TECHNOLOGIA · CYBERBEZPIECZEŃSTWO · BIZNES

Każdy mógł pobrać dane klientów Plusa

Na domenie Plusa na specjalnej podstronie każdy mógł ustalić, do kogo należy dany numer telefonu i uzyskać szczegółowe dane abonenta. Umożliwiało to pobieranie danych klientów i zarządzanie innymi systemami wewnętrznymi Plusa i Plusha. Odbywało się niezabezpieczonym żadnym tokenem API. Całą sytuację opisał niebezpiecznik.pl.

API to interfejs programowania aplikacji, służący programistom do wygodniejszego sterowania systemami informatycznymi. Przeważnie w celu kontaktu z API potrzebny jest nie tylko adres, ale również nazwy metod i przyjmowanych przez nie parametrów. Plus swoje API udostępniał bez zabezpieczeń na stronach: api.plus.pl/api, api.plushbezlimitu.pl/api.

Analizując dokumentację można było stworzyć zapytanie, które zwracało dane klienta dla danego numeru telefonu. Te dane to imię i nazwisko, adres zamieszkania, numer dokumentu, numer identyfikacyjny (PESEL) / nr dokumentu czy e-mail.

Masowe pobieranie danych mogło utrudnić jedynie to, że API nie dla każdego numeru zwracała pełne dane i nie zawsze dane zwracało szybko.

Niebezpiecznik.pl skierował do Plusa pytania dotyczące otwartego API. W odpowiedzi pojawiła się informacja, że odpowiedzialny za bezpieczeństwo dział Plusa zajmuje się sprawą. Informacje o usunięciu błędu przesłano jednak dopiero po kilku dniach.

Do odsłonięcia niezabezpieczonego API doprowadziła aktualizacja. Serwis Archive.org podaje, że publicznie dostępne API mogło być od 15 czerwca 2021 r. Sam Plus nie wie, kiedy to nastąpiło. Większy ruch do API nastąpił 5 października. Wtedy ktoś mógł z luki skorzystać.

Teraz Plus analizuje logi związane z działaniem API. Z klientami, których dane mogły zostać pobrane za pomocą API, będzie się kontaktował w tej sprawie.

Źródło: niebezpiecznik.pl

Klaudia Wojciechowska
Klaudia Wojciechowska
Redaktorka ISPortal i ISProfessional. Dziennikarka telewizji lokalnego operatora telekomunikacyjnego Ret-Sat1. Absolwentka kulturoznawstwa na Uniwersytecie Łódzkim ze specjalizacją filmoznawstwo i nowe media.

PRZECZYTAJ NAJNOWSZY NUMER isprofessional

Najnowsze

Gmail i nowy sposób odpowiadania na e-maile

Gmail wprowadza zmianę. Będzie to nowy sposób odpowiadania na e-maile. Dla fanów czatów, który...

Programy CAD – projektuj bez ograniczeń z ZWCAD

ZWCAD 2024 to intuicyjne i kompleksowe oprogramowanie CAD, które umożliwia użytkownikom tworzenie precyzyjnych rysunków...

Nowość w Google Maps przydatna przy parkowaniu

W Google Maps kolejne nowe funkcje. Tym razem dotyczy to Android Auto, chociaż w...

Fundacja Lokalni została organizacją pożytku publicznego

W Krajowym Rejestrze Sądowym 21 listopada pojawił się wpis z informacją o nadaniu Fundacji...