12:21
26/4/2013

iBOOD.pl to platforma do sprzedaży jednodniowych ofert — dziś np. można kupić odkurzacz ;) Okazuje się jednak, że serwis iBOOD pozwala na swobodny dostęp do danych osobowych wszystkich, którzy kiedykolwiek złożyli w nim zamówienia. Wystarczy prosta modyfikacja ID w linku z zamówieniem…

Enumeracja zamówień na iBOOD.pl

O niedopatrzeniu od wczoraj masowo informują nas internauci, klienci iBOOD.pl, którzy zauważyli, że zmieniając ID swojego zamówienia w linku postaci http://www.ibood.com/pl/pl/contact/ordernumber,xxxxxxx/ można przeglądać cudze dane osobowe, takie jak:

  • Imię i nazwisko
  • Adres e-mail
  • Numer telefonu
iBOOD i dane klientów

iBOOD i dane klientów

Dane są automatyczne zczytywane do formularza kontaktowego najprawdopodobniej bazując na numerze zamówienia. Serwis iBOOD.pl został poinformowany przez jednego z klientów o błędzie i odpisał w następujący sposób:

Uprzejmie informujemy, że nasz dział IT weryfikuje problem. Jak tylko zdiagnozujemy ewentualny błąd zostanie on usunięty. Na chwilę obecną nie mamy żadnych niepokojących informacji. Uprzejmie prosimy o wyrozumiałość i cierpliwość – działamy w tej kwestii.

Na chwilę obecną enumeracja została wyłączona. Zadaliśmy iBOOD.pl pytanie, ile osób próbowało z wczoraj na dziś zczytać wszystkie numery zamówień. Jak tylko otrzymamy odpowiedź, podzielimy się nią w tym poście.

Ostrów Wielkopolski ujawnia liczbę zameldowanych

Ciekawymi danymi podzielił się z internetem także Urząd Miejski w Ostrowie Wielkopolskim, który ogłaszając przetarg na wywóz śmieci udostępnił załącznik z listą adresów oraz przypisaną każdemu adresowi liczbą zameldowanych pod nim osób.

Mieszkańcy Ostrowa obawiają się, że:

złodziej może wykorzystać ostatnio popularne StreetView, obejrzeć, który dom go interesuje, sprawdzi ile osób w nim jest zameldowanych i poprzez obserwację od rana zobaczy czy wszyscy opuścili dom, po czym może dokonać włamania.

Naszym zdaniem i bez danych na temat zameldowanych osób pod konkretnym adresem można określić, czy ktoś przebywa, czy nie w konkretnym mieszkaniu (warto też pamiętać, że dziś informacje meldunkowe nie są zbyt aktualne…).


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

14 komentarzy

Dodaj komentarz
  1. “Naszym zdaniem i bez danych na temat zameldowanych osób pod konkretnym adresem można określić, czy ktoś przebywa, czy nie w konkretnym mieszkaniu (warto też pamiętać, że dziś informacje meldunkowe nie są zbyt aktualne…).”

    Cytat z Ostrowa ma nieco inny sens.

  2. Ostrów źle postąpił. Wystarczyło przecież podać w przetargu rejony i dane dla każdego rejonu i ilość mieszkanców, np. rejon 1, 15 budynków wielorodzinnych, 2 budynki jednorodzinne, ilość mieszkanców 500.

    • Ale do tego trzeba mieć specyficzny tok rozumowania i szukać wszędzie zagrożeń. Większość osób nie tylko nie ma tego toku, ale też przedstawiane zagrożenia bagatelizuje i odrzuca.

    • Przecież podali tylko numer domu, a nie mieszkania. Cóż Ci po informacji, że w jakimś bloku jest 78, a nie 83 osoby? A wolno stojące łatwo sobie obejrzeć z każdej strony, więc zorientowanie się czy ktoś jest w domu nie jest mega trudne.

      Poza tym, jeśli już ktoś uważał, że to dobry sposób na włamanie, to nie powinien dzielić się tym pomysłem publicznie. To tak jakby znaleźć błąd w swojej ulubionej przeglądarce i szczegółowo opisać kroki do włamania się na facebooku… Wbrew pozorom nie wszyscy są szczególnie inteligentni i lepiej im nie pomagać ;-).

  3. takie info trafi do wszystkich uczestników huntu:

    Witamy serdecznie,

    Uprzejmie prosimy o sprawdzenie, czy dane Państwa konta oraz dane adresu dostawy dla Państwa zamówienia z akcji iBOOD HUNT są poprawne. W razie jakichkolwiek wątpliwości prosimy o kontakt.

  4. Coraz częściej mam wrażenie, że urzędnik = baran.

    • A ja nie mam takiego wrażenia …
      W ostatnim czasie mając do załatwienia sporo tzw. urzędowych spraw jestem na 100 % PRZEKONANY ,że jest to niestety regułą :(
      Znaleźć w urzędzie (jakimkolwiek) kompetentnego urzędnika to jak znaleźć igłę w stogu siana…

  5. “Naszym zdaniem i bez danych na temat zameldowanych osób pod konkretnym adresem można określić, czy ktoś przebywa, czy nie w konkretnym mieszkaniu (warto też pamiętać, że dziś informacje meldunkowe nie są zbyt aktualne…).”

    ale tu bardziej chodzi o ilość osób zgłoszonych jako zamieszkujące a nie zameldowane.. a o to administracja dba i pilnuje by im się zgadzała liczba mieszkańców z ilością zgłoszonych (więcej osób zgłoszonych większe opłaty w administracji za wywóz śmieci itp….).

  6. iBood już tę dziurę załatał. Nie można już zobaczyć zamówień, które nie należą do Ciebie.

  7. No iBood ładnie narobił, a to wszystko przez Marcina ;D, który na forum podzielił się linkiem i odziwo wszyscy widzieli jego dane ;0.

  8. Takie informacje od dawna można kupić, niech portal http://bazy.hoga.pl/pesel.asp posłuży za przykład. Ciekawie tylko ile osób faktycznie mieszka tam gdzie są zameldowani. Obawiam się, że ten chory system meldunkowy z czasów stalinowskiej paszportyzacji obecnie ma niewielkie pokrycie z rzeczywistością.

    • Trochę mnie zastanawia w jaki sposób ktoś wszedł w posiadanie bazy PESEL i za bardzo z tym się nie kryje

  9. źródło: http://pl-pl.forum.ibood.com/32918-odkurzacz_bezworkowy_dirt_devil_infinity_vs8_loop_carbon_m_5038-1_ze_szczotka_turbo_i_do_parkietu/comment-page-2/#comments

    W ciągu ostatnich dwóch dni iBOOD stał się ofiarą ataku ludzi, którzy starali się ukraść zakupy naszych klientów. Te osoby znalazły sposób aby zażądać zmiany adresu dostawy towaru zamówionego przez klientów sklepu iBOOD. W związku z powyższym Dział Obsługi iBOOD zignorował wszystkie żądania zmiany adresu.

    Wszystkie zamówienia nadal będą dostarczane do naszych klientów, a żadna z prób zmiany adresu, a tym samym wyłudzenia towaru nie została zaakceptowana przez Dział Obsługi Klienta.
    Jak tylko iBOOD został powiadomiony przez swoich bystrych i czujnych użytkowników zareagowaliśmy natychmiast. Już o godzinie 10:22 dzisiejszego poranka problem został rozwiązany.

    Po pomyślnym rozwikłaniu problemu nasz zespół IT zbadał sprawę i doszedł do wniosku, że mała liczba zamówień w niektórych szczegółach została naruszona. Chcemy podkreślić iż wszystkie te zamówienia będą wysyłane bez żadnych konsekwencji dla klienta po wcześniejszym sprawdzeniu każdego zamówienia.
    Przyczyną zaistniałej sytuacji na naszej stronie był błąd, który pozwalał na przeglądanie danych zamówienia z zewnątrz bez odpowiedniej kontroli dostępu. Błąd ten pojawił się w czasie jednej z najnowszych aktualizacji na stronie internetowej iBOOD. Jest nam niezmiernie przykro w związku z powyższą sytuacją i tym samym przepraszamy za wszystkie utrudnienia i niedogodności.

    iBOOD zmienił swoje wewnętrzne procedury, aby upewnić się, że tego rodzaju oszustwom można zapobiec w przyszłości. Wszystkie otrzymane dane złodziei będą niezwłocznie przekazywane policji.
    iBOOD pragnie podziękować wszystkim swoim użytkownikom za czujność, wsparcie i chęć do pomocy w rozwiązaniu tego problemu!

    Zespół iBOOD Polska

  10. […] na enumerację parametru i pozyskiwanie danych klientów opisywaliśmy już w kontekście iBOOD.pl, serwisu telefonów Regenersis — a nad samą enumarcją i ochroną przed nią zastanawialiśy […]

Odpowiadasz na komentarz gryf

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: