"Anna Dereszowska powinna zastrzec sobie dowód". Baza danych aktorów kiepsko zabezpieczona
Bardzo szczegółowe dane na temat polskich aktorów można było znaleźć w sieci. Wszystko dzięki luce na stronie agencji aktorskiej GUDEJKO. Wystarczyło użyć… wyszukiwarki Google.
"Nasz Czytelnik – mike – użył operatora intitle:Index.of aby przeszukać stronę agencji GUDEJKO, która przechowuje dane tysięcy aktorów, kandydatów na aktorów, modelek itd. Jak zapewne się domyślacie, nasz Czytelnik trafił na katalogi z plikami. Pierwszym znaleziskiem był plik smsdata.txt, który zawierał wiadomości tekstowe z zaproszeniami na castingi. Można było poznać numery telefonów aktorów lub przyszłych aktorów" - pisze serwis Niebezpiecznik.
Czytelnik znalazł też plik z imionami, adresami i numerami PESEL. W castingu brali udział nieletni, więc baza powiększyła się również o dane rodziców takich aktorów, którzy musieli wypełnić pełnomocnictwo i ujawnić m.in. swój PESEL.
Danych, do których dostęp uzyskał "mike", było jednak znacznie więcej. Znalazł np. katalogi ze zdjęciami czy filmami, na których modelki i modele przedstawiali się i podawali swoje wymiary. Teoretycznie nic groźnego - wszak aktorom zależy na tym, by ich zauważono - ale to odkrycie pozwoliło dokonać kolejnego. "Mike" zauważył, że strona pozwala wgrać swoje własne pliki, a potem okazało się, że może uzyskać dostęp do panelu administratora w bazie agencji Gudejko.
"Ta baza w momencie testu obejmowała 9,3 tys. aktorów i modeli oraz ponad 540 kandydatów na nich" - pisze Niebezpiecznik.
Wśród nich nie brakuje znanych nazwisk. I tak "mike" znalazł nie tylko numer telefonu czy adres mailowy Anny Dereszowskiej, ale nawet jej numer dowodu osobistego. "Naszym zdaniem Pani Anna Powinna zastrzec dowód i wyrobić nowy. To samo powinny zrobić również inne osoby, które zostawiły swoje dane w tej agencji" - dodaje Niebezpiecznik.
Agencja została powiadomiona i błąd wyeliminowano. Czytelnik "mike" nie miał złych zamiarów i o błędzie poinformował serwis Niebezpiecznik. Ale czy on pierwszy odkrył lukę i prosty sposób na pozyskanie danych polskich aktorów? Tego nie wiemy.
TVP z podobnym problemem
Jak informuje Niebezpiecznik, podobną wpadkę zaliczyło TVP. Na serwerze stacji można było znaleźć publicznie dostępny katalog, w którym znajdowały się pliki m.in. dotyczące uczestników castingu do programu "Rok w ogrodzie". W ten sposób dało się pozyskać ich dane kontaktowe. TVP zostało powiadomione o błędzie i go szybko wyeliminowało.
