Wyciek danych z wypożyczalni samochodów 99rent.pl – wśród nich numery dowodów i PESEL
Klienci wypożyczalni samochodów 99rent.pl mogli dotrzeć do cudzych danych, w tym numerów PESEL, adresów i numerów dokumentów – informuje serwis Niebezpiecznik. W wyniku niedopatrzenia na etapie zabezpieczenia strony internetowej, dane można było bez problemu znaleźć w wyszukiwarce.
04.08.2020 20:49
Jak się okazuje, problem odkrył przez przypadek jeden z klientów firmy. W wyszukiwarce wypożyczalni wpisał jeden z kodów ACRISS określający typ samochodu, a jego oczom ukazał się szereg wyników, w praktyce będący historią wypożyczeń konkretnych pojazdów. Kliknięcie na dowolnym elemencie pozwalało dotrzeć do szczegółów, w tym daty wynajmu i kosztów, ale przede wszystkim imienia i nazwiska klienta, jego adresu, numeru PESEL, dowodu osobistego i prawa jazdy oraz numeru kontaktowego.
Co więcej, do konkretnych rezerwacji można było dotrzeć także w inny sposób: wszystkie były dostępne pod adresami zgodnymi ze schematem: 99rent[.]pl/XXXXXXXXX, gdzie ostatni ciąg liter X to identyfikator. Ten natomiast składał się z roku, miesiąca i numeru rezerwacji – metodą prób i błędów można więc było docierać do kolejnych danych. Niebezpiecznik dodaje, że wyniki były jednak dostępne wyłącznie dla zalogowanych użytkowników wypożyczalni samochodów.
Sprawa została zgłoszona wypożyczalni i ostatecznie informatycy zajęli się sprawą, blokując dalszy dostęp do danych. W tej chwili nie jest jasne, jak długo taki problem miał miejsce i czy zdobyte w ten sposób dane ktoś mógł już wcześniej wykorzystać. Firma 99rent.pl wysłała do swoich użytkowników informację związaną z wyciekiem, której treść opublikował Niebezpiecznik i brzmi następująco:
Drogi Użytkowniku, informujemy, iż jesteśmy świadomi opublikowania przez jeden z portali internetowych, informacji dotyczących potencjalnego incydentu związanego z przetwarzaniem danych osobowych Klientów indywidualnych. Obecnie trwają analizy mające na celu ustalenie danych osób, zarejestrowanych w naszym serwisie www, których sprawa dotyczy. Potencjalny incydent dotyczyć może jedynie ograniczonej grupy Klientów, a więc części aktywnych Klientów indywidualnych zarejestrowanych w systemie rezerwacyjnym dostępnym przez stronę www. Jednocześnie informujemy, iż opisana przez portal internetowy możliwość dostępu została zablokowana niezwłocznie po uzyskaniu informacji o jej zaistnieniu. Zgodnie z obowiązującymi w tym zakresie regulacjami, bez zbędnej zwłoki, poinformowaliśmy o sprawie Prezesa Urzędu Ochrony Danych Osobowych przesyłając odpowiednie zgłoszenie. Sprawę traktujemy z należytą powagą i niezwłocznie po zakończeniu przedmiotowych analiz poinformujemy w odrębnej korespondencji osoby, których sprawa dotyczy, przesyłając stosowne informacje – zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.