Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
„Incydent bezpieczeństwa” w InPost – aktualizacja
Radio Kraków, które informowało niedawno o „incydencie bezpieczeństwa w InPost” przygotowało aktualizację swojego newsa doprecyzowując:
By uzyskać dane użytkowników InPostu wystarczyło się zalogować na swoje konto. Potem można było zobaczyć na przykład adresy innych osób, korzystających z usług firmy.
oraz (co ważne) – jednocześnie zamieszczając przeprosiny – sprostowanie:
Radio Kraków przeprasza firmę InPost za podanie nieprawdziwych informacji o wycieku danych i posiadaniu „udokumentowanych informacji dotyczących ponad 7 400 000 przesyłek. Przy każdym zamówieniu widnieją dane osobowe takie jak numer telefonu, adres email, często złożony z imienia i nazwiska oraz – w wielu przypadkach – dokładny adres odbiorcy i nadawcy” – Radio Kraków nie było i nie jest w posiadaniu takich danych.
Zauważmy też, że Radio nie wycofuje się z informacji, że miało nieautoryzowany dostęp do pewnych danych osobowych:
By uzyskać dane użytkowników InPostu wystarczyło się zalogować na swoje konto. Potem można było zobaczyć na przykład adresy innych osób, korzystających z usług firmy.Na filmie zrobionym przez reportera Radia Kraków przy każdym zamówieniu widnieją dane osobowe takie jak numer telefonu, adres email często złożony z imienia i nazwiska oraz – w wielu przypadkach – dokładny adres odbiorcy i nadawcy.
Skąd zatem przeprosiny? Zakładamy, że po pracownicy radia relacjonując analizę podatności nieco się zagalopowali i udokumentowali tylko pewien wycinek, do którego mieli dostęp – czy potencjalnie mógł być dostęp do kolejnych danych? Można tylko gdybać.
Sam InPost pisał tak (o czym pisaliśmy i my):
w trakcie aktualizacji aplikacji Manager Paczek (https://manager.paczkomaty.pl) został zidentyfikowany incydent związany z wyświetlaniem się niektórym użytkownikom aplikacji informacji dotyczących przesyłek, które nie były nadane przez aktualnie zalogowanego użytkownika. Incydent dotyczył 0.04% użytkowników ściśle przez nas zidentyfikowanych. Incydenty występowały okresowo i były krótkotrwałe.
Jak jest wniosek? Prawdopodobnie scenariusz był taki: Radio Kraków zlokalizowało podatność, którą można było odczytywać dane innych użytkowników. InPost usunął podatność, jednocześnie potwierdzając że „dotkniętych incydentem” zostało 0.04% użytkowników (nie precyzując czy byli to użytkownicy „przetestowani” przez Radio Kraków czy ew. również przez innych użytkowników).
–ms