28.07.2014 | 23:06

Adam Haertle

25 komentarzy

Wyciek bazy danych serwisu dietetycznego wraz z adresami celebrytów

Są w sieci takie strony, gdzie zamiast pseudonimów użytkownicy podają swoje nazwiska i adresy, a klienci pochodzą z lepiej sytuowanych kręgów. Przykładem może być wykradziona baza danych serwisu oferującego usługi dietetyczne Fit and eat.

Na forum ToRepublic znany nam z wcześniejszych występów użytkownik Pocket opublikował kilka godzin temu bazę danych serwisu oferującego dowóz posiłków dobranych pod kątem odpowiednich niskokalorycznych diet. Wśród klientów serwisu jest spora grupa tzw. „celebrytów”.

Zbiór bogaty w celebrytów

Firma Fit and eat informuje, ze wśród jej klientów są takie osoby jak Agata Młynarska, Krzysztof Ibisz, Patrycja Markowska, Borys Szyc, Antek Pawlicki, Aleksandra Hamkało czy Julia Pogrębińska (część tych nazwisk nic nam nie mówi, ale wierzymy na słowo, ze to celebryci). Sam Pocket wskazuje, że oprócz adresów w bazie znaleźć można również informacje chociażby o kodach otwierających furtki apartamentowców. Czyżby szykował się jutro dzień pełen pracy dla serwisantów domofonów?

Wpis Pocketa

Wpis Pocketa

Według naszych informacji w bazie (udostępnionej w formie pliku BAZA.XLSX) można również znaleźć dane takich osób jak Krzysztof Krawczyk, rodziny Walterów, Pawła Małaszyńskiego a także licznych prezesów i członków zarządów dużych spółek działających na polskim rynku. Plik zawiera nie tylko ich dane teleadresowe (choć często wskazujące na adres służbowy i numer telefonu asystentki) ale także informacje pochodzące najwyraźniej z ankiety żywieniowej takie jak prowadzona aktywność fizyczna, wzrost, waga czy też zalecenia dietetyczne, w tym np. alergie pokarmowe. Można się z niego dowiedzieć, kto ma problemy z trawieniem surowych warzyw, kto był niedawno w ciąży czy też kto cierpi na cukrzycę.

Poufne dane klientów

Poufne dane klientów

Plik zawiera także listę zamówień, ceny produktów, wzory faktur czy formularze współpracy z kurierami, informacje o przychodach firmy czy rozliczenia księgowe. Wygląda zatem na to, że firma nie tylko całą swoją działalność prowadzi w oparciu o jeden plik XLS, ale także pozwoliła, by trafił on w niepowołane ręce. Data ostatniej modyfikacji pliku to kwiecień 2014, zatem dane są stosunkowo świeże. We współpracy z jednym z klientów firmy udało nam się potwierdzić prawdziwość ujawnionych danych.

Co ciekawe, zgodnie z tradycją wycieków firmowanych przez Pocketa, baza nie została zdobyta wskutek bezpośredniego włamania do serwisu przez błąd typu SQLi lub podobny. Jest to kolejny zbiór danych, znalezionych przez autora wycieku bez przełamywania jakichkolwiek zabezpieczeń na serwerze innej firmy (prawdopodobnie obsługującej Fit and eat),  podobnie, jak było to w przypadku odkrytych przez niego danych funkcjonariusza ABW. Wyciek ten po raz kolejny wskazuje, jak wiele cennych danych jest w całkowicie niefrasobliwy sposób przechowywanych w sieci.

PS. W serwisie e-GIODO nie widać żadnego zgłoszenia bazy zarejestrowanego pod nazwą firmy, prowadzącej fitandeat.pl.

PS2. Polityka prywatności serwisu mówi

Wszystkie dane osobowe oraz teleadresowe uzyskane w procesie rejestracji zamówienia są gromadzone i przechowywane zgodnie z Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.). Dane te nie będą użyczane, ani udostępniane osobom trzecim i będą używane wyłącznie w celach marketingowych.

W kontekście powyższego wycieku tego fragmentu nie trzeba komentować.

Powrót

Komentarze

  • 2014.07.29 00:46 Marcin

    Co to za forum na screenie? ;)

    Odpowiedz
  • 2014.07.29 02:12 babinkton

    Piękny sport, uprawiam regularnie.

    Odpowiedz
  • 2014.07.29 07:29 Q

    W bazie są też informacje o innych preferencjach np. Bartosz ze zrzutu w artykule lubi babinktona, cokolwiek by to nie było ;-)
    Jak „babi” to pewnie coś dla kobiet albo dzieci…

    Odpowiedz
  • 2014.07.29 08:54 JackN

    Magdalena o wadze 95kg. Ouh.

    Odpowiedz
    • 2014.07.29 13:41 mnmnc

      Przecież wiadomo, że chodzi o Magde Gessler ;)

      Odpowiedz
      • 2014.07.29 14:19 Magdalena P.

        TAK , SZCZEGÓLNIE PO WIEKU

        Odpowiedz
  • 2014.07.29 09:58 maslan

    babinkton XD

    Odpowiedz
  • 2014.07.29 10:01 garnek

    Posty piszesz a do kolegów nie oddzwaniasz. No pięknie.

    Odpowiedz
    • 2014.07.30 22:13 Frędzel

      I dobrze, posty ważniejsze :-)

      Odpowiedz
  • 2014.07.29 10:54 handsome romain

    Z tego co sie orientuje giodo ma spore opoznienia w rejesrracji zbiorow

    Odpowiedz
  • 2014.07.29 13:16 raz

    No. Celbryci pelna gębą.

    Odpowiedz
  • 2014.07.29 15:53 Jan Paweł

    dumni jesteście z siebie?
    teraz forum karachan.org atakuje polskich celebrytów, wydzwania i robi sobie żarty w ich żargonie zwane inbą. ciekawe kto zapłaci za nowe karty sim gwiazd.

    Odpowiedz
  • 2014.07.29 20:50 Lord

    Link nie działa…

    Odpowiedz
  • 2014.07.29 23:08 Łukasz

    Panowie a zaprosiłby ktoś na torepublic ? Będe wdzięczny :)

    Odpowiedz
  • 2014.07.29 23:38 joanna

    Ponownie proszę o zdjęcie tego artykułu ze strony. Pisałam już do Państwa ale nie otrzymałam żadnej odpowiedzi.!!! Biorą Państwo udział w przestępstwie.

    Odpowiedz
    • 2014.07.30 00:43 Lord

      Głupotę trzeba piętnować i nagłaśniać, a przestępstwem jest to, żeście Państwo nie zglosili do GIODO zbioru danych osobowych, że tych danych w ogóle nie chronicie, że te dane udostępniacie podmiotom trzecim bez wiedzy/zgody osób, których one dotyczą.
      Więc zamiast straszyć prawem, o którego przestrzeganiu nie macie pojęcia, lepiej niech pogra pani sobie w „babinktona”.

      Odpowiedz
    • 2014.07.30 02:15 wykopek

      A co to, koncert życzeń? Możesz se chcieć.

      P.S.
      Wiem co jesz na śniadanie. Grubasie.

      Odpowiedz
    • 2014.07.30 08:26 Marcin

      @joanna: Zdjęcie będzie mało przydatne, lepiej zrobic screenshot – Alt + PrtScn.

      Odpowiedz
    • 2014.07.30 13:30 hahaah

      ale ty glupia jestess hahaha

      Odpowiedz
    • 2014.07.30 22:17 Frędzel

      W jaki sposób biorą udział w przestępstwie? Przeciez dane są zaciemnione. Przestępstwem było niezgłoszenie zbioru i jak widac totalny brak ochrony. Kpiny ze zdrowego rozsądku. Z tego co czytam, dane były w pliku BAZA.xlsx, żarty z bezpieczeństwa, żarty z GIODO., żarty z klientów. Ktoś tu nie dorósł do prowadzenia biznesu i oszczędza na bezpieczeństwie.

      Odpowiedz
  • 2014.07.30 16:44 X

    http://www.tvn24.pl/bedzie-interwencja-giodo-ws-wycieku-danych-celebrytow-wlascicielka-firmy-to-byl-cios-ponizej-pasa,454482,s.html

    Autor: ŁOs, MAC/kka/kdj / Źródło: tvn24.pl, „zaufanatrzeciastrona.pl”

    Tacy sławni ^ ^

    Odpowiedz
  • 2014.07.30 18:43 xD

    mówi w rozmowie z tvn24.pl redaktor serwisu „Zaufana Trzecia Strefa”

    xD

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wyciek bazy danych serwisu dietetycznego wraz z adresami celebrytów

Komentarze