Wyciek danych z AliExpress. 800 000 zamówień Polaków dostępnych w sieci

Wyciek danych z AliExpress. 800 000 zamówień Polaków dostępnych w sieci

2 stycznia 2020 2 przez Marcin Kaczmarek

Wyciek danych z AliExpress dotyczy kilkuset tysięcy Polaków, którzy składali zamówienia w serwisie między październikiem a grudniem 2019 roku. Z powodu luki w systemie śledzenia paczek można było podejrzeć personalia i adresy kupujących.

Wyciek danych z AliExpress pozwalał na przejrzeniem bez potrzeby przechodzenia jakiejkolwiek weryfikacji danych adresowanych oraz imienia i nazwiska około 800 000 klientów z Polski.

To kolejny problem dla Polaków. Pod koniec 2019 roku okazało się bowiem, że hakerzy włamali się do aplikacji rejestrującej karty SIM operatora wirtualnego Virgin Mobile i wykradli dane 12,5% klientów telekomu.

Sprawą zainteresowało się UODO, które zapowiedziało przeprowadzenie kontroli w przedsiębiorstwie. Łupem przestępców padły dane, które pozwalają na wyłudzenie kredytu, a więc imiona, nazwiska, numery PESEL oraz rodzaje i serie dokumentów tożsamości. Jeśli jest się wśród osób dotkniętych wyciekiem, trzeba jak najszybciej zastrzec dokumenty.

Wyciek danych z AliExpress wydaje się być mniej groźny, jako że przestępcy mogli mieć dostęp tylko do imion, nazwisk oraz adresów klientów.

Wyciek danych z AliExpress. 800 000 transakcji z Polski

Pozwoliła na to luka w serwisie PostalNinja, służącym do śledzenia paczek wysyłanych do klientów AliExpress za pośrednictwem operatora pocztowego SinoAir.

Dostawca stosuje prosty sposób przyporządkowywania numerów do zamówień. W przypadku paczek zmierzających do Polski jest to numeracja ciągła zaczynająca się od oznaczenia PL00000001XXXX i sięgającą numerów porządkowych przekraczających 800 000.

Wystarczyło wpisać ten numer do wyszukiwarki serwisu Postal Ninja, żeby móc zobaczyć szczegóły każdego z zamówień, w tym pełne dane adresowe. Luka w zabezpieczeniach została błyskawicznie naprawiona – wystarczyły na to 24 godziny od złożenia zawiadomienia.

Witryna zmieniła sposób wyświetlania danych. Zamiast pełnej informacji wyszukiwarka zwraca teraz po trzy pierwsze litery imienia i nazwiska, adres ogranicza się zaś do podania nazwy miasta lub miejscowości.

Nie wiadomo, czy przestępcy odkryli lukę przed jej naprawieniem. Jeśli tak, wyciek danych z AliExpress zamieścił w sieci całkiem sporą pulę adresów Polaków. Serwis PostalNinja na szczęście nie podawał informacji o e-mailach czy numerach telefonu, zagrożenie jest więc stosunkowo niskie.