Masz numer w Plusie lub Plushu? Twoje dane mógł odczytać każdy
Klienci Plusa i bratniego Plusha mogą mieć do operatora żal o to, w jaki sposób nie ograniczył dostępu do danych na serwerze. Okazuje się, że do wielu z nich można się było swobodnie dostać - przez brak zabezpieczeń świetnie udokumentowanego API.
18.10.2021 07:09
O problemie informuje Niebezpiecznik i zwraca uwagę, że "atakujący" mógł zdobyć w ten sposób imiona, nazwiska, PESEL-e, numery dokumentów, adresy zamieszkania i inne dane abonentów. Trudno jednak mówić o ataku, skoro API Plusa i Plusha były dostępne bez żadnych zabezpieczeń pod adresami api.plus.pl/api oraz api.plushbezlimitu.pl/api.
API to interfejs programistyczny, dzięki któremu można w wygodny sposób wczytywać dane z serwerów na przykład do tworzonych aplikacji. Programista musi posługiwać się do tego odpowiednimi funkcjami i metodami, co znakomicie ułatwi dokładna dokumentacja udostępniona przez Plusa. W normalnych warunkach do nawiązania komunikacji potrzeba też dodatkowych zabezpieczeń, ale tutaj ich zabrakło.
W ten sposób pobieranie danych od klientów można było zautomatyzować. Na ich korzyść przemawiał fakt, że komunikacja z serwerem była raczej ospała, ponadto nie w każdym przypadku dane były kompletne, co potencjalnemu atakującemu mogło utrudnić życie podczas ich dalszej (automatycznej analizy). Niebezpiecznik zgłosił problem Plusowi i po kilku dniach finalnie otrzymał odpowiedzi na zadane pytania.
W jednym z naszych systemów teleinformatycznych wykryty został błąd związany z funkcjonowaniem API (...) W jego wyniku istniała potencjalna możliwość uzyskania nieuprawnionego dostępu do danych zarządzanych przez spółkę. Luka umożliwiała wywołanie pojedynczych rekordów zawierających m.in. dane osobowe poprzez wykonanie odpowiedniego zapytania w API - brzmi fragment oświadczenia Plusa wysłany Niebezpiecznikowi.
Jak zadeklarował rzecznik, Tomasz Matwiejczuk, błąd zgłoszony firmie został szybko wyeliminowany, a zgodnie z przepisami cały problem zgłoszony do UODO oraz bezpośrednio do klientów, do których danych uzyskano nieuprawniony dostęp. Jak dodano, zwiększoną liczbę zapytań przez API do bazy odnotowano od 5 października, ale tylko "o kilkadziesiąt sztuk".
Niebezpiecznik zwraca jeszcze uwagę, że API Plusa i Plusha działa przynajmniej od połowy czerwca bieżącego roku. Choć nie ma pewności, że od początku oferuje te same funkcje, istnieje obawa, że przez ostatnie miesiące dostęp do danych klientów również był "ułatwiony" dla nieautoryzowanych osób. Z drugiej strony rzecznik deklaruje, że problem pojawił się dopiero po ostatniej aktualizacji API.