10:13
19/3/2018

W połowie ubiegłego roku pisaliśmy, że użytkownicy Play24 mieli dostęp do danych i bilingów osób, które “odziedziczyły” ich stary numer. Wygląda na to, że problem istniał dłużej niż sądziliśmy i nie został całkowicie wyeliminowany w czerwcu zeszłego roku — wciąż zgłaszają się do nas osoby z tym problemem. Co więcej, przynajmniej jeden z Czytelników widział na swoim koncie Play24 dane posiadacza zupełnie nieznanego mu numeru.

“Play24 pokazuje mi dane innych klientów”

W czerwcu 2017 r. pisaliśmy że użytkownicy Play24 mogą widzieć swoje “stare” numery, w tym dane osobowe w fakturach a także — co zdarzyło się jednemu z naszych czytelników — listę nagrań połączeń na infolinie (!) klientów banków Alior i Nest. Play przystąpił do napraw, ale wtedy pojawił się nowy problem — konta w Play24 zaczęły całkowicie znikać.

Potem wszystko jakby wróciło do normy, ale po pewnym czasie znów odezwało się do nas kilka osób z dodatkowymi spostrzeżeniami co do funkcjonowania Play24 (w tym, co ciekawe, pracownicy Play, którzy zdradzili nam kilka szczegółów technicznych dotyczących systemów wykorzystywanych przez tego operatora). Poniżej zdajemy relację z tego, czego dowiedzieliśmy się nieoficjalnie (i tego, co oficjalnie potwierdziliśmy).

Pracownik Play: działamy na zlepce różnych aplikacji

Zacznijmy od doniesień od “źródeł”, którymi byli pracownicy Play, znający dobrze procesy obsługi klienta. Te osoby podawały nam nazwy rozwiązań, z jakich korzysta Play i pokazywały nam różne ciekawostki “z pracy”, jak np. ten zrzut z ekranu, przesyłany pomiędzy pracownikami:

Ot, ciekawostka na temat klienta…

Nie widzimy w tego typu “żartach” wielkiego skandalu (ludzie robią różne rzeczy w pracy i w domu), natomiast na podstawie informacji, które zostały nam przekazane, mieliśmy powody by wierzyć, że kontaktujące się z nami osoby naprawdę były związane z Play. Co te osoby mówiły?

Jeden z informatorów stwierdził, że wadą systemu Play jest… brak systemu. Według informatora Play rzekomo działa na “zlepce różnych aplikacji“, które nie zawsze dobrze współgrają. Dodatkowym problemem było robienie poprawek na serwerze produkcyjnym, co podobno stanowiło niemały problem dla pracowników salonów.

Znajdowało to częściowe potwierdzenie w relacji innego informatora, który tak skomentował problemy z wyświetlaniem danych osobowych w Play24.

W normalnych przypadkach po odłączeniu numeru od konta (billingowego w Play) jakiegoś numeru telefonu (np. cesja) numer ten przestaje mieć dostęp do Play24 i też tego numeru nie widać już Play24. Ale “gdzieś w systemie” te informacje dalej siedzą, bo gdy chce się taki numer dopisać do nowego konta Play24 (np. po tej cesji) użytkownikowi pojawia się błąd z informacją w stylu “podany numer już przypisany do innego konta Play24” i taki klient musi skontaktować się z BOK aby “zresetowali konto Play24” (czyli żeby odpięli tak numer od starego konta Play24). Ten problem jednak nie występuje zawsze – ja szacuję na 10% może? Podejrzewam problem z synchronizacją danych (o Play24) pewnie w związku z jakąś aktualizacją.

Na moim koncie Play24 (…) mam [tutaj liczba] numerów, ale gdy mam zarządzać kontem (np. dodać nowy numer do konta Play24) widocznych jest jedynie [tu mniejsza liczba] – tak jakby system wyświetlał dane z dwóch różnych źródeł. Oczywiście tych brakujących numerów nie da się dodać, bo pojawia się komunikat, że numer jest już dodany do konta.

Spytaliśmy o to rzecznika Play Marcina Gruszkę. Nie odniósł się do pytań zaznaczając, że rozmowa o infrastrukturze nie byłaby wykluczona, ale musiałaby mieć charakter poufny. Nie możemy Wam zatem potwierdzić ani zaprzeczyć, że nasi informatorzy powiedzieli prawdę. Możemy tylko powiedzieć, że takie rzeczy do nas dotarły. Tu warto zaznaczyć, że ponieważ ten artykuł opisuje zgłoszenia dotyczące Playa, jakie spłynęły na adres redakcji przez ostatnie pół roku, coś od tego czasu mogło się już u operatora zmienić.

Play naprawia błędy

Marcin Gruszka odpowiedział nam na inne, niemniej istotne pytania. Przede wszystkim czy ciągle trwa poszukiwanie błędu odpowiedzialnego za wyświetlanie danych niepowołanym osobom? To pytanie zadaliśmy rzecznikowi Play jeszcze w czerwcu 2017 roku i dostaliśmy taką odpowiedź:

Zgłoszone dotychczas przypadki zostały rozpoznane. Zidentyfikowaliśmy dwa mechanizmy, które w specyficznych przypadkach powodują możliwość wystąpienia błędu. Obecnie oba są monitorowane, żeby możliwie szybko zareagować na wystąpienie któregokolwiek z nich oraz trwają prace związane z ich przebudową – docelowe rozwiązanie eliminujące znalezione luki.

Dodatkowo mamy zaimplementowany ogólny proces obsługi tego typu zgłoszeń, który wygląda następująco:

– powody podpięcia niewłaściwego numery do Play24 danego klienta, są analizowane na podstawie danego zgłoszenia lub alarmu zgłoszonego przez procesy monitorujące;
– ustalenie określonego powodu (wynik analizy) wymusza wyszukanie innych tego typu przypadków i ich naprawienie.

W przypadku błędów, które są spowodowane pomyłkami pracowników wykonujących swoje obowiązki służbowe:

– w oparciu o wyciągnięte wnioski, optymalizujemy procesy oraz narzędzia i wdrażamy kolejne zabezpieczenia, mające na celu zminimalizowanie możliwości wystąpienia jak i skutków danej pomyłki,
– przeprowadzamy dodatkowe szkolenia z obsługi danego procesu, narzędzia oraz ochrony danych osobowy i Prawa Telekomunikacyjnego dla osób obsługujących dany proces.

Spytaliśmy jeszcze, czy Play będzie informował klientów o fakcie ujawnienia ich danych. Marcin Gruszka odpowiedział, że tak. Co więcej, o fakcie i skali problemu poinformowane będzie biuro GIODO, ale — jak powiedział Marcin Gruszka — “są to pojedyncze przypadki, a nie masowy problem“.

Jeśli ktoś jest ciekawy w jaki sposób odbywa się powiadomienie o ujawnieniu danych to wygląda ono tak:

Tak Play powiadamia o udostępnieniu danych osobie nieupoważnionej, fot. Gufi1315 na Wykopie

Co prawda to powiadomienie chyba nie dotyczyło Play24 (chodzi o jakiś błąd pracownika przy zawieraniu umowy), ale to dobry przykład jak działają tego typu procedury.

Dziura od 2009 roku…

Z docierających do nas informacji na temat problemów z Playem interesująca była jeszcze jedna. Sądziliśmy, że ujawnianie danych w Play24 mogło być w miarę świeżym problemem, ale najwyraźniej zdarzało się to od dawna. Tutaj przytoczymy e-mail jednego z Czytelników.

W roku 2007 zarejestrowałem profil w w/w serwisie, dodając numer na kartę, którego używałem tylko przez kilka miesięcy. Po dwóch latach przeniosłem do Play swój “podstawowy” numer, więc zalogowałem się do serwisu ponownie. Zdziwiło mnie, że nadal przypięty jest do niego stary, dawno nieaktywny już numer. Okazało się jednak, że numer jest aktywny ale ma już innego właściciela, a ja jestem w stanie sprawdzać jego dane, przeglądać billingi itd. (…)
Swoją drogą sądziłem, że ten problem został lata temu usunięty, ale po przeczytaniu Państwa artykułu włos mi się zjeżył na głowie.

Z tego e-maila wynika, że problem był obserwowany już w 2009 roku. Paradoksalnie może to potwierdzać słowa rzecznika Play, który mówił, że takich przypadków nie było zbyt dużo. Trudno byłoby nie zauważyć masowego zjawiska przez tyle lat, więc “pojedyncze przypadki” mogły się długo zbierać.

…do 2018?

Niestety problem mógł istnieć dalej, nawet po naszej publikacji i rzekomym wyeliminowaniu go przez Play. We wrześniu 2017 roku znów zgłosiła się do nas kolejna osoba, która zobaczyła w Play24 swój stary numer. Pytaliśmy operatora o sprawę, ale odpowiedzi nie dostaliśmy.  W lutym 2018 roku, czyli całkiem niedawno, zgłosił się do nas człowiek mający w Play24 dostęp do numerów w ogóle mu nieznanych. Znów spytaliśmy Play o tę sprawę. Krzysztof Sylwerski z Play odpowiedział nam, choć dopiero 6 marca.

Sprawa była nam znana już wcześniej, nawet przed Pana wiadomością.
Abonent, którego dane zostały ujawnione został poinformowany o wystąpieniu naruszenia pismem z dnia 16.02.2018 r. Tego samego dnia numer został też usunięty z konta Play24 poprzedniego właściciela (osoby zgłaszającej zdarzenie). Wysłaliśmy również zawiadomienie do GIODO w dniu 19.02.2018 r.
Sytuacja była na tyle nietypowa, gdyż został spełniony szereg bardzo specyficznych warunków. Udało nam się już naprawić proces w ten sposób, by podobna sytuacja nie miała miejsca w przyszłości.

Nie wiemy jaki problem (tj. szereg bardzo specyficznych warunków) miał miejsce w Play i rozumiemy, że operator ma powody by nie ujawniać szczegółów. Niemniej z zewnątrz wygląda to tak, jakby błąd był usuwany stopniowo, albo jakby istniało kilka różnych błędów, które trzeba było wykryć i usunąć.

Mam telefon w Play, co robić, jak żyć?

Jeśli jesteście abonentami Play i to martwi Was (słusznie!) że jedni abonenci niekiedy widzą dane innych abonentów, to sprawdźcie co widzicie w swoim koncie Play24 i zgłaszajcie nam wszelkie nieścisłości. To działanie co prawda nie da Wam 100% pewności, że ktoś nie widzi Waszych danych, ale możecie pomóc usunąć dane innych z miejsca, w którym nie powinno ich być.

Ta historia trwających od 8 lat błędów w Play świetnie pokazuje, dlaczego wymuszenie rejestrowania kart SIM może być problematyczne. Nawet jeśli karta SIM przestaje być aktywna, dane osobowe związane z danym numerem w przeszłości wciąż mogą znajdować się w systemie operatora. Dlatego jeśli chcecie dbać o swoje dane osobowe, sugerujemy nie zmieniać numerów jak rękawiczek, albo …kupować karty SIM zarejestrowane da cudze dane osobowe (o dziwo, takie obejście ustawy antyterrorystycznej jest legalne i możliwe).

Tylko pamiętajcie, aby nie korzystać z takich kart SIM jako numeru kontaktowego do swojego banku. Czym to grozi, opisywaliśmy w artykule Jak przestępcy przekierowali mu telefon i okradli konto w banku.

PS. Ataków, które są możliwe dzięki znajomości cudzego numeru telefonu lub danych osobowych, na jakie ten numer telefonu jest zarejestrowany jest więcej. O kilku z nich będziemy opowiadać za tydzień, w poniedziałek, podczas naszego wykładu “Jak nie dać się zhackować“, który odbędzie się we Wrocławiu. Jest jeszcze kilka wolnych miejsc, więc zapraszamy do rejestracji!

Przeczytaj także:

25 komentarzy

Dodaj komentarz
  1. Problem podpiętych numerów do konta istnieje od czasów kiedy Play nazywało sie “Projekt4” lub “P4” (dawno to było i nie chce mi się szukać umowy testera ) czyli od samego ich początku.
    Jako tester miałem u nich podpięty numer do konta zarejestrowanego na adres email, po testach stwierdziłem że oferta dla testerów jako kontynuacja jest żartem i zrezygnowałem z usług.
    Telefon i SIM oddałem i wydawało się że na tym moja przygoda się skończy.
    Po 3 Latach wróciłem do Play migrując numer z Ery.
    I co się okazało :
    – moje konto podpięte do maila nadal istnieje
    – na moim koncie nadal jest widoczny numer testera
    – mogę spokojnie przeglądać wszystkie dane dotyczące tego numeru
    Na tą chwilę nie wiem jak to wygląda bo po dość burzliwych 2 latach z Play stwierdziłem że cena ceną, ale i tak sposób obsługi w BOK jest ważniejszy od ceny.

  2. Ok. 2 tygodnie temu odłączono mi jeden numer, którymi zarządzam w Play24. Działo się już tak w przeszłości, musiałem wtedy ponownie podłączać ten numer – wysyłać SMS,y aktywacyjne.

  3. Do poprawy: ‘W połowie ubiegłego’

  4. Ja widzę że na zmianę przewijają się głównie te same firmy – Play i mBank. Co z nimi nie tak?

  5. ERP play praktycznie leży. Przy zakładaniu nowego konta razem z pracownikiem czekaliśmy 20min, bo w systemie wyskakiwała ikonka pioruna razem z logami błędów zapytań do bazy i tak po 150 próbach wysłania zapytania udało sie. Odnosząc sie do wątku nie dziwi mnie fakt, ze są luki jak działają na gotowych systemach, które są tylko przystosowywane do ich działan. Póki nie zrobią własnego systemu obawiam sie, ze play w dalszym ciągu będzie miało problem z nowymi usługami i prawidłowym przystosowaniem systemu na ich potrzeby:

  6. Na szczęście nie korzystam. Dla mnie ten operator nie istnieje!

  7. A propos ostatnich akapitów, to jak to teraz jest:
    przed wymogiem rejestracji kart prepaid jeśli konto pozostało bez zasilenia przez dłuższy czas numer wygasał i przepadał.
    Czy ktoś wie jak to jest teraz skoro numer jest zarejestrowany na konkretną osobę, też może wygasnąć i przepaść?
    Szukałem odpowiedzi po necie, ale niestety bez rezultatu.

  8. Ładny bełkot w wykonaniu niedorzecznika, no ale taka praca.
    Jak dla mnie jest tylko jedno wyjście z sytuacji dla Play-a, mianowicie twardy reset wszystkich przypisań kart do kont i konieczność przypisania posiadanych numerów na nowo po zalogowaniu się. To jedyna opcja, jeśli mamy mówić o 100% pewności że się takie akcje nie powtórzą.

    • Jeżeli logika baz danych i/lub łączenia danych z różnych systemów leży, to takie odpięcie i przypięcie na nowo nic nie da. Ok. Starzy właściciele numerów nie będą już ich widzieć, ale jaka jest pewność że po takim przeniesieniu nowy właściciel numeru nie zobaczy operacji poprzednika? Albo jaka jest pewność, że wraz z kolejnym wygaszeniem numeru i sprzedaniem go kolejnej osobie zostanie on prawidłowo odpięty, a dane “stare” nie będą dostępne dla nowego użytkownika?

  9. najlepsze jest że dwuskładnikowa weryfikacja konta jest tylko na dostępna na telefonie z poziomu strony www wystarczy tylko hasło
    mamy numer migracja z plusa + net
    10 razy robiłem konto przy logowaniu z poziomu telefonu to zdarza się że nie wysyła kodu weryfikacji

    zamiast reklam z gwiazdami mogli skupić się na nowych systemie, ulepszyć zasięg polepszyć

  10. Putanie do redakcji. Jak play wysle mi takiego maila ze wyciekky dane to powinienem isc na pokicje i zawiadomic o przestepstwie i wskazac ze play ‘ujawnilo’ moje dane ? I zastrzec dowod ? Bo to sa dane jakie wystarcza zeby przez neta wziac kredyt…

  11. Wyciek za wyciekiem, ale nikt za to nie beka! Kara powinna być taka, że srali by po gaciach! Tylko ludzie muszą się bujać, dowody wymieniać, @, nry tel., a nie wszystko się da wymienić (adres, pesel, …) a odpowiedzi BOKów są żenujące.

    • Poczekamy do 25 maja. :)

  12. Jakiś czas temu przeniosłem numer z PLAY do innej sieci (z problemami, ale udany), odłączyli ten numer z play24, ale także drugi numer odłączyli i to już nie pierwszy raz gdzie numer znika z play24 bez żadnej mojej ingerencji. Za każdym razem tylko “proszę dzwonić na BOK” i numer dają, a tam 10 min rozmowy bo hasło, bo muszę udowodnić, że to mój numer, a kasa z konta leci…

    • Nie wiem jak w play, ale w orange rozmowy z BOKiem na prośbę odpisują od faktury (jeśli coś z ich winy, typu problem techniczny itp)

  13. Z cudownym PLAYem przechodziłem boje w pracy.
    Mieliśmy kilkadziesiąt numerów zarządzanych z jednego konta (administracyjnego). Co kilka miesięcy część numerów znikało. Samo z siebie. Standardowa procedura -> BOK.
    Pewnego razu tak nam “zresetowano numery”, że podzielili nasze konto na 3 subkonta.
    Od tego momentu, żeby sprawdzić numer xyz musiałem zalogować się po kolei na nowo utworzone konta, aby odszukać interesujący mnie numer!! CHORE!

    Podjęliśmy decyzje – cesja do normalnego operatora, bez modnych reklam. Zaczęły się kolejne problemy. Jednym z pierwszych numerów, które zostały przeniesione do nowego operatora był główny numer, z którego zarządzaliśmy pozostałymi numerami. W wyniku tego, straciliśmy dostęp do pozostałych, aktywnych numerów. KOMEDIA w drogim wydaniu.

    Play? NIE DZIĘKUJE, nawet za darmo tego dziadostwa nie chce.

  14. Taka ciekawostka.
    Hasla do kont w p24 sa przechowywane albo jako czysty tekst, albo w formie umozliwiajacej ich odszyfrowanie. I ma do nich dostep kazdy szeregowy pracownik salonu :/
    Skad to wiem? Bo ktoregos razu zalatwialem jakies papiery i pan z obslugi poprosil mnie o podanie hasla. Ja mu na to WTF, a on mi pokazuje monitor i mowi ze ma tu wyswietlone i musi zweryfikowac :D

  15. Nie dalej jak 3 miesiące temu miałem podobnie. Zakupiłem starter w kiosku za 5zł i przy próbie rejestracji widziałem czyjeś dane. panowie w salonie oczy w 5zł bo nigdy czegoś takiego nie widzieli ale zgłoszenie przyjęli. Jak Play to rozwiązał? Dali mi rabat do abonamentu 10zł (jednorazowo) abym poszedł kupić nową kartę

  16. odnośnie kupowania kart SIM na cudze dane, ciekawe jest że, w regulaminie allegro “zarejestrowane karty SIM” są na liście przedmiotów zakazanych w sprzedaży.
    oraz
    czy jeżeli poproszę panią w kiosku żeby mi zarejestrowała SIM na losowy PESEL to powinna sie zgodzić?

  17. Też miałem kiedyś całkowite zniknięcie konta w czasie abonamentu. Nawet utworzyłem nowe na ten sam email.

    Ostatnio zrobiłem cesję i… pobrało mi kasę z karty, którą płaciłem wcześniej na starym koncie (przed cesją) w p24. Logując się na stare konto nic nie można zrobić, nie wypniecie karty, nie sprawdzicie fv. Na nowym koncie po karcie nie ma śladu, faktury są tylko od głównego numeru, za to lista połączeń działa i można sprawdzać dla każdego przypisanego.

    Jak rezygnujecie/robicie cesje kończcie usługi dodatkowe, potem można je zmienić tylko dzwoniąc na info. Konsultanci dalej mają dostęp do starych kont.

  18. Ja ma mam z kolei do swojego konta w Play24 podpięty również nr mojego służbowego telefonu, czyli którego nie jestem właścicielem. I nie tylko mam dostęp do danych typu warunki umowy (która nie jest ze mną zawarta), ale mam również możliwość zarządzania usługami oraz przeglądania całej historii połączeń. Jedyne ograniczenie to brak dostępu do faktur. To oznacza, że jeśli tylko miałbym chwilowy dostęp do telefonu kogoś innego, żeby odczytać kod sms do potwierdzenia podpięcia numeru do konta w Play24, to mam dostęp do bardzo wielu danych.

  19. Wstydzilibyście się proponować tak mało etyczne rozwiązanie jak używanie kart sim zarejestrowanych na kogoś innego. To prostackie zalecenie.

  20. Play odłączyło mi numer od moich zarządzanych w Paly24 (ok. 3 tygodnie temu). Numeru co prawda nie używałem, ale miałem go na siebie zarejestrowany i jeszcze ważny (połączenia przychodzące). Dzisiaj chciałem dodać ten numer do moich innych w Play24 i nie mogłem. Za chwilę zacząłem na niego dzwonić z innego telefonu i automat poinformował mnie, że “wybrany numer nie istnieje”.
    Dziwna sprawa jak potrafią szybko zabierać numery – będę pytał w tej sprawie w salonie Play.

  21. Kupiłem numer w Plus na kartę. Numer ten wcześniej był w sieci Play, należał do jakiejś firmy, ponieważ dostawałem SMS-y o “opiekunie mojej firmy”. Prosiłem Play wielokrotnie o wykasowanie mojego numeru z ich bazy, bo nie życzę sobie żadnych wiadomości z ich sieci. Niestety, aby wykasować numer prosili mnie o hasło abonenckie. Tłumaczyłem, że nie jestem ich abonentem, tylko sieci Plus, więc na jakiej podstawie chcą takie hasło ode mnie? I tak przez kilka miesięcy. Plus odsyłał mnie do Play, bo to Play przysyła SMS-y, a Play chciał za wszelką cenę mnie “weryfikować” hasłem abonenckim. W końcu zrezygnowałem z tego numeru telefonu. Nikogo nic nie obchodzi. Taki kraj, nie dla zwykłych ludzi.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.