19:48
20/3/2019

Takim newsem dziś przed południem w serwisie Radia Kraków pochwalił się jeden z dziennikarzy, Paweł Sołtysik. Dziennikarz informował, że po zalogowaniu się na konto w usłudze InPostu “można było podejrzeć dane 7 400 000 paczek”, w tym również “adresy osób, korzystających z usług firmy [Inpost, czyli operatora Paczkomatów]”.

Radio Kraków opublikowało m.in. poniższe zdjęcie ekranu.

Źródło: Radio Kraków, fot. Paweł Sołtysik

Niestety, choć dziennikarz utrwalił wszystko na nagraniu video, to opis incydentu podany przez Radio Kraków nie jest zbyt dokładny. Czytamy w nim, że…

Po zalogowaniu reporter Radia Kraków mógł obserwować kolejne zlecenia rejestrowane w systemie, które przybywały co kilka sekund.


Dziennikarz twierdził, że przy każdej osobie z listy widniał jej numer telefonu, adres zamieszkania, mail, a nawet dokładny adres nadawcy i odbiorcy paczki.

Ale artykuł w serwisie Radia Kraków chyba nie był zbyt precyzyjny, bo obecnie pojawiło się pod nim sprostowanie i przeprosiny o następującej treści:

Te przeprosiny budzą jeszcze więcej pytań. Obstawiamy, że Radio przeprosinami odcina się od “udokumentowania” czyli pobrania danych. To jednak wcale nie musi oznaczać, że dziennikarz takiej możliwości nie miał. Pytanie jak oszacował liczbę 7 400 000 paczek (przeliczenie po “paginacji”, analiza numerów paczek?). Zapytaliśmy o to Radio Kraków i jak otrzymamy odpowiedź, zaktualizujemy nasz artykuł.

InPost: wyciek dotyczył 0,04% użytkowników

Przedstawiciel firmy Piotr Gogoł, Starszy Specjalista ds. Ochrony Danych, przesłał do naszej redakcji oświadczenie jeszcze zanim zdążyliśmy o sprawę spytać. Oświadczenie otrzymaliśmy wczoraj, czyli w ogóle zanim cały incydent został ujawniony przez Radio Kraków.

Szanowna Redakcjo Niebezpiecznika.

W imieniu Grupy Kapitałowej Integer.pl chciałbym poinformować, iż w dniu 18.03.2019 roku po wgraniu poprawki do aplikacji Manager Paczek (https://manager.paczkomaty.pl) został zidentyfikowany incydent związany z wyświetlaniem informacji dotyczących przesyłek, które nie zostały nadane przez aktualnie zalogowanego użytkownika.

Incydent dotyczył 0.04% użytkowników ściśle przez nas zidentyfikowanych i był krótkotrwały. Prezentowane dane obejmowały zakres jaki podali nadawcy w serwisie.

Odpowiednie działania zostały niezwłocznie podjęte przez zespoły IT polegające w pierwszej kolejności na uniemożliwieniu wykorzystania znalezionego błędu.

Niezwłocznie wprowadzono również rozwiązanie, które uniemożliwia dostęp do informacji o przesyłkach innych użytkowników. Zgodnie z wprowadzoną polityką bezpieczeństwa danych osobowych grupy Integer.pl zgłoszono incydent do Urzędu Ochrony Danych Osobowych.

Jeżeli istnieje taka możliwość to bardzo prosimy o umieszczenie takiej informacji w Państwa serwisie.

Co ciekawe, nie dostaliśmy w tej sprawie tego incydentu żadnych wiadomości od naszych Czytelników. A przecież jest was dużo, macie niezły refleks i jesteście bardzo wyczuleni na takie sytuacje. Skoro nikt nie dał nam znać, to faktycznie może to oznaczać, że do danych paczek innych użytkowników dostęp uzyskała tylko niewielka grupa użytkowników Paczkomatów.

Kwestią otwartą pozostaje, czy te 0,04% użytkowników miało — podobnie jak dziennikarz Radia Kraków — dostęp do informacji o 7 400 000 paczek (w tym danych ich nadawców), czy do mniejszej liczby cudzych paczek? Jeśli jesteście w grupie 0,04% osób, które widziały w poniedziałek w systemie Paczkomatów więcej niż powinniście, to dajcie nam znać.

Cóż… tym razem chyba InPostowi się upiekło, choć miewał znacznie gorsze problemy.  Z kronikarskiego obowiązku wspomnijmy, że ujawnianie danych klientów zdarzało się innym firmom kurierskim, np. DPD albo DHL-owi (w tym drugim przypadku do spółki z firmą Lego). Ale chyba długo nic nie przebije Poczty Polskiej, która przez długi czas umożliwiała przejmowanie cudzej korespondencji.

Przeczytaj także:



31 komentarzy

Dodaj komentarz
  1. co dnia zamawiam paczki, co dnia zerkam na panel inpostu – niczego takiego nie zaobserwowałem..

  2. Wczoraj osbieralem 3 paczki w godzinach 16 i przed 20 nie mozna bylo na stronie inpostu wygenerowac kodu qr byl blad strony 530.

    • Część szablonów notyfikacji kożysta z API Google do generowania QR. W tym dniu nawaliło Google, ich API przestało działać

    • API Google do generowania kodów QR zostało wyłączone! Było od 2012 roku w stanie deprecated i informacją o wyłączeniu w dniu 14 marca 2019.

  3. Hmm już się trochę pogubiłem z RODO … czy InPost ma obowiązek poinformowania użytkowników, których dane były widoczne dla osób postronnych?

    • Tylko jeśli ryzyko naruszenia praw i wolności osób której dane dotyczą jest wysokie. Tutaj najpewniej uznano, że jest średnie. Brak takich danych jak PESEL czy numer dokumentu zmniejsza ryzyko.

    • prosze cie, adres email to nie dane osobowe

  4. Mam umowę z Inpost i codziennie wysyłam paczki co prawda zaszokowany byłem ta informacja ale wydaje mi się że to jest prawda co pisza bo nie mialem dostępu do innych paczek niż swoje. A też jestem uczulony na takie rzeczy.

  5. pan Paweł zapewne został przypadkowo oznaczony jako funkcjonariusz organów ścigania

  6. Mama nadzieję, że poinformują osoby, których dane wyciekły. Nawet, jeżeli miałoby to być kilkaset tysięcy lub kilka milionów użytkowników i adresatów, bo zakładam, że dane się powtarzały.

    • o czym mają informować, że ktoś potencjalnie mógł zobaczyć jakki mają adres meilowy? Uderza chyba tylko w osoby o obciachowym meilu, że ktoś sobie pomysli co za debil taki sobie nick wymyślił

  7. Po 20tej nadal linki z kodami qr wysylane smsem nie działały.

  8. Mimo wszystko lepszej i tak błyskawicznej dostawybni nie ma na rynku…

    • zgadzam się z tobą, sama jestem fanką paczkomatów nikt by mnie chyba teraz nie zmusił, żebym za pośrednictwem poczty wysyłała paczki i tak z wystarczającą krwawicą stoję w kolejce później przy okienku żeby nadać czasami jakiś list polecony…

  9. Jeżeli inpost pisze “Wyciek dotyczył 0.04% danych” to pewnie dlatego, że mówi na jaki procent danych dziennikarz spojrzał a nie do jakiego miał dostęp.
    Moja teza jest taka, że dziennikarz miał dostęp do 100% danych ale spojrzał tylko na 0.04% w związku z czym inpost zakomunikował “wyciek dotyczył 0.04% danych” (nie mówię, że słusznie).

    • Widzę fana spiskowych teorii. Inpost poinformował wcześniej o problemie niż Radio Kraków, ile dokładnie to 0.04% ale tego się nie dowiemy bo już usterka naprawiona :(

    • Mam podobną hiopotezę, natomiast przypuszczam, że 0,04% użytkowników oznacza ilość osób, które miały dostęp do pełnego zakresu danych, czyli 7.4 mln. Kiedy zidentyfikowali problem, oczywiście niczego nie poprawiali, tylko zrobili rollback. Innymi słowy w czasie, gdy wystąpił problem, z systemu łącznie korzystało 0.04% użytkowników, pewnie odnosząc się do wszytkich zarejestrowanych, żeby procentową reprezentację uczynić jak najnizszą.
      Ale to tylko spekulacje.

    • 0.04% to liczba klientów, których dane wyciekły. Dostęp do tych danych miało zdecydowanie mniej osób.

