dość często), że ktoś nieprawidłowo ustawi uprawnienia do swojego kubełka. Aby zwiększyć świadomość administratorów ktoś stworzył publiczną wyszukiwarkę otwartych kubełków. Zajrzeliśmy do niej niecały miesiąc temu i już przy trzecim sprawdzanym słowie kluczowym trafiliśmy na bardzo niepokojący wynik.

Naszym oczom ukazała się lista ponad 46 000 plików, zamieszczonych w sieci przez firmę eRzeczoznawcy. Na pierwszy rzut oka pliki wyglądały na dokumentację związaną ze szkodami motoryzacyjnymi. Foldery pełne były wycen, polis, raportów z wypadków, a także skanów kilku rodzajów dokumentów. Poniżej krótka ilustracja zanonimizowanej zawartości. Wśród kilkudziesięciu tysięcy plików można było znaleźć liczne skany dowodów osobistych:

praw jazdy:

czy dowodów rejestracyjnych:

z całej Polski. Dokumenty pochodziły z ostatnich kilkunastu miesięcy.

Interwencja udana, ale nie do końca

Oczywiście problem natychmiast zgłosiliśmy na podstawowy adres firmy, do której należał serwer. Pierwszego dnia nie dostaliśmy odpowiedzi, zatem eskalowaliśmy na kolejne znalezione adresy i drugiego dnia otrzymaliśmy wiadomość od Wspólnika Zarządzającego, pana Mariusza Królewicza, który poinformował, że faktycznie problem istnieje i firma podjęła już kroki, by go usunąć. Istotnie, krótko potem dostęp do plików został zablokowany.

Poprosiliśmy zatem o informację, czy firma zawiadomi o incydencie UODO oraz swoich klientów. W odpowiedzi przeczytaliśmy:

Jesteśmy micro firmą wyłącznie z polskim kapitałem na dzień dzisiejszy zrobiliśmy wszystko, żeby nigdy nie doszło do podobnego przypadku. Obecnie w miarę możliwości po zabezpieczeniu wszystkich danych,  pilnie pracujemy nad ustaleniem skali problemu i listy poszkodowanych. A zaraz po tym zgodnie z prawem zawiadomimy odpowiednie  organa.

Kilka dni temu, szykując artykuł, poprosiliśmy o aktualizację statusu i w kwestii formalności usłyszeliśmy:

Podjęliśmy wszystkie czynności przewidziane prawem.

Zapytaliśmy ponownie, tym razem wprost, czy firma poinformowała o incydencie swoich klientów, których dane mogły zostać ujawnione, ale na to pytanie nie otrzymaliśmy już odpowiedzi.

Jeśli zatem byliście klientami eRzeczoznawcy.pl, dajcie znać, czy firma się z Wami skontaktowała – może w ten sposób ustalimy stan faktyczny. A gdybyście kiedyś natrafili na jakiś polski kubełek z danymi, które nie powinny być dostępne publicznie, to wiecie, gdzie to zgłosić, by problem został sprawnie rozwiązany.