Wyciek danych z AliExpress. 800 000 zamówień Polaków dostępnych w sieci

Wyciek danych z AliExpress dotyczy kilkuset tysięcy Polaków, którzy składali zamówienia w serwisie między październikiem a grudniem 2019 roku. Z powodu luki w systemie śledzenia paczek można było podejrzeć personalia i adresy kupujących.

Wyciek danych z AliExpress pozwalał na przejrzeniem bez potrzeby przechodzenia jakiejkolwiek weryfikacji danych adresowanych oraz imienia i nazwiska około 800 000 klientów z Polski.

To kolejny problem dla Polaków. Pod koniec 2019 roku okazało się bowiem, że hakerzy włamali się do aplikacji rejestrującej karty SIM operatora wirtualnego Virgin Mobile i wykradli dane 12,5% klientów telekomu.

Sprawą zainteresowało się UODO, które zapowiedziało przeprowadzenie kontroli w przedsiębiorstwie. Łupem przestępców padły dane, które pozwalają na wyłudzenie kredytu, a więc imiona, nazwiska, numery PESEL oraz rodzaje i serie dokumentów tożsamości. Jeśli jest się wśród osób dotkniętych wyciekiem, trzeba jak najszybciej zastrzec dokumenty.

Wyciek danych z AliExpress wydaje się być mniej groźny, jako że przestępcy mogli mieć dostęp tylko do imion, nazwisk oraz adresów klientów.

Wyciek danych z AliExpress. 800 000 transakcji z Polski

Pozwoliła na to luka w serwisie PostalNinja, służącym do śledzenia paczek wysyłanych do klientów AliExpress za pośrednictwem operatora pocztowego SinoAir.

Dostawca stosuje prosty sposób przyporządkowywania numerów do zamówień. W przypadku paczek zmierzających do Polski jest to numeracja ciągła zaczynająca się od oznaczenia PL00000001XXXX i sięgającą numerów porządkowych przekraczających 800 000.

Wystarczyło wpisać ten numer do wyszukiwarki serwisu Postal Ninja, żeby móc zobaczyć szczegóły każdego z zamówień, w tym pełne dane adresowe. Luka w zabezpieczeniach została błyskawicznie naprawiona – wystarczyły na to 24 godziny od złożenia zawiadomienia.

Witryna zmieniła sposób wyświetlania danych. Zamiast pełnej informacji wyszukiwarka zwraca teraz po trzy pierwsze litery imienia i nazwiska, adres ogranicza się zaś do podania nazwy miasta lub miejscowości.

Nie wiadomo, czy przestępcy odkryli lukę przed jej naprawieniem. Jeśli tak, wyciek danych z AliExpress zamieścił w sieci całkiem sporą pulę adresów Polaków. Serwis PostalNinja na szczęście nie podawał informacji o e-mailach czy numerach telefonu, zagrożenie jest więc stosunkowo niskie.

0 0 votes
Article Rating
Powiadomienia
Powiadom o
2 komentarzy
Najstarsze na górze
Najnowsze na górze Najwyżej oceniane
Inline Feedbacks
View all comments
Kinga Brulińska
Kinga Brulińska
1 rok temu

Jeśli my o tym wiemy, to przestępcy pewnie wiedzieli wcześniej.

Paweł Pilarczyk
1 rok temu

@kingabruliska:disqus i to jest największy problem, że prawdopodobnie ktoś już sobie zdążył zbudować fajną bazę. Tylko czy baza samych fizycznych adresów się komuś do czegoś przyda? 😉

2
0
Would love your thoughts, please comment.x
()
x