Sytuacja Poczty Polskiej od dawna „nie jest najlepsza”. Przedsiębiorstwo boryka się z wieloma problemami, w dużej części spowodowanymi niedoborem pieniędzy. Teraz jednak okazuje się, że Poczta Polska ma kolejny powód do zmartwień. I nie tylko ona, bo sytuacja bezpośrednio dotyczy też jej klientów.
Poczta Polska ujawnia wszystkim informacje na temat przesyłek
Niektórzy życzą Poczcie Polskiej wszystkiego najgorszego, nie zdając sobie sprawy z tego, że zniknięcie z rynku tak dużego przedsiębiorstwa pocztowego byłoby opłakane w skutkach nie tylko dla jego pracowników, ale też klientów. Wciąż bowiem jest duże zapotrzebowanie na jego usługi, a kondycja firmy w części wynika z jej zobowiązań wobec państwa i społeczeństwa (jakiego nie ma konkurencja w postaci InPostu, DPD czy DHL).
Nie da się ukryć, że Poczta Polska wciąż ma sporo do nadrobienia względem rywali, ale sukcesywnie skraca do nich dystans, zarówno pod względem technologicznym, jak i oferty. Jedynym obszarem, w którym wyraźnie odstaje, są automaty paczkowe. Niewykluczone, że rozwój ich sieci zostanie całkowicie porzucony i finalnie skupi się na nim wyłącznie Orlen, który ma już 5000 maszyn i cały czas uruchamia kolejne.
Poczta Polska powinna natomiast teraz skupić się na nowym problemie, który dzisiaj odkryliśmy – na dodatek zupełnie przypadkowo. Tak się bowiem składa, że oczekuję na przesyłkę i dziś chciałem sprawdzić jej status. Zobaczyłem, że została nadana w PP Warszawa W101. Z ciekawości chciałem zobaczyć, gdzie dokładnie jest zlokalizowana ta placówka pocztowa, dlatego wpisałem frazę PP Warszawa W101 w wyszukiwarce Google.
Z przerażeniem jednak zobaczyłem, że pierwszym wynikiem nie jest link prowadzący do strony z informacjami na temat tej placówki pocztowej, tylko link do informacji dotyczących „jakiejś” przesyłki na stronie emonitoring.poczta-polska.pl (bynajmniej nie mojej).
Na stronie emonitoring.poczta-polska.pl, do której prowadzi link z wyszukiwarki Google, można znaleźć wszystkie informacje na temat tej przesyłki – jej numer i rodzaj, datę nadania, historię transportu i statusów, format i masę oraz dane urzędu pocztowego, który ją dostarczył wraz z dokładną datą doręczenia.
To nie jest odosobniony przypadek. Czy jest się czym martwić?
Po wpisaniu w wyszukiwarce Google frazy PP Warszawa W101 na pierwszej stronie wyników wyszukiwania znajdują się dwa wyniki, prowadzące do stron z informacjami na temat dwóch różnych przesyłek. Postanowiłem sprawdzić, czy podobne wyniki można uzyskać, wpisując nazwę innych placówek pocztowych. Okazuje się, że tak – wystarczy wpisać w Google frazę PP miasto i wybrać pierwszą podpowiedź z numerem placówki.
Udało mi się potwierdzić, że taka sytuacja występuje w przypadku wpisania PP Wrocław D101, PP Gdańsk G102, PP Białystok B103 i PP Kielce T101, i jestem przekonany, że schemat ten zadziała również w przypadku innych miast. Niektóre rekordy są sprzed ponad roku, podczas gdy Poczta Polska informuje, że usuwa stare rekordy ze swojej bazy. Czy jednak jest się czym martwić? W mojej opinii jak najbardziej.
Teoretycznie na stronie emonitoring.poczta-polska.pl nie ma danych osobowych, tj. imienia i nazwiska nadawcy i odbiorcy oraz ich adresów czy numerów telefonów. Jednocześnie jednak, posiadając sam numer przesyłki i dokładne informacje o terminie jej doręczenia, można przy odrobinie wysiłku dowiedzieć się, kto był odbiorcą i nadawcą. Można bowiem zadzwonić do urzędu pocztowego, który dostarczył przesyłkę i wykorzystując socjotechnikę spróbować wyciągnąć od pracownika wszystkie informacje. A potem wykorzystać je do przestępczego procederu.
Co na to Poczta Polska?
Poczta Polska została przez nas poinformowana o tej sytuacji, która potencjalnie może stanowić naruszenie prywatności klientów. Do momentu publikacji niniejszego artykułu nie otrzymaliśmy żadnej odpowiedzi. Gdy się to zmieni, dodamy stanowisko przedsiębiorstwa.
Aktualizacja:
W przekazanym nam stanowisku Poczta Polska zapewnia, że opisana sytuacja nie jest wynikiem błędu i nie stanowi zagrożenia dla prywatności klientów Poczty Polskiej – ich dane są w pełni bezpieczne. Ponadto poinformowano, że żaden kontrahent, klient czy partner biznesowy nie otrzymuje danych osobowych powiązanych z przesyłką.
