15:36
4/5/2020

Dane zamówień z MediaMarkt można było prosto znaleźć przez Google. Już pokasowali na serwerze, ale wciąż da się dotrzeć do danych klientów.

Zakres danych jakie można było (i wciąż można gdzieniegdzie) pozyskać, to:

    Imię i nazwisko,
    Adres zamieszkania (dostawy)
    Adres e-mail
    Numer telefonu

Obecnie w wynikach wyszukiwania nie ma wielu rekordów, a adresy zamówień są ciężkie do zbruteforcowania, więc teraz powinno być OK. Wszystkim właścicielom sklepów internetowych radzimy odpowiednio skonfigurować sitemapę i plik robots.txt. Pamiętajcie, że nie tylko Google crawluje sieć…


Aktualizacja 5.05.2020, 15:15
A oto co ma do powiedzenia w tym temacie MediMarkt:

Zdarzenie dotyczyło zaindeksowania zamówień przez wyszukiwarkę internetową i dotyczyło kilku klientów. Natychmiast zostały podjęte niezbędne działania w celu zabezpieczenia danych. Jednocześnie uważnie analizujemy sprawę i podejmujemy dalsze kroki w celu jej wyjaśnienia.

No to nie pozostaje nam nic innego jak w pod tym artykułem także dać kod rabatowy na nagranie naszego webinara o tym co robić, jak Twoje dane wyciekną, tym razem dla klientów MediaMarkt. Na hasło MediaMarktNieDlaWyciekow dostaniecie 35PLN zniżki.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

33 komentarzy

Dodaj komentarz
  1. Ciekawi mnie na ile serwisy w stylu Slacka, Facebooka, Skype’a, Hangoutsów itp. wymieniają między sobie wysłane linki w komunikatorach. Przy “niezgadywalnych” identyfikatorach w URL-ach to może być gwóźdź do trumny i bez poprawnej autoryzacji problem nie do uniknięcia.

  2. jest jakaś instytucja która może się tym zająć?
    https://www.bing.com/search?q=“zamówienie+nr%3A”+site%3Amediamarkt.pl

    • Urząd Ochrony Danych Osobowych

  3. Na podstronie z zamówieniem dać dyrektywe meta robots noindex i mamy zabezpieczenie że nie pojawi się w Google + to co sugerujecie (sitemap + robots.txt)

    • To było albo nadal jeszcze jest zabezpieczone w robots.txt tylko błędnie bo dyrektywą noindex ktorą od połowy zeszłego roku Google ignoruje w robot.txt. Ale trzeba sie znać a nie udawać że coś się wie. Poza tym podstawa to autoryzacja dostępu… Ktoś grubo powien za to polecieć

  4. Jakim cudem to zostało zcrawlowane?
    To chyba nie tak, że web serwery domyślnie serwują zawartości katalogów po ftp, żeby można było po nich przejść a MM nie ma podstrony z zamówieniami klientów. Nie ma, prawda…?

    • Takim cudem, że Google bezczelnie crawluje sobie linki, które znajdzie w treści poczty przesyłanej w ramach gmail. Wiele lat temu miałem nieprzyjemną sytuację, bo wystawiłem klientowi wersję demo strony z jakimiś bzdurami w treści pod przypadkowym URL, a kilka dni później klient zadzwonił z pretensjami, że po jego nazwie firmy da się te stronę znaleźć w sieci. Klient korzystał z gmail do komunikacji ze mną.

    • Google nie crawluje linków z GMaila. Nie siej FUD-u.

    • Ty masz prawo w to wierzyć, a ja wiem co widziałem. Oczywiście dyskusja jak jest naprawdę – jest teraz bezcelowa.

    • Wiele osób tak twierdzi, że wie co widziało. A potem się okazuje, że jednak nie wiedzą wszystkiego. Bo “a to żona jednak faktycznie podała”. A to było jeszcze tu. A to jednak kontrahent przekazał jeszcze tam. A to cośtam. Proponuje jednak poszukać i znaleźć inne wytłumaczenie niż to, że jesteś jedyną osobą, której GMail zcrawlował linki do indeksu :)

    • Nie powiedziałbym, że dyskusja jest bezcelowa. Pytania zadałem ze szczerej ciekawości :) Czyli wniosek jest taki, że kompletne linki do zamówień “wyciekały” jakimś stałym kanałem, ale raczej nie GMailem?

    • Nie no Piotrek, oczywiście jest to racja, ale nie możesz z drugiej strony zakładać, że każdy Twój rozmówca to jest w ciemię bity i nie wziął różnych takich kwestii pod uwagę. Też mi się to wydało nieprawdopodobne, chociażby z tego względu, że linki w mejlach mogą powodować jakieś akcje (np. aktywacja konta) i crawling takich linków mógłby być opłakany w skutkach. Wiem, że robiono różne eksperymenty, ale IMHO nie były to eksperymenty wyczerpujące. Nie szukałem innych poszkodowanych, więc nie wiem czy jestem jedyny. ;) Weź też pod uwagę, że historia miała miejsce dobre 10 lat temu, wiele się od tego czasu mogło zmienić w algorytmach czy polityce Google’a. Ja w każdym razie w moim odczuciu wykluczyłem wtedy inne możliwe źródła wycieku URLa począwszy od innych adresatów, na toolbarach do przegląderek skończywszy, i nabrałem przekonania na tyle, że uraz mi został do dzisiaj. :p Ale oczywiście, mogę się mylić, masz rację.

