Setki tysięcy faktur były dostępne dla każdego klienta Selgros24.pl

dodał 27 sierpnia 2019 o 21:25 w kategorii Błędy, Info, Wpadki  z tagami:
Setki tysięcy faktur były dostępne dla każdego klienta Selgros24.pl

Czy można w roku 2019 mieć na stronie dużego sklepu trywialny błąd umożliwiający pobieranie cudzych faktur i twierdzić, że stosowane zabezpieczenia nie odbiegają od standardów na innych stronach? Niestety można.

Kilka dni temu Czytelnik, pragnący zachować anonimowość, zgłosił nam bardzo prosty, choć potencjalnie brzemienny w skutkach błąd na stronie serwisu Selgros24.pl. Po kilku dniach udało się nam uzyskać reakcję sklepu – jednak była ona dla nas dość zaskakująca.

Trywialny błąd

Problem, na który trafił Czytelnik, był bardzo, ale to bardzo prosty. URL do pobrania duplikatu faktury wyglądał tak:

https://selgros24.pl/ViewCustomerOrderSaleDocument.html?orderId=XXXXXX

gdzie w miejscu XXXXXX znajdował się liczbowy identyfikator dokumentu. Domyślacie się już pewnie, co trzeba było zrobić, by pobrać cudzy dokument – tak, trzeba było zmienić liczbę na końcu URL-a na dowolną inną. Liczby sięgały wartości powyżej 300 000, a dokumenty pochodziły co najmniej z 5 ostatnich lat. Dostępne w ten sposób dokumenty zawierały zarówno dane klientów (imię, nazwisko, nazwa firmy, NIP, adres), jak i listę wykonanych zakupów. Link działał dla każdego zalogowanego użytkownika sklepu, a aby się zalogować, wystarczyło po prostu założyć konto online.

Przykładowy dokument

Ciekawa reakcja

Czytelnik błąd zgłosił sklepowi oraz nam. Poprosiliśmy w czwartek sklep o komentarz, lecz do poniedziałku nie doczekaliśmy się żadnej odpowiedzi. Poszukaliśmy zatem na LinkedIn szefa IT firmy Transgourmet Polska zarządzającej sklepem i otrzymaliśmy informację, że odpowiedź dotrze dzisiaj. Zgodnie z obietnicą dotarła. Poniżej jej pełna treść:

W nawiązaniu do Pana pytania skierowanego  dnia 22 sierpnia 2019r., pragnę poinformować, iż Spółka otrzymała zgłoszenie dotyczące nieuprawnionego dostępu do systemu strony internetowej selgros24.pl. Zgłoszenie zostało zarejestrowane, dokładnie przeanalizowane i podjęte zostały wszelkie czynności wynikające z powszechnie obowiązujących przepisów prawa w tym zakresie. Nie doszło do jakiejkolwiek innej nieuprawnionej ingerencji w system zabezpieczeń. Pomimo, iż dotychczas stosowane zabezpieczenia nie odbiegały standardom stosowanym na tożsamych stronach internetowych, celem wyeliminowania ewentualnych zagrożeń w przyszłości strona internetowa otrzymała dodatkowe zabezpieczenia, które zostały zastosowane w dniu wpłynięcia zgłoszenia. Przygotowując artykuł prasowy, proszę mieć na uwadze art. 24 Kodeksu Cywilnego.

Według posiadanych przez nas informacji błąd został dość szybko usunięty z serwisu. Niestety z odpowiedzi, którą otrzymaliśmy, nie dowiemy się, czy firma np. powiadomiła UODO o incydencie. Dowiemy się za to czegoś bardzo ciekawego. Zdaniem specjalisty ds. ochrony danych osobowych, który podpisał się pod odpowiedzią, „dotychczas stosowane zabezpieczenia nie odbiegały standardom stosowanym na tożsamych stronach internetowych”. Woooow. Możliwość pobierania cudzych dokumentów z danymi osobowymi i listami zakupów przed zmianę wartości liczbowej w linku o 1 to „standard stosowany na tożsamych stronach internetowych”? Naprawdę? Pierwszy raz trafiamy na taki argument w stanowisku sklepu i myśleliśmy, że nasze zaskoczenie nie może być większe. Myśleliśmy tak jednak tylko do momentu gdy przeczytaliśmy ostatnie zdanie wiadomości…

Przygotowując artykuł prasowy, proszę mieć na uwadze art. 24 Kodeksu Cywilnego.

Wspomniany artykuł mówi o ochronie dóbr osobistych. Znamy go dość dobrze – wielokrotnie firmy lub osoby, których problemy, wpadki lub celowe działania były tematami naszych artykułów próbowały zmusić nas do usunięcia wpisów lub ich modyfikacji, powołując się miedzy innymi na zapisy art. 24 KC. Za każdym razem bezskutecznie. Naszym zadaniem jest opisywanie wydarzeń ze świata bezpieczeństwa w sposób bezstronny, obiektywny i oparty na faktach oraz dowodach. Jeśli zatem firma Transgourmet Polska zdecyduje się przygotować pisma przedprocesowe (lub procesowe), prosimy, by miała szczególnie na uwadze prawo prasowe oraz część ogólną Kodeksu Cywilnego.