Po wejściu w życie RODO taki przypał, jaki przydarzył się MISBHV, będzie groził dużą karą
Raptem kilka dni temu pisaliśmy o RODO – unijnym rozporządzeniu, które zacznie obowiązywać od 25 maja, a którego jednym z głównych założeń będzie skuteczna ochrona prywatnych informacji o użytkownikach, pracownikach czy klientach. W ubiegłym tygodniu na światło dzienne wyszły luki w zabezpieczeniach sklepu internetowego polskiej firmy MISBHV. Luki, w wyniku których, jak alarmowali użytkownicy, marka odzieżowa przechowywała na serwerze łatwo dostępne dla każdego dane klientów, w tym ich adresy, personalia czy numery telefonów. Sprawę bardzo szczegółowo zbadał niebezpiecznik.pl.
Pojawiają się też doniesienia o wykorzystywaniu webshella – fragmentu złośliwego kodu – który okazał się furtką do wykradnięcia informacji, których wielkość wynosiła aż… 19 gigabajtów. Jego geneza jest na razie źródłem domysłów, ale eksperci dociekają, że mógł to być zarówno świadomy atak, błąd konfiguracyjny, jak i zwykła nieodpowiedzialność któregoś z administratorów serwisu.
Marka, nie odnosząc się do zarzutów o dane, a sprowadzając zagadnienie do tematu kont bankowych, skomentowała najpierw sytuację tak:
Oberwało się też osobie, która udostępniła szerzej informację o wycieku:
Szybko pojawiły się przeprosiny:
Przepraszam markę MISBHV oraz wszystkich, który poczuli się urażeni moim postem. Wczoraj przeglądając stronę misbhv.pl źle skopiowałem link, co skutkowało ukazaniem się moim oczom ogólnodostępnych katalogów zdjęć ze strony. Przeglądając je razem z fanami trafiliśmy na folder, który zawierał zdjęcia naklejek na paczki wysyłane kurierem. Zawierały one imię, nazwisko, jak i adres odbiorcy. Udostępniłem informację o tym, że każdy ma dostęp do danych zamawiających, a sama baza nie jest w żaden sposób zabezpieczona. Żałuję tej decyzji, powinienem był natychmiast zgłosić ten błąd. Wszystkich, którzy poczuli się dotknięci moim zachowaniem z całego serca przepraszam.
Wspomniany wyżej niebezpiecznik wysłał do MISBHV pytania dotyczące incydentu, a stanowisko firmy, wraz z jednoczesną odpowiedzią na niektóre z nich, przedstawia się następująco (pis. oryg.):
Serdeczne pozdrowienia!
W nocy z dwunastego na trzynastego kwietnia, po godzinie 23:00, doszło do ataku na prywatne dane części naszych klientów. Do nieuprawnionego złamania dostępu do serwera doszło za pośrednictwem “backdoora” – poprzez działanie podmiotu zewnętrznego na kilkanaście minut doszło do otwarcia zabezpieczonych i ukrytych plików służących do usprawnienia bieżącej pracy kurierów. Pliki te, ze swego założenia tymczasowe (kasujące się samoczynnie po zrealizowaniu wysyłki kurierskiej) najprawdopodobniej w wyniku błędu twórcy skryptu gromadziły się na serwerze. Pliki były jednak w 100% zabezpieczone i niedostępne dla nikogo bez odpowiednich uprawnień.
Atak zbiegł się w czasie z aktywnością Pana Bartosza Jurka, który na swoim profilu opublikował prywatne dane osób fizycznych, głównie Polaków, będących klientami marki – nawołując do plądrowania i dalszego przekazywania sobie ich danych prywatnych. Administrator profilu, mimo pełnej świadomości wagi swojego czynu nie tylko sam złamał prawo udostępniając dane osób prywatnych, ale również namawiał do tego swoich “fanów”. To, co miało być atakiem na naszą firmę przerodziło się, de facto, w bezpośredni atak na naszych klientów. Wyciek został zatrzymany w 10 minut. Serwis został ponownie zabezpieczony a żadne dane wrażliwe nie doznały uszczerbku.
Nie boimy się złośliwości czy personalnych ataków – kiedy w grę wchodzi jednak dobro niewinnych klientów nie możemy pozostać bezczynni. Przepraszamy naszych klientów za zaistniałe zamieszanie. Pomimo bardzo sprawnej reakcji, pomimo tego, że agresja dotyczyła jedynie wąskiej grupy naszych klientów i nie zagroziła danym wrażliwym jest bezsprzecznie winą naszą oraz administratora naszego serwisu niedostateczne zabezpieczenie przed tego typu atakiem.
Z wyrazami szacunku,
zespół M I S B H V
Zespół redakcyjny dopatrzył się tu jednak pewnych nieścisłości, jak choćby screen sugerujący, że webshell był obecny na serwerze od ponad 2 miesięcy, a nie przez… kwadrans, a także, że nie do końca wiadomo, czy dużej rangi zarzuty wobec Bartosza Jurka są zasadne. Warto też podkreślić, że w oświadczeniu pojawia się wątek tego, że w rezultacie błędu dane gromadziły się na serwerze przez rok (choć powinny być tam wyłącznie przez czas wysyłki).
Kolejne szczegóły sprawy będą pewnie rozjaśniać się wraz z biegiem czasu, ale póki co jedno jest pewne – gdyby takie zaniechanie przydarzyło się po 25 maja, gdy w życie wejdzie RODO, kary za analogiczny wyciek danych mogłyby być kolosalne.
Tekst: WM
Źródło: Niebezpiecznik.pl