Od jakiegoś czasu w sieci popularna jest branża streetwearowa. Oprócz firm skupiających wokół swoich produktów fanów danego gatunku muzycznego, pojawiły się także inne, jak chociażby producenci odzieży patriotycznej. Jednym z nich jest RED IS BAD, sklep, który odnotował wyciek danych osobowych swoich klientów.
Na samym początku chciałbym Was uspokoić – sklep RED IS BAD nie wymagał od swoich klientów danych innych niż imię i nazwisko, numer telefonu, adres e-mail oraz adres zamieszkania. To bardzo dużo, ale raczej nie grozi niespodziewanym kredytem wziętym na Wasze dane. Mimo to przypomnę, że warto na portalu Biura Informacji Kredytowej uruchomić powiadomienia SMS, które ostrzegą Was o (prawie) każdej próbie wyłudzenia. Przejdźmy jednak do rzeczy.
RED IS BAD to sklep, który oferuje wykonaną w Polsce odzież patriotyczną. Nie chodzi tutaj o analizę ich oferty, ale o zwrócenie uwagi na drobny fakt – nie możemy firmy traktować jako jakikolwiek wałek – istnieje na rynku od jakiegoś czasu, nie mam żadnego ich ubrania, ale osobiście znam kilku posiadaczy, a nawet… bank PKO BP zorganizował z nimi konkurs. Wyciek danych osobowych to zatem nie upublicznienie wyłudzonych informacji, ale zwykła pomyłka. Cóż, errare humanum est.
Ale jak w ogóle do tego doszło?
Wyciek nastąpił w wyniku błędu ludzkiego, a konkretniej rzecz biorąc – jednego z webmasterów. W dużym uproszczeniu, dostęp do pliku app_dev.php, jak i do samego panelu deweloperskiego sklepu, był możliwy dla niemal każdego bardziej rozgarniętego użytkownika internetu. Niestety, umożliwiło to pobranie wspomnianych już danych klientów firmy. Podobno ostatni identyfikator przyjął wartość 218490 i należy zakładać, że właśnie tyle osób jest potencjalnie poszkodowanych.
Ile osób mogło pozyskać moje dane?
Nie wiadomo. Niestety, nie wszyscy ludzie działają w dobrych intencjach, zaś publiczne doniesienia o samym odkryciu pojawiały się w sieci wielokrotnie na przestrzeni kilku godzin. Prawdopodobnie nikt nie wie ile osób uzyskało dostęp do bazy i w jakim celu.
Czy problem jest aktualny?
Okazało się, że sklep dosyć szybko zaszył gdzieś plik app_dev.php, choć za pomocą API dalej można było uzyskać dostęp do bazy danych klientów oraz je modyfikować. Nieco później jednak pojawiła się przerwa techniczna i wygląda na to, że całość została poskromiona.
Czy jesteście bezpieczni? Raczej tak. Ale jeśli byliście klientami sklepu RED IS BAD, to jest dosyć duża szansa, że ktoś ma Wasze imię i nazwisko, adres zamieszkania, adres e-mail oraz numer telefonu. Raj dla firm marketingowych, wystarczy wykupić taką bazę i rozsyłać reklamy… ;)
Samo odkrycie wycieku miało miejsce parę dni temu, jednakże wpis pojawił się z opóźnieniem, aby ekipa z RED IS BAD odpowiedzialna za część deweloperską miała czas na naprawienie problemu, a sama publikacja nie przyczyniła się do rozprzestrzenienia danych klientów w szerszym gronie.
źródło: Niebezpiecznik
grafika: RED IS BAD