  10. Jeśli dobrze zrozumiałem, to inpost poinformował Was dzień wcześniej niż radio Kraków opublikowało te “rewelacje”. To chyba plus dla nich, chociaż nie powinno się chwalić takiego zachowania, bo powinien to być standard w takim przypadku. Czy kiedykolwiek firmie wyszło na plus chowanie głowy w piasek w związku z “wyciekiem” danych? Popatrzcie jak długo Morele utrzymywało informację że dane ich klientów są bezpieczne. Sami z dnia na dzień pracowali na czarny PR. Nie zmienia to faktu, że inpost miał jak to nazwali “incydent” i dane mogły zostać skopiowane przez klienta mieszczącego się w 0,04% ;-)

    Na plus chyba tylko zasługuje szybka reakcja i “uporanie” się z tą luką.

  11. A, to może też dlatego koło połudia 19.03 nie pokazywał kodów QR?

  12. Inpost miał już kłopoty z obsługą sieci w dniu 12.03.2019 rano. Moja paczka leżała w jednym z oddziałów do 14.03.2019. Telefonowałem do Inpostu z pytaniem o przyczynę takiego stanu rzeczy,jednak uzyskiwałem jedynie pokrętne odpowiedzi,w efekcie nie uzyskałem żadnej informacji. Ponadto Inpost nie udostępnia możliwości zatelefonowania do oddziału w terenie co uważam za duży błąd. Aby cokolwiek wyjaśnić musiałem jechać do oddziału kilkanaście km.Dodam,że nikt nawet się nie zająknął aby powiedzieć chociaż jedni słowo “przepraszam”,tak w Krakowie jak i w oddziale miejscowym.

    • Dlaczego nie skorzystałeś z opcji śledzenia swojej paczki? Po co sobie utrudniać?

    • Po przeczytaniu twojej historii obawiam sie że problem mogł lezeć po stronie twoich umiejętnosci komunikacyjnych i przetwarzania informacji odbieranych

  13. “wyciek dotyczył 0,04% użytkowników”
    Nie rozumiem – czy wyciekły dane 0.04% użytkowników, czy dla 0.04% użytkowników były widoczne inne paczki? InPost dość nieprecyzyjnie to ujął

  14. Do nadania paczki na paczkomat inpost ktoś potrzebuje mojego adresu emeil i nr telefonu imienia i nazwiska nie adresu zamieszkania. Więc tu coś jest nie tak już z tym komunikatem.

  15. Ach jaki wspaniały komunikat. Problem dotyczy 0,04% klientów a dane ujawnione to te wprowadzone przez klienta. Ściśle i na temat, ale przypadkiem żeby nikt się nie dowiedział ile tego u jakie dane. Nie tak wygląda rzetelność w zakresie informacji o incydencie, które mają określić jego istotność.
    Czy w systemie są dane które nie zostały wprowadzone przez klienta i odbiorcy a są ich danymi osobowymi? Gdzie link do strony gdzie jest pełna informacja? I te ulubione procenty. To zupełnie jak z Google w zakresie Androida i malware. Gazety: miliony zainfekowanych aplikacji w sklepie, Google- problem dotyczy 0,01% aplikacji. Co wygląda lepiej marketingowo? Obie informacje są krytyczne do oceny incydentu. Chyba że klient to tylko numer w bazie.
    Może dobrym pomysłem jest użycie usług monitorowania aplikacji webowych i mobilnych przez firmy które automatami weryfikują dostępność i funkcjonalność biznesową aplikacji. Albo prościej, monitorowanie jak dużo (kB) informacji wraca z serwera do klienta, jeśli pojawią się anomalia dla danego konta to zarówno procedury antyfraudowe jak i kontrole zabezpieczeń powinny wejść na scenę.
    Tak tylko się czepiam.

  16. Miał być news na pierwsze strony , a wyszła klasycznie rozdmuchana afera.

    • w pierwszym momencie jak sie dowiedzialam o wycieku danych a akurat czekalam na swoja paczke wiec mogly to byc moje dane- scenariusze w mojej glowie zaczely sie klebic, od razu zaczelam czytac o sprawie i to jest pierwszy artykul gdzie podaja nazwisko tego gagatka przez ktorego czlowiek prawie paranoi sie nabawil a po drugie zaktualizowane informacje i w miare wyjasniony problem. wiecie ze na wiekszosci stron nawet sie nie pokwapili sprostowac poglosek? kpina

  17. A na sprzedawanie danych przymyka się oko…

  18. Więcej danych sami podajemy na porządku dziennym na facebookach i innych

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: