Wyciek danych z AliExpress. 800 000 zamówień Polaków dostępnych w sieci
Wyciek danych z AliExpress dotyczy kilkuset tysięcy Polaków, którzy składali zamówienia w serwisie między październikiem a grudniem 2019 roku. Z powodu luki w systemie śledzenia paczek można było podejrzeć personalia i adresy kupujących.
Wyciek danych z AliExpress pozwalał na przejrzeniem bez potrzeby przechodzenia jakiejkolwiek weryfikacji danych adresowanych oraz imienia i nazwiska około 800 000 klientów z Polski.
To kolejny problem dla Polaków. Pod koniec 2019 roku okazało się bowiem, że hakerzy włamali się do aplikacji rejestrującej karty SIM operatora wirtualnego Virgin Mobile i wykradli dane 12,5% klientów telekomu.
Sprawą zainteresowało się UODO, które zapowiedziało przeprowadzenie kontroli w przedsiębiorstwie. Łupem przestępców padły dane, które pozwalają na wyłudzenie kredytu, a więc imiona, nazwiska, numery PESEL oraz rodzaje i serie dokumentów tożsamości. Jeśli jest się wśród osób dotkniętych wyciekiem, trzeba jak najszybciej zastrzec dokumenty.
Wyciek danych z AliExpress wydaje się być mniej groźny, jako że przestępcy mogli mieć dostęp tylko do imion, nazwisk oraz adresów klientów.
Wyciek danych z AliExpress. 800 000 transakcji z Polski
Pozwoliła na to luka w serwisie PostalNinja, służącym do śledzenia paczek wysyłanych do klientów AliExpress za pośrednictwem operatora pocztowego SinoAir.
Dostawca stosuje prosty sposób przyporządkowywania numerów do zamówień. W przypadku paczek zmierzających do Polski jest to numeracja ciągła zaczynająca się od oznaczenia PL00000001XXXX i sięgającą numerów porządkowych przekraczających 800 000.
Wystarczyło wpisać ten numer do wyszukiwarki serwisu Postal Ninja, żeby móc zobaczyć szczegóły każdego z zamówień, w tym pełne dane adresowe. Luka w zabezpieczeniach została błyskawicznie naprawiona – wystarczyły na to 24 godziny od złożenia zawiadomienia.
Witryna zmieniła sposób wyświetlania danych. Zamiast pełnej informacji wyszukiwarka zwraca teraz po trzy pierwsze litery imienia i nazwiska, adres ogranicza się zaś do podania nazwy miasta lub miejscowości.
Nie wiadomo, czy przestępcy odkryli lukę przed jej naprawieniem. Jeśli tak, wyciek danych z AliExpress zamieścił w sieci całkiem sporą pulę adresów Polaków. Serwis PostalNinja na szczęście nie podawał informacji o e-mailach czy numerach telefonu, zagrożenie jest więc stosunkowo niskie.
Jeśli my o tym wiemy, to przestępcy pewnie wiedzieli wcześniej.
@kingabruliska:disqus i to jest największy problem, że prawdopodobnie ktoś już sobie zdążył zbudować fajną bazę. Tylko czy baza samych fizycznych adresów się komuś do czegoś przyda? 😉