Poważny wyciek danych w Media Expert. Każdy mógł przeglądać konto jednego z klientów sklepu

{reklama-artykul}Zapewne szukając ciekawych ofert na Black Friday przynajmniej część z Was postanowiła zajrzeć na stronę elektromarketów Media Expert. Niestety mogliście się zawieść, ponieważ przez pewien błąd strona internetowa sklepu przez jakiś czas prezentowała to:

Co się stało?

Jak donosi Niebezpiecznik, o 9:30 Adrian Piekarz poinformował o błędzie strony Media Expert. Zapewne nie wiecie kto to taki. Jest to człowiek, na którego konto mógł wejść każdy odwiedzający stronę Media Expert i klikający zakładkę „Moje Konto” (nawet bez logowania).

Jak tłumaczy Adrian:

„(…) Zresetowałem hasło dokonałem zakupu i szczęśliwy oczekuje realizacji. W między czasie dzwoni telefon (numer nieznany) odbieram i rozmówca (na Facebooku Łukasz Rojek napisał, że był jednym z pierwszych informujących – dop. red) informuje mnie żebym zmienił hasło bo widzi moje dane i historie zamówień. Zmieniam szybko hasło. Po chwili kolejny telefon, tym razem inny numer ale temat ten sam. Ktoś widzi moje dane. Już wiem że coś jest nie tak.
Proszę kolegę żeby wszedł na stronę sklepu i kliknął “Moje konto”. Po kliknięciu strona w ogóle nie prosi o dane do lodowania tylko przenosi na stronę zamówień. Szybki telefon do Media Expert (oczywiście przez 5 min słucham melodyjki i oczekuje na swoja kolej) w międzyczasie dzwonią kolejne osoby z ostrzeżeniem. Pani z Media Expert była w szoku i po 10 minutach i potwierdzeniu że opisywana przeze mnie sytuacja jest prawdziwa prosi o cierpliwość i kończy rozmowę (obiecuje że oddzwonią).
W między czasie monitoruje co się dzieje na koncie i widzę jak kolejne osoby zamawiają sobie różne rzeczy i zmieniają też moje dane. (…) Każdy mial dostęp do moich danych (imię, nazwisko, adres, numer telefonu i historie zamówień). Dodatkowo mam też dane innych osób które wpisywały/zmieniały dane z zakładce Moje konto.„

l rojek

Oprócz jego danych, pojawiły się też informacje o możliwym wejściu na konto Marka S. i Tomasza D. Niewykluczone, że dostępne były dane również innych osób.

Niebezpiecznik tłumaczy, że najprawdopodobniej powodem błędu jest nieprawidłowe działanie systemów cache’ujących, które pokazują wielu osobom tę samą zawartość, a winę za to ponosi: „albo pracownik, który źle skonfigurował dany moduł, albo manager, który nie potrafił odpowiednio przewidzieć ryzyka i wydaje zgodę na korzystanie z rozwiązań technicznych, których w pełni nie rozumie, przez co w sposób niekompetentny przeprowadza analizę ryzyka i nie wdraża wszystkich zabezpieczeń„.

Pozostaje czekać i zastanawiać się, czy UODO postanowi jakoś ukarać tę sieć elektromarketów za dopuszczenie do takiego wycieku danych.

Aktualizacja 23-11-2018 godz. 19:27
Otrzymaliśmy oficjalne oświadczenie Media Expert, całość możecie przeczytać poniżej.

W nawiązaniu do opublikowanego przez Państwa materiału, chciałbym poinformować, że chwilowa awaria naszego systemu informatycznego, stwierdzona przez nas w godzinach porannych, została błyskawicznie naprawiona, a dane naszych klientów są bezpieczne. Problem był związany z serwerem cache. Jesteśmy w kontakcie z klientami, których zdarzenie to dotyczy.

Zważywszy na specyfikę dzisiejszego dnia, jeszcze raz podkreślam, że dane naszych klientów są bezpieczne. Pozwolę sobie również poinformować, że wszystkie zamówienia złożone w ramach promocji Black Friday są i będą realizowane bez żadnych problemów. – Michał Mystkowski, Rzecznik Prasowy Media Expert

Źródło: Niebezpiecznik