    • No i pozostaje otwarte pytanie jakim cudem te strony z zamówieniami znalezione. Bo, że MM wystawił gdzieś listę wszystkich URL, w to nie wierzę. Bardzo jestem ciekaw czy udałoby się znaleźć coś, co te akurat zamówienia łączy (np. wspólny operator poczty. ;)

    • @Piotr Konieczny

      Bo Google tak mowi, to trzeba im wierzyc, tak? A Zuckenberg nie klamal zeznajac w Kongresie w Stanach, tak?

    • Nie, bo ludzie zrobili testy i sprawdzili. Ale oczywiście, możesz zrobić swój eksperyment i dać dowody. Odszczekam. A póki co tylko czekam.

    • Pozólcie koledzy, że spointuję:
      może i nie crawluje linków z gmaila. Ale niesmak pozostał…

  5. No nie do końca naprawione, da się jeszcze pobierać faktury i dodawać uwagi do zamówienia.

  6. robots to nic, może zostać zignorowany przez scrappera i tyle, trzeba po prostu prawidłowo obsługiwać uprawnienia

  7. Ale dlaczego takie dane są na lknkach? Przecież one powinny być już za hasłem to samo fv. Sam status zamówienia no ok niech będzie ale bez danych klientów chyba że coś na zamowianiu może zidentyfikować klienta. W sumie to chyba jeszcze tylko linki do repaymentow mogły by być z danymi bo bramki przeważnie wymagają przynajmniej przesłania imienia nazwiska

  8. Na miejscu poszkodowanych zglosiłbym to od ręki do UODO. Kara na kilkadziesiąt tysięcy złotych

    • No, a skończy się jak zawsze. Już nikt o tym nie pamięta xD

  9. Tak, na DuckDuckGo widać jeszcze wyniki wyszukiwania z danymi osobowymi

    • Na duckduckgo jeszcze więcej danych bezpośrednio widocznych i większej ilości klientów.

  10. Czyli hasło reklamowe ” nie dla idiotów” to jedynie pusty slogan. google szczególnie crawluje zabronione właśnie ignorując konfig. robots. W obecnych czasach sytuacja kuriozalna żeby taki prymitywny wyciek nadal miał miejsce.

    • Wychodzi na to, że totalnie slogan wyssany z palca

  11. Mam wrażenie, że “załatali” to w m.in. dość agresywny sposób: sprawdziłem i w zamówieniu sprzed tygodnia link do statusu zamówienia już nie działa (404). Chyba że usuwają po tak krótkim czasie (co wydaje się być wątpliwe w normalnych warunkach).
    Jest jakaś opcja, żeby sprawdzić czy moje dane wyciekły? Przeszukiwałem pod względem danych zawartych w mailu jaki przysłali, ale żadnych rezultatów wyszukiwarki nie dają.

  12. Ostatnio widziałem bardzo fajne rozwiązanie takiego problemu w pewnym małym sklepie internetowym. Kiedy wejdziesz na link do zamówienia, widzisz tylko stronę z prośbą o hasło tymczasowe, które jest wysyłane na Twój e-mail powiązany z tym zamówieniem. Dopiero po przepisaniu można wejść. Coś jak autentykacja “nowego komputera” na Steamie.
    Dobrym pomysłem są też linki ograniczone czasowo – np. działające tylko kilkanaście minut, i wysyłanie ich na maila na żądanie.

  13. @ dyskusja o tym jak Google moze dotrzec do adresu: wystarczy uzywac Google Chrome i wejsc w dany adres. Google nigdy nie kryl sie z tym, ze uzytkownicy biora udzial w roznych programach zbierania danych o ile sie z nich swiadomie nie wypisze. Na przyklad w Google Page Speed Insights jest dostep do sredniego czasu ladowania dowolnych stron na podstawie statystyk uzytkownikow Chrome’a. Zreszta wie o tym kazdy kto kiedykolwiek postawil testowa strone i wszedl w nia w rzeczonym Chromie.

  14. […] to zdecydowanie jeden z najpoważniejszych wycieków nie tylko tego, pełnego wycieków tygodnia. Nie tylko studenci zwracają się do nas z pytaniami w tej sprawie, ale również dziennikarze […]

  15. […] Osobnym i niestety wciąż spotykanym problemem jest udostępnianie klientowi informację przez stronę publicznie dostępną, z nadzieją iż nikt nie odgadnie jaki jest adres tej strony. W ten sposób wyciekły dane klientów wielu serwisów, m.in. Allepaznokcie, a ostatnio takie strony z zamówieniami klientów MediaMarkt zostały zindeksowane przez Google. […]

  16. Otrzymałem w tym tygodniu standardowego maila z żądaniem okupu za nieudostępnienie tego, co było na moim zhakowanym komputerze. Mail przyszedł na adres, który podałem tylko w Media Markt. Czyżby moje zamówienie też było zindeksowane? A może to jakiś nowy wyciek?

  17. […] do serwera bazodanowego sklepu. Ze względu jednak na tematykę, ujawnienie tych danych — w przeciwieństwie do zakupów robionych w Media Markcie — dla niektórych klientów może być […]

  18. Nigdy bym się nie spodziewał, ciekawe kto był za to odpowiedzialny. Wiadomo czy nie był to jakiś atak?

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: