Wyciek danych klientów HRD.pl przy okazji migracji systemu

dodał 12 czerwca 2018 o 20:13 w kategorii Prywatność, Wpadki  z tagami:
Wyciek danych klientów HRD.pl przy okazji migracji systemu

Błędy w aplikacjach się zdarzają. Zdarzają się także błędy trywialne. Zdarzają się również błędy prowadzące do ujawnienia danych użytkowników. Najgorzej jednak, gdy obie kategorie się pokrywają. To zdarzyło się HRD.pl.

HRD.pl jest jednym z ważniejszych pośredników rejestracji domen w Polsce. Od wielu lat obsługuje licznych sprzedawców detalicznych. Od kilku miesięcy firma planowała migrację klientów do nowego panelu. Migracja się odbyła w ostatni weekend, choć nie bez problemów. Jednym z efektów ubocznych był błąd umożliwiający wyciągnięcie danych klientów firmy i zarejestrowanych przez nich domen.

Błąd stary jak węgiel kamienny

Na forum rootnode.pl znaleźliśmy informację mówiącą, że firma HRD może mieć problem związany z bezpieczeństwem danych klientów. Napisaliśmy do autora wpisu sugerującego incydent bezpieczeństwa i otrzymaliśmy szczegółowe informacje pozwalające na potwierdzenie fatalnej wpadki.

Nie wiemy, co było przyczyną incydentu (HRD do tej pory nie odpowiedziało na nasze pytania z niedzieli), lecz wiemy, że każdy posiadacz konta w HRD o minimalnych umiejętnościach IT mógł uzyskać nieskrępowany dostęp do danych innych użytkowników. Wystarczyło zajrzeć do linka o treści:

by poznać imię danego użytkownika, jego nazwisko oraz listę zarejestrowanych domen wraz z czasem ich zakupu i wygaśnięcia. Wyglądało to na przykład tak:

Błąd polegający na manipulacji parametru wywołania adresu w celu uzyskania cudzych danych nie jest nawet kategorii „przedszkole programistyczne” – raczej powinno się o nim uczyć w żłobku. Niestety, jak widać, nawet wielomiesięczne testy nie pozwalają na wykrycie tak trywialnej pomyłki.

Wspaniała reakcja na incydent

Gdy tylko dowiedzieliśmy się o błędzie, natychmiast skontaktowaliśmy się z HRD – na wszelki wypadek wysłaliśmy zarówno wiadomość z formularza kontaktowego, jak i e-maila. Ktoś chyba czyta wiadomości, ponieważ błąd zniknął w ciągu ok. 1h. Niestety nie doczekaliśmy się do tej pory (a wiadomość wysłaliśmy w niedzielę wieczorem) żadnej odpowiedzi na kilka zadanych przez nas pytań. Zapewne najpierw firma musi ustalić, jak ten incydent obsłużyć od strony RODO, a to niełatwy kawałek chleba. Poinformowaliśmy, że artykuł powstanie w poniedziałek, poczekaliśmy do wtorku, a komentarza nadal nie ma, zatem czas opublikować. Jeśli HRD uzna za stosowne podesłać swoje stanowisko, znajdziecie je w aktualizacji artykułu.