Każdy mógł pobrać dane klientów Plusa

118

Na domenie Plusa na specjalnej podstronie każdy mógł ustalić, do kogo należy dany numer telefonu i uzyskać szczegółowe dane abonenta. Umożliwiało to pobieranie danych klientów i zarządzanie innymi systemami wewnętrznymi Plusa i Plusha. Odbywało się niezabezpieczonym żadnym tokenem API. Całą sytuację opisał niebezpiecznik.pl.

API to interfejs programowania aplikacji, służący programistom do wygodniejszego sterowania systemami informatycznymi. Przeważnie w celu kontaktu z API potrzebny jest nie tylko adres, ale również nazwy metod i przyjmowanych przez nie parametrów. Plus swoje API udostępniał bez zabezpieczeń na stronach: api.plus.pl/api, api.plushbezlimitu.pl/api.

Analizując dokumentację można było stworzyć zapytanie, które zwracało dane klienta dla danego numeru telefonu. Te dane to imię i nazwisko, adres zamieszkania, numer dokumentu, numer identyfikacyjny (PESEL) / nr dokumentu czy e-mail.

Masowe pobieranie danych mogło utrudnić jedynie to, że API nie dla każdego numeru zwracała pełne dane i nie zawsze dane zwracało szybko.

Niebezpiecznik.pl skierował do Plusa pytania dotyczące otwartego API. W odpowiedzi pojawiła się informacja, że odpowiedzialny za bezpieczeństwo dział Plusa zajmuje się sprawą. Informacje o usunięciu błędu przesłano jednak dopiero po kilku dniach.

Do odsłonięcia niezabezpieczonego API doprowadziła aktualizacja. Serwis Archive.org podaje, że publicznie dostępne API mogło być od 15 czerwca 2021 r. Sam Plus nie wie, kiedy to nastąpiło. Większy ruch do API nastąpił 5 października. Wtedy ktoś mógł z luki skorzystać.

Teraz Plus analizuje logi związane z działaniem API. Z klientami, których dane mogły zostać pobrane za pomocą API, będzie się kontaktował w tej sprawie.

Źródło: niebezpiecznik.pl