W prosty sposób można było podejrzeć, ile inni płacą za wodę
System odpowiedzialny za faktury od firmy wodociągowej przeciekał. Dzięki temu można było łatwo zobaczyć rachunki innych. Zdradzały więcej niż tylko wysokość opłat.
27.03.2018 09:36
O sprawie pisze portal Zaufana Trzecia Strona. Jeden z czytelników poinformował serwis o dziurze na stronie wodociągów. W linku do faktury ujrzał ciąg liczb. Postanowił "na ślepo" zmienić jedną z nich i jak się okazało, uzyskał dostęp do rachunku obcej osoby. Teoretycznie więc każdy klient mógłby wpaść na podobny pomysł i zajrzeć w faktury innych użytkowników.
Faktura zdradzała nie tylko imię i nazwisko klientów, ale też "dane o położeniu działek (Obiekt/Posesja), loginy do kont, dane adresowe oraz informacje o nieruchomościach, których dotyczyły odczyty". Dla cyberprzestępców takie dane to skarb, bo mogą je wykorzystać chociażby przy planowaniu oszustwa phishingowego. Im więcej wie się o ofierze, tym łatwiej wyłudzić poufne dane. Prościej jest też podrobić fakturę. Lepiej więc byłoby, gdyby takie informacje nie wyciekały. Na szczęście po zgłoszeniu sprawy firma Wodociąg Marecki błyskawicznie załatała lukę.
Jak pisze ZTS, to niejedyny tego typu problem w ostatnich dniach. Podobny kłopot miała firma Ceneo - również wystarczyło podmienić liczby w linku do faktury (a więc teoretycznie każdy klient mógłby na to wpaść i tak zrobić), by zobaczyć rachunek innych przedsiębiorców.
Niby to nic groźnego, bo nazwy firm, ich adresy i numery NIP znajdziemy bez problemów i tak. "Prowadząc firmę, nie chcielibyście, aby ktoś bez waszej wiedzy i zgody zapoznawał się z informacjami o płatnościach, których dokonaliście" - zwraca jednak uwagę ZTS. Dlatego mamy do czynienia z wpadką Ceneo. I w tym przypadku firma zareagowała błyskawicznie.
Tomasz Jankowski z działu PR Ceneo napisał w oświadczeniu: "Przede wszystkim chcemy przeprosić za zaistniałą sytuację i zapewnić, że dane sklepów korzystających z naszych usług są bezpieczne. Błąd został już naprawiony".