Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

„Incydent bezpieczeństwa” w InPost – aktualizacja

25 marca 2019, 20:36 | W biegu | 0 komentarzy

Radio Kraków, które informowało niedawno o „incydencie bezpieczeństwa w InPost” przygotowało aktualizację swojego newsa doprecyzowując:

By uzyskać dane użytkowników InPostu wystarczyło się zalogować na swoje konto. Potem można było zobaczyć na przykład adresy innych osób, korzystających z usług firmy.

oraz (co ważne) – jednocześnie zamieszczając przeprosiny – sprostowanie:

Radio Kraków przeprasza firmę InPost za podanie nieprawdziwych informacji o wycieku danych i posiadaniu „udokumentowanych informacji dotyczących ponad 7 400 000 przesyłek. Przy każdym zamówieniu widnieją dane osobowe takie jak numer telefonu, adres email, często złożony z imienia i nazwiska oraz – w wielu przypadkach – dokładny adres odbiorcy i nadawcy” – Radio Kraków nie było i nie jest w posiadaniu takich danych.

Zauważmy też, że Radio nie wycofuje się z informacji, że miało nieautoryzowany dostęp do pewnych danych osobowych:

By uzyskać dane użytkowników InPostu wystarczyło się zalogować na swoje konto. Potem można było zobaczyć na przykład adresy innych osób, korzystających z usług firmy.

Na filmie zrobionym przez reportera Radia Kraków przy każdym zamówieniu widnieją dane osobowe takie jak numer telefonu, adres email często złożony z imienia i nazwiska oraz – w wielu przypadkach – dokładny adres odbiorcy i nadawcy.

Skąd zatem przeprosiny? Zakładamy, że po pracownicy radia relacjonując analizę podatności nieco się zagalopowali i udokumentowali tylko pewien wycinek, do którego mieli dostęp – czy potencjalnie mógł być dostęp do kolejnych danych? Można tylko gdybać.

Sam InPost pisał tak (o czym pisaliśmy i my):

w trakcie aktualizacji aplikacji Manager Paczek (https://manager.paczkomaty.pl) został zidentyfikowany incydent związany z wyświetlaniem się niektórym użytkownikom aplikacji informacji dotyczących przesyłek, które nie były nadane przez aktualnie zalogowanego użytkownika. Incydent dotyczył 0.04% użytkowników ściśle przez nas zidentyfikowanych. Incydenty występowały okresowo i były krótkotrwałe.

Jak jest wniosek? Prawdopodobnie scenariusz był taki: Radio Kraków zlokalizowało podatność, którą można było odczytywać dane innych użytkowników. InPost usunął podatność, jednocześnie potwierdzając że „dotkniętych incydentem” zostało 0.04% użytkowników (nie precyzując czy byli to użytkownicy „przetestowani” przez Radio Kraków czy ew. również przez innych użytkowników).

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz