Morele ma znowu problemy z danymi. Błąd na stronie umożliwiał odczytanie cudzych danych osobowych bez większych problemów.
Pojawiły się doniesienia o poważnej luce w systemie Morele.net, ujawnionej przez serwis Zaufana Trzecia Strona. To bardzo wiarygodne źródło słynące z celnych znalezisk i dbania o bezpieczeństwo w sieci. Jak się okazuje, wystarczyło znać numery kolejnych zamówień, by poznać nie tylko kwoty transakcji, ale również prywatne dane klientów – takie jak adresy e-mail czy numery telefonów. Co gorsza, dostęp do tych informacji można było uzyskać po zalogowaniu na dowolne konto – bez żadnych dodatkowych uprawnień.
Problem wypłynął, gdy jeden z użytkowników natknął się na błędy podczas próby zakupu ratalnego. Zaciekawiony, postanowił bliżej przyjrzeć się działaniu formularza zamówień. W trakcie analizy zauważył, że wpisując inne numery zamówień, mógł bez przeszkód przeglądać dane przypisane do zupełnie obcych osób – w tym również z bardzo starych, dawno zrealizowanych transakcji.
Morele.net zareagowało szybko. Firma przekazała w oficjalnym oświadczeniu, że jej zespoły IT oraz ds. bezpieczeństwa natychmiast zweryfikowały problem, potwierdziły jego istnienie i zablokowały lukę w ciągu zaledwie dwóch godzin od zgłoszenia. Tutaj sklepowi należy się zdecydowana pochwała – bardzo poprawne zareagowanie na błąd. Szkoda jedynie, że błąd się pojawił. I szkoda, że to wcale nie ich pierwsza wtopa. Według przedstawicieli sklepu, ujawnione dane nie zostały wykorzystane w sposób nieuprawniony – dostęp do nich miał charakter testowy i służył jedynie potwierdzeniu problemu. Tylko kto wie ile osób odkryło to wcześniej ale nic nie powiedziało.
Zobacz też:
Morele jednak zapłaci karę za wyciek danych.
Facebook ma problem – wyciekły dane 1,2 miliarda użytkowników?
Wikipedia udostępnia dane do trenowania AI. Nie mają już wyjścia
