12:28
11/9/2018

Adresy osób korzystających ze zniżek w Ikei można było poznać podając w infokiosku imię, nazwisko, datę urodzenia i kod pocztowy. Problem został usunięty w tym samym dniu, w którym zgłosiliśmy to firmie.

Infokiosk ujawniał adres

Nasz Czytelnik – Wojciech – zwrócił nam uwagę na ciekawą cechę infokiosków w sklepach Ikea. Umożliwiają one m.in. wydrukowanie karty zniżkowej, a trzeba w tym celu podać nazwisko, datę urodzenia i kod pocztowy.

Po udanej weryfikacji na ekranie wyświetlał się adres zamieszkania klienta. Wojciech poinformował nas o tym bo odniósł wrażenie, że infokiosk nie powinien ujawniać dodatkowych danych po tak pobieżnej weryfikacji. Raczej nikt nie użyje infokiosku do masowego pobierania adresów, ale ta funkcja mogłaby być narzędziem stalkera lub innej osoby, która chce komuś zaszkodzić i robi rekonesans. W końcu imię i nazwisko oraz kod pocztowy i data urodzenia to nie są supertrudne do zdobycia informacje, a w przypadku niektórych osób — muszą być jawne i publicznie dostępne.

IKEA zrobiła co trzeba

Zwróciliśmy się w tej sprawie do IKEA. Powiemy szczerze, że nie liczyliśmy na natychmiastową i zdecydowaną reakcję. W podobnych przypadkach firmy zazwyczaj przekonują, że nic się nie stało i zmieniają zdanie dopiero po publikacji artykułu lub otrzymaniu wielu negatywnych komentarzy ze strony klientów.

IKEA nie czekała. Biuro prasowe od razu przekierowało nasze pytania do inspektora ochrony danych, pana Sebastiana Fabera. Wkrótce dostaliśmy od niego odpowiedź z zapowiedzią usunięcia problemu. Brawo!

Uprzejmie informuję, że opisana przez Pana funkcjonalność faktycznie znalazła się w naszych kioskach IKEA FAMILY. (…) Jak zauważyli Państwa czytelnicy, przed wydrukiem karty pojawia się dodatkowa plansza, która oprócz danych wprowadzonych przez klienta, zawiera również nazwę ulicy oraz numer domu i mieszkania, które zostały zarejestrowane w profilu klienta.

Zleciłem dostawcy interfejsu kiosków natychmiastowe usunięcie dodatkowych danych osobowych z wspomnianej planszy ze wszystkich stanowisk, co według zapewnień dostawcy, nastąpi najpóźniej dziś do końca dnia.

Analizujemy również okoliczności wszystkich przypadków pomyślnego skorzystania z wspomnianej ścieżki w ciągu ostatnich miesięcy, co będzie miało wpływ na dalsze postępowanie w tej sprawie.

To jest godne pochwały. Samo ujawnienie danych w infokiosku nie jest czymś niespotykanym. Po prostu programiści rozwiązujący problemy techniczne nie zawsze myślą o prywatności czy prawie ochrony danych, jednak taka szybka korekta problemu jest czymś rzadkim. I bardzo godnym pochwały, choć zakres “dodatkowo ujawnianych” danych nie był superkrytyczny (jak ktoś ma kod pocztowy, to prawdopodobnie i tak ma adres).

Wiele jest baz w Polsce, które pozwalają “zebrać” dane na Wasza temat

Infokioski robią różne problemy od lat. W lutym tego roku ostrzegaliśmy przed “dowcipnymi” fakturomatami z Castoramy. Przerabialiśmy też temat hackowanie czytników w Leroy Merlinkas samoobsługowych w Tesco oraz biletomatów we Wrocławiu (i nie tylko tam).

Ale nie tylko infokioski można potraktować jako otwarte bazy (zbiory danych), z które można wykorzystać do powiększania informacji (danych osobowych) na temat kogoś. Dysponując jedynie szczątkowymi informacjami na temat jakieś osoby w Polsce można odpytać około 300 publicznie dostępnych źródeł wiedzy (serwisów, baz, usług, zbiorów danych), które uzupełnią posiadane przez nas dane nowymi informacjami na temat “ofiary”. A te nowe informacje znowu (rekurencyjnie) można wykorzystać do zapytań w te same miejsca, aby pozyskać kolejne dane.

Po kilku godzinach takiego działania mamy już całkiem niezły obraz danej osoby, począwszy od jej danych osobowych, stanu majątku, informacji o rodzinie, adresach byłych i obecnych, wysokości wynagrodzenia, byłych pracodawców stanu majątkowego, samochodów, posiadanych nieruchomości jak i również niekiedy takich informacji jak wyników medycznych czy poglądów i opinii na temat różnych spraw. O części ze źródeł które w takim profilowaniu wykorzystujemy w ramach naszej pracy opowiadamy na wykładzie “Jak nie dać się zhackować” (niebawem będziemy w Warszawie, Krakowie, Gdańsku i Wrocławiu!) oraz w ramach szkolenia z Bezpieczeństwa Sieci Komputerowych, które zawiera moduły dotyczące tzw. rekonesansu (ang. OSINT), czyli białego wywiadu — zbierania informacji z publicznie dostępnych źródeł. Jeśli chcecie się pobawić w sieciowych detektywów i dowiedzieć się co zrobić aby zniknąć z pola widzenia stalkerów, to zapraszamy do udziału w naszych szkoleniach i prelekcjach :)

Przeczytaj także:

28 komentarzy

Dodaj komentarz
  1. Jeśli ktoś zna datę urodzenia i kod pocztowy danej osoby, jest całkiem prawdopodobne, że zna też cały adres zamieszkania. Ryzyko wycieku danych według mnie było znikome. Ale postawa działu bezpieczeństwa IKEA jak najbardziej profesjonalna i zasługująca na pochwałę.

    • No, ok… Ale czy osoby postronne muszą ten adres widzieć? Gratulacje dla Ikei za szybką reakcję :)

    • ten przypadek to raczej skrajna nadgorliwość, tak jak poprzednik napisał – znając tyle danych, co jeszcze chciałbyś wiedzieć? przecież nie ma tam danych medycznych, ani zdjęć czy numeru pesel…jak bym miał to niby wykorzystać poza chęcią uzyskania zniżki? i niby jak oni sprawdzą czy ktoś niepowołany użył tych danych? przecież nie zbierają zdjęć osób..

    • Datę urodzenia możesz dostać z fejsbuka (nawet jeżeli ktoś nie udostępnia tych informacji na profilu, to dzień ustalisz po postach “wszystkiego najlepszego!” a rok na podstawie dat urodzenia znajomych ze szkół/uczelni). Kod pocztowy możesz zgadnąć bazując na danych z fejsbuka (zdjęcia, zapisy w endomondo – nawet jeżeli ktoś specjalnie wyłączył logowanie kilometr od domu, to masz przynajmniej dzielnicę – to nie jest dużo możliwości, szczególnie gdy chodzi o obszary poza dużymi miastami, gdzie cała gmina ma kilka do kilkunastu kodów pocztowych – http://mapa-kodow-pocztowych.pl/).

      Mając imię, nazwisko i datę urodzenia można sprawdzić wszystkie możliwe kody pocztowe w danym mieście – postoisz przy kiosku dosyć długo, ale różnym stalkerom pewnie by to nie przeszkadzało.

    • Ok, ale problem dotyczy osób znanych. Wikipedia dostarczy wszystkich potrzebnych informacji, a kod można pobrać ze stron poczty polskiej. W taki sposób można szybko poznać dokładne adresy osób, które się zarejestrowały.

  2. “Po prostu programiści rozwiązujący problemy techniczne nie zawsze myślą o prywatności czy prawie ochrony danych”

    To żadne usprawiedliwienie. Nieznajomość prawa szkodzi.

    • Tego prawa do którego bez aplikacji typu LEX nie da się normalnie podejść? tego prawa gdzie w sądzie nie jesteś w stanie sam się bronić i potrzebujesz radcy prawnego lub adwokata? tego prawa co drukują hurtem na wiejskiej i w brukseli? słowo “nieznajomość prawa szkodzi” jest tak samo głupie jak “deus lex sed lex”, które usprawiedliwia każdy debilizm prawny wyprodukowany przez zły lub dobry rząd.

    • @ciastkowy
      W sądzie możesz się sam bronić. Kto Ci takich głupot naopowiadał? Anna Wesołowska?

    • @ciastkowy
      Raczej “dura lex…” (“twarde prawo” a nie “Bóg prawo”; “Boże prawo” byłoby jeszcze inaczej – “lex Dei”, albo “lex divini”)

    • dura lex sed lex, to zdecydowanie nie jest boskie prawo (-: No i używa się to w innych sytuacjach.

    • Niemniej ciastkowy ma dużo racji – obecnie “prawo” jest koszmarnie skomplikowane, bardzo często wewnętrznie sprzeczne, często niedostosowane do realiow dzisiejszego swiata (np. przepisy bhp dotyczace pracy przy komputerze, powstale w czasach monitorow CRT – czas pracy przy monitorze jest tam ograniczony ze wzgledu na emisje promieniowania X przez lampe katodowa, co w monitorach LCD oczywiscie nie ma miejsca).

    • @wjm > “co w monitorach LCD oczywiscie nie ma miejsca”

      Oczywiście, “marketowe” monitory stosowane dziś w większości biur kosztujące w zakupie 500-1500 PLN ryją wzrok o wiele bardziej od CRT, głównie jakością wyświetlanego obrazu.

    • @Monter
      ale przynajmniej nie emitują promieniowania X ;-)

    • @wjm

      raczej “lex divina” :)

    • @wjm > “przepisy bhp dotyczace pracy przy komputerze, powstale w czasach monitorow CRT”

      Tu nie chodzi tylko o CRT, a o pozycję siedzącą w ogóle, tj. długotrwałe siedzenie (bez przerwy) jest wybitnie szkodliwe dla zdrowia, a szczególnie stanu kręgosłupa.

    • > @wjm > “co w monitorach LCD oczywiscie nie ma miejsca”
      >
      > Oczywiście, “marketowe” monitory stosowane dziś w większości biur
      > kosztujące w zakupie 500-1500 PLN ryją wzrok o wiele bardziej od CRT,
      > głównie jakością wyświetlanego obrazu.

      Jakie zatem monitory LCD warto kupować, by nie ryły wzroku? Na jakie parametry zwrócić uwagę, by *maksymalnie* chronić oczy?

    • @Bohdan – listę polecanych monitorów znajdziesz tutaj: https://mva.pl/viewtopic.php?f=40&t=152

    • @Monter link który podałeś odnośnie monitorów w żaden sposób nie kategoryzuje ich ze względu na wpływ na wzrok. Piszesz bzdury.

  3. Ludzie często sami tworzą historie o sobie w internecie na portalach społecznościowych, potem wystarczy “wrzucić” czyjeś imię i nazwisko w wyszukiwarkę i możemy pisać czyjś życiorys. Dobrze, że Ikea zareagowała i zabezpieczyła dostępność informacji.

  4. Na moje oko łatka wyszła szybko bo też problem jest mega łatwy do rozwiązania. Ot, programista tylko zakomentuje kilka linijek lub usunie kontrolkę z danymi na ekranie.
    O ile dobrze kojarzę inne zgłaszane wycieki (nie mówię o ikei) są mocniej zakorzenione w wieloletnim kodzie i ciężej je wywalić bez chwili testów i naprawienia powstających być może w ten sposób potencjalnych miejsc gdzie kos może się wysypać.

    Niemniej błyskawiczna deklaracja o maksymalnie szybkim hotfiksie budzi szacun.

  5. Czy pod pocztowy pozwala na ustalenie adresu? Miasto Toruń – na całe miasto (a przynajmniej sporą jego część) jest ten sam kod pocztowy.

  6. W fakturomatach IKEA wystarczy podać NIP, żeby dostać dane osobowe osoby, która pod NIPem się kryje. Oczywiście, taka osoba musiała się zarejestrować jako Firma. Ale ponieważ nie ma innego sposobu, żeby fakturomat zapamiętał osobę fizyczną, to osoby fizyczne nieprowadzące działalności gospodarczej, które czasami biorą faktury w IKEA (np. na potrzeby najmu), rejestrują się w fakturomacie jako firma. Taka mała luka w fakturomatach IKEA. Zresztą, zgodnie z RODO, nawet dane firmy w których nazwa zawiera imię i nazwisko a adres jest jednocześnie miejsce zamieszkania, też powinny być chronione (przynajmniej hasłem) – w fakturomatach IKEA nie są.

    • > resztą, zgodnie z RODO, nawet dane firmy w których nazwa zawiera imię i nazwisko a adres jest jednocześnie miejsce zamieszkania, też powinny być chronione

      Czyli wyszukiwarka przedsiębiorców CEIDG jest niezgodna z prawem? Chronić publicznie dostępne dane? A to ciekawe rzeczy.

  7. Tak tylko wspomnę – IKEA, jako szwedzka firma, może niespecjalnie zdawać sobie sprawę, że te dane są “delikatne”. W Szwecji standardowo adres, rok urodzenia, kod pocztowy, numer telefonu i trochę innych danych jest ogólnodostępne, zbierane na swego rodzaju stronach-” książkach telefonicznych” (hitta, ratsit, eniro). Można do nich napisać, że nie życzymy sobie mieć naszych danych udostępnionych i usuwają, ale trzeba to właśnie zgłosić samemu.

    • Dokładnie tak. Jeszcze całkiem niedawno, można nawet było bez specjalnego wysiłku sprawdzić dochody dowolnej osoby. Wyobraźcie sobie co by było, jakby u nas można było sprawdzić ile zarabia ten złodziej somsiad :)

  8. Ikea faktycznie zwraca uwagę na tego typu kwestie. Kiedyś moja żona zwróciła im uwagę, że w jednym sklepie bankomat stoi w miejscu, w którym dostępna przestrzeń nie gwarantuje odrobiny prywatności… i faktycznie, przenieśli go w lepsze miejsce.

  9. Ile Ikea wam posmarowala za ten artykuł?

  10. Szkoda, że w przypadku osób fizycznych prowadzących działalność gospodarczą (których przypomnę zgodnie z GDPR należy traktować jak osoby fizyczne) wystarczy podać SAM NIP – aby mieć dostęp do pełnych danych… KIOSK do wystawiania Faktur.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.