Wyciek bazy danych serwisu dietetycznego wraz z adresami celebrytów

dodał 28 lipca 2014 o 23:06 w kategorii Wpadki  z tagami:
Wyciek bazy danych serwisu dietetycznego wraz z adresami celebrytów

Są w sieci takie strony, gdzie zamiast pseudonimów użytkownicy podają swoje nazwiska i adresy, a klienci pochodzą z lepiej sytuowanych kręgów. Przykładem może być wykradziona baza danych serwisu oferującego usługi dietetyczne Fit and eat.

Na forum ToRepublic znany nam z wcześniejszych występów użytkownik Pocket opublikował kilka godzin temu bazę danych serwisu oferującego dowóz posiłków dobranych pod kątem odpowiednich niskokalorycznych diet. Wśród klientów serwisu jest spora grupa tzw. „celebrytów”.

Zbiór bogaty w celebrytów

Firma Fit and eat informuje, ze wśród jej klientów są takie osoby jak Agata Młynarska, Krzysztof Ibisz, Patrycja Markowska, Borys Szyc, Antek Pawlicki, Aleksandra Hamkało czy Julia Pogrębińska (część tych nazwisk nic nam nie mówi, ale wierzymy na słowo, ze to celebryci). Sam Pocket wskazuje, że oprócz adresów w bazie znaleźć można również informacje chociażby o kodach otwierających furtki apartamentowców. Czyżby szykował się jutro dzień pełen pracy dla serwisantów domofonów?

Wpis Pocketa

Wpis Pocketa

Według naszych informacji w bazie (udostępnionej w formie pliku BAZA.XLSX) można również znaleźć dane takich osób jak Krzysztof Krawczyk, rodziny Walterów, Pawła Małaszyńskiego a także licznych prezesów i członków zarządów dużych spółek działających na polskim rynku. Plik zawiera nie tylko ich dane teleadresowe (choć często wskazujące na adres służbowy i numer telefonu asystentki) ale także informacje pochodzące najwyraźniej z ankiety żywieniowej takie jak prowadzona aktywność fizyczna, wzrost, waga czy też zalecenia dietetyczne, w tym np. alergie pokarmowe. Można się z niego dowiedzieć, kto ma problemy z trawieniem surowych warzyw, kto był niedawno w ciąży czy też kto cierpi na cukrzycę.

Poufne dane klientów

Poufne dane klientów

Plik zawiera także listę zamówień, ceny produktów, wzory faktur czy formularze współpracy z kurierami, informacje o przychodach firmy czy rozliczenia księgowe. Wygląda zatem na to, że firma nie tylko całą swoją działalność prowadzi w oparciu o jeden plik XLS, ale także pozwoliła, by trafił on w niepowołane ręce. Data ostatniej modyfikacji pliku to kwiecień 2014, zatem dane są stosunkowo świeże. We współpracy z jednym z klientów firmy udało nam się potwierdzić prawdziwość ujawnionych danych.

Co ciekawe, zgodnie z tradycją wycieków firmowanych przez Pocketa, baza nie została zdobyta wskutek bezpośredniego włamania do serwisu przez błąd typu SQLi lub podobny. Jest to kolejny zbiór danych, znalezionych przez autora wycieku bez przełamywania jakichkolwiek zabezpieczeń na serwerze innej firmy (prawdopodobnie obsługującej Fit and eat),  podobnie, jak było to w przypadku odkrytych przez niego danych funkcjonariusza ABW. Wyciek ten po raz kolejny wskazuje, jak wiele cennych danych jest w całkowicie niefrasobliwy sposób przechowywanych w sieci.

PS. W serwisie e-GIODO nie widać żadnego zgłoszenia bazy zarejestrowanego pod nazwą firmy, prowadzącej fitandeat.pl.

PS2. Polityka prywatności serwisu mówi

Wszystkie dane osobowe oraz teleadresowe uzyskane w procesie rejestracji zamówienia są gromadzone i przechowywane zgodnie z Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.). Dane te nie będą użyczane, ani udostępniane osobom trzecim i będą używane wyłącznie w celach marketingowych.

W kontekście powyższego wycieku tego fragmentu nie trzeba komentować.