9:05
23/6/2017

Czasem sprzęt się psuje. Wtedy trzeba go dostarczyć do serwisu. Niektóre z firm obsługujących naprawy umożliwiają zamawianie kuriera przez swoje systemy. W firmie Bis Serwis zamawianie kuriera odbywało się poprzez zalogowanie na stronę GLS — z wykorzystaniem jednego, tego samego, loginu i hasła dla wielu klientów. Każdy więc widział dane poprzednich klientów…

Sprawę zgłosił nam Karol, którego żona chciała wysłać do naprawy gwarancyjnej zepsutą szczoteczkę elektryczną. Serwis miała obsłużyć firma Bis Serwis, która na swojej stronie udostępnia login do platformy firmy kurierskiej GLS.

Login już jest, a hasło?

Jeśli chodzi o hasło, to wbrew komunikatowi na stronie, nie jest ono dostępne wyłącznie telefonicznie. Z relacji Karola wynika, że jedno hasło było wysyłane automatycznie do różnych osób po złożeniu formularza reklamacji. W praktyce hasło mógł poznać nieograniczony krąg osób. A poza tym hasło było słabe. Bardzo słabe…

Ujawnione dane klientów

Samo logowanie się na konto klienta w GLS nie byłoby problemem, gdyby nie możliwość podejrzenia danych innych klientów. W tym celu należało skorzystać z opcji “Nowe wyszukiwanie”.

W wyszukiwarce wystarczyło podać dowolną datę, choćby wczorajszą lub wcześniejszą. Po kliknięciu “OK” dostawało się listę klientów  powiązanych z określoną datą. Większość klientów stanowiły firmy, ale zdarzały się dane osób fizycznych, których nie udało nam się odnaleźć w ewidencji przedsiębiorców.

Wystarczyło kliknąć w numer przesyłki, aby zobaczyć więcej danych.

Skontaktowaliśmy się telefonicznie z firma Bis Serwis. Prezes Henryk Tarnowski był zaskoczony informacją, że panel klienta GLS pozwala na taki podgląd danych osobowych. Poprosił nas o bardziej szczegółowy opis sprawy, który natychmiast przesłaliśmy mailem. Później otrzymaliśmy wyjaśnienia, że w zasadzie ten sposób wysyłania sprzętu (przez serwis GLS) miał być ograniczony do firm i sieci handlowych (co zresztą wynika z informacji na stronie).

Informacja o możliwości wysłania do nas sprzętu GLS-em, była również w powiadomieniu, które dostawał klient indywidualny, po zarejestrowaniu zgłoszenia reklamacyjnego, poprzez formularz na naszej stronie — wyjaśnił Henryk Tarnowski tłumacząc, że to właśnie spowodowało zamieszanie — Obecnie ta informacja jest usunięta, została tylko możliwość telefonicznego zamawiania kuriera, więc klienci nie będą mieli dostępu do danych — dodał prezes Bis Serwis.

Ponadto Henryk Tarnowski wysłał prośbę o zmianę hasła do GLS. To zabezpieczy dane, które już trafiły do bazy. Niestety zmiana hasła nie była możliwa natychmiast, gdyż firma Bis Serwis jest adresatem przesyłek a nie stroną umowy z firmą kurierską.

Serwisy i punkty napraw mają więcej problemów…

Znamy więcej podobnych historii związanych akurat z usługami napraw. W przyszłości opiszemy, jak jeden z czołowych, działających globalnie producentów sprzętu udostępniał swoim klientom login i hasło do strony z danymi klientów (sic!). Dotarły do nas także inne ciekawe historie o tym, jak pracownicy serwisów prosili klientów o podawanie haseł do ich osobistych e-usług skonfigurowanych na naprawianym sprzęcie. O tym też niebawem poczytacie na naszych łamach.

Jeśli prowadzisz serwis i nie możesz od strony technicznej zapewnić bezpiecznego procesu obsługi naprawy (po)gwarancyjnej, to już lepiej do obsługi (np. zamawiania kuriera) oddelegować pracownika serwisu, który tego typu zlecenia będzie przyjmował przez telefon.

Jeśli zaś oddajesz sprzęt do naprawy, zwłaszcza elektronikę, np. telefon, to przed przekazaniem jej komuś, upewnij się że z urządzenia skutecznie usunąłeś istotne dane lub po prostu wymontuj dysk/pamięć. Wiele serwisów rozumie chęć ochrony danych i wie, że do naprawy matrycy w laptopie, nie jest potrzebny dysk twardy. Gdyby jakiś serwis robił Wam problemy, w tego typu naprawach, dajcie nam znać.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

16 komentarzy

Dodaj komentarz
  1. Tak bywa jak nie ma kto zintegrowac z API

    • Nie wiem jak GLS, ale niektóre firmy kurierskie nie mają API i trzeba rzeźbić w panelu webowym.

    • GLS ma API do swojego systemu.

  2. Dlatego ja, jeżeli to tylko możliwe, wybieram paczkomaty. Wtedy w historii adresów jest adres paczkomatu. Do tego numer na kartę i mail przeznaczony na zakupy.

    Jeżeli jednak adres jest wymagany, to podaję nieistniejący. Nie ma powodu by do samego przesłania paczki podawać prawdziwy adres. Ani nie jest to potrzebne do reklamacji, ani do wysyłki – zatem po co?

    A dzięki temu, jakikolwiek wyciek danych nie jest zagrożeniem, bo kartę sim można zmienić, mail i tak jest na spam, adres nieprawdziwy – jedynie imię i nazwisko, that’s all.

    • Też tak robię. Zastanawia mnie tylko jako to ma sens, jeśli potem robię przelew i sprzedawca i tak dostaje moje dane? Chyba, ze to PayU – czy wtedy też dane są przekazywane?

  3. Korzystałem z dwóch serwisów Dell’a i Lenovo, w przypadku Dell’a komputer padł po tygodniu (płyta główna) była to jakiś model ultrabooka, żeby dostać się do dysku trzeba było rozebrać cały komputer, na infolinii sami kazali wyjąć dysk i nie robili problemu. W przypadku Lenovo po roku padło podświetlenie matrycy, tutaj żeby wyjąć dysk wystarczyło odkręcić dwie śruby, otworzyć klapkę i wyjąć dysk. Oczywiście Lenovo (infolinia) nie zgodziła się na wyjęcie dysku, dodatkowo chcieli jeszcze żeby zrobić im zdjęcie matrycy (po przyświeceniu latarką było widać że coś jest na ekranie) to dopiero po tym zabiegu przysłali kuriera. Na nic zdały się tłumaczenia że prowadzę swój serwis i wiem co jest uszkodzone, że dysk nie jest im do niczego niepotrzebny, gdyby nie gwarancja to sam bym to naprawił. Najlepsze jest to że jak notebook wrócił z serwisu to w opisie widniała informacja że uszkodzony był dysk a nie matryca ;-) Dysk sprawdzałem przed wysyłka notebooka i nie wykazywał żadnych błędów (S.M.A.R.T) skan powierzchni itp.

    • A jesteś pewien, że to twój notebook, bo mogli przez “przypadek” zamienić :)

    • Serwis Lenovo to kpina. Na infolinii (biznes) poprawnie wpiszą w zgłoszeniu co wg. klienta jest nie tak (uszkodzony, od nowości, port Ethernet więc dysku nie musiałem wyjmować), a sprzęt wracając z serwisu na raporcie z naprawy ma zupełnie inny problem, który “rozwiązali” (usterka: zawieszający się system operacyjny, rozwiązanie: przeinstalowanie systemu). Trzy razy wysyłałem sprzęt i w końcu naprawili.

    • ja nie narzekam na serwis lenovo w ogóle. gdyby nie konsultant telefoniczny to bym miała kompa wyłączonego z pracy. podłączył się do kompa, paręnaście minut i ogarnął co trzeba, okazało się,że sterowniki coś nie działały. wszystko szybko i bezproblemowo.

  4. pracuje w serwisie gdzie są naprawiane min. smartfony (samsungi, xperie, iphony i chyba jeszcze jakieś) i tam jest nawet nakaz że przed przystąpieniem do naprawy/serwisowania należy przywrócić ustawienia fabryczne co za tym idzie skasować wszelkie prywatne dane. szczerze mówiąc nie wiem czy tak jest w praktyce, ponieważ ja nie pracuje na dziale ze smartfonami.
    Natomiast znajomy co pracował jeszcze w innym serwisie, mówił ze zdarzało mu sie przeglądać dane na prywatnych urządzeniach klientów, chociaż nie powinien tego robić. ale mówił że gdyby znalazł tam np. dziecięcą pornografie to taki fakt musiałby już zgłosić odpowiednim osobom ;D

    • “znajomy co pracował jeszcze w innym serwisie, mówił ze zdarzało mu sie przeglądać dane na prywatnych urządzeniach klientów, chociaż nie powinien tego robić”

      Zastanawiam się czy nie popełnił przestępstwa z art. 267 kk.

      “ale mówił że gdyby znalazł tam np. dziecięcą pornografie to taki fakt musiałby już zgłosić odpowiednim osobom”

      Musiałby? Kto nakłada na niego taki obowiązek?

  5. Kiedyś oddałem lapa do serwisu (pogwarancyjnie, płaciłem) bo matryca była popsuta. Jaki był płacz i narzekanie, ze dysk wyjęty bo pewnie sam grzebałem i popsułem… A w pracy ostatnio dostałem kompa po byłym pracowniku żebym system nowy postawił… A tam brak hasła na systemie, pologowane chyba wszystko co się da, łącznie z prywatnymi mailami, fb itd :)

  6. Wyłączcie tę reklamę z T-mobile która zasłania tekst. Masakra…

  7. […] Już wcześniej nie raz pisaliśmy o różnych problemach z usługami serwisów. Firmy tego typu potrafią iść na skróty w przetwarzaniu danych, czego najbardziej jaskrawym przykładem był serwis zabezpieczający dane klientów jednym hasłem podawanym do wiadomości wielu osób. […]

  8. […] To pozwala im dzwonić do właściwych Urzędów Pocztowych (kurierów) i przejmować cudze paczki. Dostęp do tych informacji ma sprzedawca, firma kurierska, ale potencjalnie również osoby zbliżone do odbiorcy (chociaż “bliskich” możemy wykluczyć, przynajmniej w przypadku naszego Czytelnika). Poza tym, dostęp mają mityczne Systemy Komputerowe Doznające Awarii, z których informacje o przesyłkach mogą wyciekać (por. wpadka DHL albo wyciek z serwisu gwarancyjnego). […]

Odpowiadasz na komentarz Marek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: