12:06
23/11/2018

Strona MediaExpert.pl obecnie nie jest dostępna. Jeśli zastanawiacie się dlaczego, to mamy dla Was smutną informację. Powodem jest to, że jedni klienci widzieli dane innych klientów:

O 9:30 o sprawie poinformował na Adrian Piekarz. Dlaczego on? Bo to jego dane widziała większość odwiedzających stronę Media Expert ludzi klikających na zakładkę “Moje Konto” (wedle relacji — nie musieli się nawet logować).

Odwiedzający sklep Mediaexpert.pl mogli nie tylko podejrzeć historię zamówień Adriana, ale także jego dane osobowe:

W tej sprawie, poza klientami Media Expert, skontnaktował się z nami też sam Adrian:

(…) Zresetowałem hasło dokonałem zakupu i szczęśliwy oczekuje realizacji. W między czasie dzwoni telefon (numer nieznany) odbieram i rozmówca informuje mnie żebym zmienił hasło bo widzi moje dane i historie zamówień. Zmieniam szybko hasło. Po chwili kolejny telefon, tym razem inny numer ale temat ten sam. Ktoś widzi moje dane. Już wiem że coś jest nie tak.

Proszę kolegę żeby wszedł na stronę sklepu i kliknął “Moje konto”. Po kliknięciu strona w ogóle nie prosi o dane do lodowania tylko przenosi na stronę zamówień. Szybki telefon do Media Expert (oczywiście przez 5 min słucham melodyjki i oczekuje na swoja kolej) w międzyczasie dzwonią kolejne osoby z ostrzeżeniem. Pani z Media Expert była w szoku i po 10 minutach i potwierdzeniu że opisywana przeze mnie sytuacja jest prawdziwa prosi o cierpliwość i kończy rozmowę (obiecuje że oddzwonią).

W między czasie monitoruje co się dzieje na koncie i widzę jak kolejne osoby zamawiają sobie różne rzeczy i zmieniają też moje dane. (…) Każdy mial dostęp do moich danych (imię, nazwisko, adres, numer telefonu i historie zamówień). Dodatkowo mam też dane innych osób które wpisywały/zmieniały dane z zakładce Moje konto”.

Wyciekły też dane innych klientów. Ilu? Nie wiadomo…

Ale wyciekały także dane nie tylko Adriana. Inni Czytelnicy donieśli nam o widoczności danych innych klientów. Większość nie pamiętała ich nazwisk bo etycznie “wylogowali się” z cudzego konta. Ci, którzy podesłali nam screeny, wskazali osoby o poniższych imionach i nazwiskach:

Marek S.
Tomasz D.

Poszkodowanych jest jednak więcej. Ilu? Tego nie wiemy, a MediaExpert nie chce tego zdradzić (lub sam nie wie). Jeśli robiliście dziś zakupy w MediaExpert i widzieliście coś dziwnego, dajcie nam znać w komentarzach. Zwłaszcza jeśli widzieliście czyjeś dane osobowe.

Nie piszcie na Fanpage MediaExpert, bo tam moderatorzy MediaExpert kasują Wasze wpisy o nieprawidłowościach:

Co było powodem wpadki?

Wysłaliśmy w tej sprawie zapytanie do MediaExpert i czekamy na odpowiedź. Kiedy ją otrzymamy, zaktualizujemy ten artykuł.

Takie wpadki zdarzały się w przeszłości innym firmom. Porównaj: Użytkownicy Allegro logują się na nie swoje konta, Wstrzymajcie się z zakupami w sklepie Orange, oraz Wyciek danych klientów UPC, a także Google ujawniło dane klientów. Część z nich od strony technicznej analizujemy na naszym szkoleniu z Atakowania i Ochrony Webaplikacji (na które zostały ostatnie wolne miejsca w tym roku — lista terminów tutaj).

Zazwyczaj w takich przypadkach winny jest błąd po stronie modułów cache’ujących. Albo pokazują one wielu osobom tą samą (zcache’owaną) zawartość, albo kolejnej osobie pokazują dane “poprzedniej osoby”. Winę zazwyczaj ponosi albo pracownik, który źle skonfigurował dany moduł, albo manager, który nie potrafił odpowiednio przewidzieć ryzyka i wydaje zgodę na korzystanie z rozwiązań technicznych, których w pełni nie rozumie, przez co w sposób niekompetentny przeprowadza analizę ryzyka i nie wdraża wszystkich zabezpieczeń.

To co jednak różni wpadkę MediaExpert od tych wcześniejszych, to fakt, iż miała ona miejsce po wejściu w życie RODO. Za granicą pierwsze kary za naruszenia GDPR już zostały przyznane. W Polsce wciąż czekamy na pierwszy “mandat”.

Dodatkowo, sytuacja w przypadku MediaExpert jest tym bardziej dziwna, że przecież przed Black Friday sklep powinien przejść dokładną weryfikację — inne sklepy z branży zazwyczaj od dawna na ten dzień się przygotowują, wszystko sprawdzając zapewne po kilka razy.

Czy UDODO uzna, że ten incydent wymaga kary finansowej? Przekonamy się niebawem… Jedno już można powiedzieć. MediaExpert może być pierwszym sklepem, który na BlackFriday więcej stracił niż zyskał…

Aktualizacja 23.11.2018 g. 20:13

W odpowiedzi na nasze pytania Michał Mystkowski, Rzecznik prasowy Media Expert, przesłał do naszej redakcji poniższe oświadczenie.

W nawiązaniu do opublikowanego przez Państwa materiału, chciałbym poinformować, że chwilowa awaria naszego systemu informatycznego, stwierdzona przez nas w godzinach porannych, została błyskawicznie naprawiona, a dane naszych klientów są bezpieczne. Problem był związany z serwerem cache. Jesteśmy w kontakcie z klientami, których zdarzenie to dotyczy.

Zważywszy na specyfikę dzisiejszego dnia, jeszcze raz podkreślam, że dane naszych klientów są bezpieczne. Pozwolę sobie również poinformować, że wszystkie zamówienia złożone w ramach promocji Black Friday są i będą realizowane bez żadnych problemów.

Szczerze powiedziawszy to o realizację zamówień najmniej się martwiliśmy, natomiast ciekawie byłoby się dowiedzieć jaka była skala problemu. Pozytywne jest to, że Media Expert deklarauje kontaktowanie się z osobami, których dotyczy wyciek.

Przeczytaj także:

51 komentarzy

Dodaj komentarz
  1. 12:10 – strona bangla, zakładka Moje Konto prosi o dane do logowania.
    Na moim koncie żadne danie się nie zmieniły, żadnych nowych zamówień, profilaktycznie usunąłem nieaktualny już adres zamieszkania. Uff…

    • Dalej w historii twoich zamówień jest twój adres przy fakturach.

    • jAAsiek660 2018.11.23 14:43
      Nie będzie jak się poda adres do wysyłki ,a nie adres zamieszkania :)

      ps.
      Ja w tym Niemieckim sklepie nic nie zamawiam . Aha i nie paczcie na właściciela bo to słup.

  2. Podobno Steam miał kiedyś podobną wpadkę w okresie świątecznym, gdzie jeden użytkownik mógł zobaczyć zamówienia innego gracza.

    • Lepiej steam dawał klucze do góry których nie kupiłeś

    • Ja w święta widziałem Steama w różnych językach i profile różnych graczy zamiast swojego. Chcę kupić jakąś grę, a tu zamiast wyszukiwania mam robić jakieś buscando?!

  3. Pewnie było ciśnienie aby szybko update wypuścić na black friday :)

  4. Temat rzeczywiście interesujący. Btw. czy niebezpiecznik nie łamie przepisów rodo zamieszczając screen z FB z imieniem, nazwiskiem i zdjęciem użytkownika? Po powiększeniu spokojnie można rozpoznać tę osobę – proszę o odpowiedź.

    • Dlaczego mieliby? Komentarz jest dostępny dla wszystkich na publicznym profilu sklepu.

    • To, że FB ma prawo (jest adminem) nie znaczy że Niebezpiecznik ma prawo. Dostał materiał, ale czy dostał zgodę na publikację? Mam tylko nadzieję, że poinformował właściwie użytkownika do czego dane będą wykorzystane.

    • @Greg
      Nie znasz się na prawie prasowym, dobry człowieku.

  5. Stenogram z wpadki:
    Dev: “Kur… panowie nie mam ludzi do skonczenia na czas. Nie dam rady. Siedze juz 3 tydzien po nocach”
    Manager1:”Co Ty p…sz? Przeciez widze ze dziala”
    Manager2:”Na najnowszym ifonie tez smiga”
    Manager3:”Nie przesadzaj. Na testowym dziala”
    Manager”n”:”Zadzwonie do prezesa ze zrobilismy na czas i puszczamy przed blek frajdej. Dobra robota Panowie. Zespol mamy mocny”

    • Niestety tak to często wygląda.

  6. Ja dzisiaj dokonalem zakupu na stronie media expert okolo godziny 13 i bylo wszystko ok poza widocznym mocnym obciazeniem serewra ale to raczej normalne w taki dzien

  7. Kiedyś udało mi się zalogować swoimi danymi na czyjeś konto w helionie. Ale to była jednorazowa sytuacja

  8. Za samą próbę tuszowania sprawy powinni dostać karę 4% obrotu. Byliby przykładem dla innych.

    • Niemiecki sklep nie dostanie kary z rodo. Nie po to nas kolonizowali żeby dostać kary :)

    • To kupuj w Wolskim, najlepiej pariafialnym.

  9. Sam kiedyś zrobiłem, podobne faux pa czyszcząc cache na produkcji zamiast na dev. przez 2 godzinki koszyki latały po klientach :)

    Pozdrawiam

  10. Też widziałem dane i zakupy pewnej Pani…

  11. Drogi niebezpieczniku a jak tam sprawa z TVN i podrzucaniem przez nich nadajników GSM w celach śledzenia ludzi? Prosiliście już ich o wyjasnienia?

  12. Przypuszczam, że w tym całym zamieszaniu związanym z BlackFriday dział sprzedaży/marketingu przypomniał sobie, że robia jakieś super promocje, niestety jak to zwykle bywa nie przekazali informacji do działu IT odpowiednio wczesniej, o tym, że spodziewają się większego niż zwykle ruchu, więc IT na szybko przygotowało “ulepszony” VCL do Varnish’a.. niestety w całym zamieszaniu zapomnieli zblacklistować stron prywatnych, taka moja teoria :-D

    • Tak, nie przekazali informacji o black friday do działu IT, brzmi to bardzo prawdopodobnie.

  13. Taki sam przypadek miał w nocy sklep mi-home.pl

  14. mógł to być atak hakerski bo ja widziąłem tez dane fikcyjne.były zamówienia na fikcyjne dane bo tel same 6 e-mail załozóny wulgarny ze slowami na h i k
    zamówienie nr 02286155195 oraz 02298743786 z dzisiaj godz 9 :09:37 i 9:32:44.
    mam zrzut listy zamówień

  15. Na fp wydali już oświadczenie.

  16. Panie Niebezpieczniku,

    dlaczego artykuł nie jest zaktualizowany? na FB sieci od 3h wisi oświadczenie…

    Informujemy, że chwilowa awaria naszego systemu informatycznego, stwierdzona przez nas w godzinach porannych, została błyskawicznie naprawiona, a dane naszych klientów są bezpieczne. Problem był związany z serwerem cache. Jesteśmy w kontakcie z klientami, których zdarzenie to dotyczy.
    Zważywszy na specyfikę dzisiejszego dnia, jeszcze raz podkreślam, że dane naszych klientów są bezpieczne. Pozwolę sobie również poinformować, że wszystkie zamówienia złożone w ramach promocji Black Friday są i będą realizowane bez żadnych problemów.

    • Panie Marcinie, rzeczniku MediaExpert

      Pańskiego oświadczenia nie było, ponieważ podesłał nam je Pan po godzinach pracy redakcji. Ale spokojnie, mamy też nocną zmianę, dlatego w aktualizacji można już znaleźć oświadczenie w pełnym brzmieniu. A skoro już jest Pan kontaktowy :-) to może zechciałby Pan odpowiedzieć i nam i Czytelnikom na pozostałe z przesłanych Panu pytań?

    • > Jesteśmy w kontakcie z klientami, których zdarzenie to dotyczy
      > (…)
      > jeszcze raz podkreślam, że dane naszych klientów są bezpieczne

      Proszę odłożyć na bok korpomowę z w kółko powtarzaną nieprawdziwą tezą.
      Jak można mówić o bezpieczeństwe danych osobowych klienta A, jeżeli widzi je klient B?

      Firma powinna uczciwie przeprosić zamiast zaklinać rzeczywistość.

    • “jeszcze raz podkreślam, że dane naszych klientów są bezpieczne” – buhahahahaha tak bezpieczne, że inni je widzieli i mogli robić z nimi co chcieli, nawet sprzedać.

  17. A ja sie pytam dlaczego sklep wymusza na mnie podanie danych osobowych, tj. adres, przy zamówieniu internetowym z odbiorem osobistym w sklepie i płatnością na miejscu… Do czego im to potrzebne…

    • Żeby Cię znaleźć jak nie przyjdziesz po towar

    • Ja im od lat podaję fałszywe dane. Jeżeli czeka się na kuriera w domu i wie się, że będzie się w domu – podaje się im XTRA numerek zamiast numeru telefonu, fałszywe imię i nazwisko, a odbierając na miejscu po prostu nie ma się dowodu i zaznacza płatność przy odbiorze.

      Działa też w masie innych sklepów. Tak na prawdę to co musi być prawdziwe przy odbiorze w domu to adres, a przy odbiorze w sklepie wszystko może być fałszywe – byleby umieć powtórzyć i by dane brzmiały po ludzku, by się nie kapnęli. Warto by taka osoba nie istniała w wyszukiwarce Google, by ktoś po wycieku nie upomniał się o swój towar.

  18. szokuje mnie, ze ktos chce kupowac w tym sklepie. kiepski wybor, slaba obsluga, ceny najwyzsze jakie mogą byc. oby przepadł w końcu.

  19. To co teraz kara za RODO?

    • Najpierw musi ktoś do nich donieść. Bo pewnie sami sie nie podłożą, gdy nie wiedzą ile jest ofiar. Skoro nie wiedzą – ofiar jest tyle ile klientów.

  20. Jak dochodzić odszkodowania?

    • Jak zawsze – piszesz pozew w którym wykazujesz wyrządzoną Ci szkodę i określasz jej wartość. Składasz w sądzie właściwym dla swojego miejsca zamieszkania. I czekasz na wezwanie.

  21. ‘Pozytywne jest to, że Media Expert deklarauje kontaktowanie się z osobami, których dotyczy wyciek.’ – łaski nie robią, tak wymaga rodo, jest to niezbędne minimum. Pozytywne byłoby, gdyby zrobili coś więcej niż niezbędne min.

  22. Mieli fajną promocję na Black Fiday na pewnego laptopa, którym byłem zainteresowany. Teraz jednak podziękuję i zapewne nigdy u nich nic nie kupię. Trudno mi sobie wyobrazić ile kłopotów mogli właśnie narobić kilku osobom, których jedyną “winą” było to, że chcieli w Media Expercie coś kupić.

  23. Też tego doświadczyłem. Chciałem coś zamówić i gdy kliknąłem do koszyka to co chwile pokazywało się w nim co innego wraz z różnymi danymi.

  24. odnoszę wrażenie że RODO to taka WODA na MŁYN dla prawników – mogą wytaczać DZIAŁA przeciwko osobom których system/informatyk nawalił – mają “paragraf” na sprawy/pozwy przeciwko tym od których można “coś” wyciągnąć – ciekawe czy któryś z kupujących dowcipnisiów na udostępnione błędnie dane – dokonał zapłaty ??? – nawet jak towar dotrze do sklepu / paczkomatu / kurierem – to – ofiara kradzieży nie odbierze i transakcja będzie anulowana

    • @jan

      Poruszasz ciekawy problem wpływu RODO na prowadzenie sklepu internetowego, jak się wydaje, od strony osoby prowadzącej / obsługującej. Wielu przedsiębiorców prowadzących mniejsze i większe esklepy jest w tym roku bardzo zestresowanych nowymi regulacjami, tym bardziej że nierzadko sami czują się ofiarami niewiedzy lub niechlujstwa wykonawców sklepu (zarówno zamawianego specjalnie, jak kupowanego w formie szablonu). RODO postrzegają jako zmianę atu w trakcie rozgrywki; nagle na ich biznes walczący o przetrwanie na rynku zostają nałożone jakieś dodatkowe wymagania, zagrożone karą w przypadku niespełnienia. Stres w takim przypadku jest zrozumiały, ale nie ulegajmy pokusie wejścia w rolę “oblężonej twierdzy”.

      Celem RODO jest wymuszenie profesjonalnego podejścia do ochrony danych. Długo nie było tego typu regulacji i wszyscy (i klienci, i deweloperzy, i nawet administratorzy) przyzwyczailiśmy się do podejścia “jakoś to będzie” w systemach m.in. sklepów internetowych. Wiele systemów było tworzonych i testowanych bez zwracania uwagi na zagadnienie ochrony danych – koncentrowano się na funkcjonalności i efektywności. Normalne w przypadku rozwoju każdej technologii. Ale okazało się, że wycieki danych personalnych przysparzają realnych kłopotów osobom, których dane stały się zbyt dostępne. Trzeba je zatrzymać.
      Od strony informatycznej oznacza to 1) zmianę podejścia do tworzenia nowych systemów, 2) konieczność przeróbki wielu wcześniej stworzonych systemów, 3) konieczność staranniejszego wdrożenia systemu w danych warunkach i zarządzania nim (administracji, konserwacji).

      No i teraz główny problem, to znaleźć (lub pozyskać poprzez zamówienie) system informatyczny, który ma wystarczająco dobrze zrobioną ochronę danych. Dla przedsiębiorców niezwiązanych z branżą informatyczną to musi być duże wyzwanie. Zazwyczaj nie są w stanie ocenić, czy system i/lub wykonawca systemu jest w stanie spełnić wymagania. A w razie wpadki odpowiedzialność ponosi przedsiębiorca.

      Moja rada byłaby subiektywna – znaleźć dobrego (ambitnego & dociekliwego) admina i go słuchać – ale myślę, że przedsiębiorcy niezwiązanemu z branżą IT nawet to może być trudno zrobić :/ O tyle warto, że można wtedy zazwyczaj zaoszczędzić na prawnikach oraz lekarzach od stresu.

  25. Konfigurujesz SSL, zatrudniasz zespół ds. bezpieczeństwa, łatasz na bieżąco wszystkie bazy danych, silniki skryptowe i resztę softu, utrzymujesz politykę prywatności, włączasz 2FA dla adminów i obsługi sklepu… a tu przychodzi serwer cache i to wszystko rozpi*******…

    • W poważnej organizacji, serwer cache nie “przychodzi” tylko jest wdrażany na podstawie dokumentu zmiany (Change Request lub coś podobnie się nazywającego). W poważnej organizacji zmiana ma określony zakres, wpływ na inne elementy systemu, ma też plan testowania. W przypadku serwera cache, przetestowanie zakresu zawartości objętej cache’owaniem oraz zeń wyłączonej, wydaje się oczywistą oczywistością.

      Dlatego trafny wydaje mi się komentarz autora artykułu:
      “Winę zazwyczaj ponosi albo pracownik, który źle skonfigurował dany moduł, albo manager, który nie potrafił odpowiednio przewidzieć ryzyka i wydaje zgodę na korzystanie z rozwiązań technicznych, których w pełni nie rozumie, przez co w sposób niekompetentny przeprowadza analizę ryzyka i nie wdraża wszystkich zabezpieczeń.”

      jak również komentatora:
      Dev: “Kur… panowie nie mam ludzi do skonczenia na czas. Nie dam rady. Siedze juz 3 tydzien po nocach”
      Manager1:”Co Ty p…sz? Przeciez widze ze dziala”
      Manager2:”Na najnowszym ifonie tez smiga”
      Manager3:”Nie przesadzaj. Na testowym dziala”
      Manager”n”:”Zadzwonie do prezesa ze zrobilismy na czas i puszczamy przed blek frajdej. Dobra robota Panowie. Zespol mamy mocny”

      Zdarzyło mi się, że odtwarzanie pewnego systemu po awarii okazało się bardziej złożone niż na początku się wydawało. Reakcją “góry” było kręcenie nosem na zbyt długi czas pracy, podparte powoływaniem się na zasadę Pareto: nie należy poświęcać zbyt wiele uwagi mniej istotnym szczegółom, bo 80 proc. zysku pochodzi z 20 proc. poniesionych nakładów.
      Moje odczucie jest takie, że te “zaoszczędzone” 80 proc. nakładów jeszcze wróci – gdy braki w przewidywaniu potencjalnych zagrożeń, w dokumentacji, w procesie utrzymania systemu itp. – zaowocują kolejną awarią, którą znowu będzie się usuwać w sposób doraźny a nie przewidziany i zaplanowany.

  26. Słuszne żeby nie powiedzieć “świete słowa” @kaper. Ale prawdą jest i to ,że problem i jego prawdziwą cenę zaczynają rozumieć dobrze ci, których walną on bezpośrednio po kieszeni. Na zasadzie – jak to tłumaczył nasz instruktor walki “po pierwszym zebraniu zębów z chodnika , zaczniesz doceniać znaczenie odpowiednio trzymanej gardy”.
    Czyli na razie jakiś niewielki promil (nie procent) nawet przedsiębiorców .

    Bo, umówmy się, ale czymże dotychczas oni ryzykowali ? Kilkunastoma tysiącami zdyskredytowanych kont albo danymi na nich leżącymi (nie swoich przecież tylko P.T. Klientów) Tym że kilku wkurzonych ludzi ociętym języku obsmaruje ich potem tu iówdzie …tylko ze tego “tu i ówdzie” nie czyta 95% społeczeństwa. A co czyta szan. 95% społeczeństwa ? Reklamy wyświetlane na FB, Tw, On, In, wp i in. (zbieznośc akronimów z popularnymi portalami jest …nieprzypadkowa) oraz dyskusje pisane prowadzone przez same 95% społeczeństwa. Czyli 100% przewaga reklamy & $$$ . Do tego jeszcze dochodziła z reguły “szybka i wydajna ” moderacja w tego typu miejscach ….

    Dlatego również jako osobiście zainteresowany (pracuję w branży IT i w bezpieczeństwie również) cieszę się po trosze z wprowadzenia tego , może i przereklamowanego a może i prawniczo przegadanego – ale jednak prawa i , w pewnym tego słowa znaczeniu , miecza Damoklesa wiszącego teraz bardziej niż wcześniej nad pełnymi nonszalanckiej pewnosci siebie niektórymi z przedsiębiorców…

    Pozdrawiam

  27. Jakiś update tutaj, czy tak sprawa się sama wyciszyła? Tak samo z Morelami.

  28. @blondasek: Co było nie tak z Morealami, możesz streścić temat?

    • Artykuł niżej od tego :)

  29. Nie wiem czy któryś z przedmówców w komentarzach już o tym wspomniał, ale problemem w piątek nie były jedynie widoczne dane osobowe po kliknięciu w “Moje konto”. Sam chciałem złożyć tego dnia zamówienie na telewizor (przed zalogowaniem) i przechodząc do kolejnych kroków zamówienia wyświetlały się dane klientów, którzy w tym czasie składali zamówienia. Widziałem dane zamówień (łącznie z adresami telefonami) co najmniej kilku osób. Przechodząc też na kolejne karty w trakcie składania mojego zamówienia na końcu dostawałem podsumowanie zamówienia kogoś innego. Raz był to trymer, innym razem nie pamiętam już co.

  30. Ja im od lat podaję fałszywe dane. Jeżeli czeka się na kuriera w domu i wie się, że będzie się w domu – podaje się im XTRA numerek zamiast numeru telefonu, fałszywe imię i nazwisko, a odbierając na miejscu po prostu nie ma się dowodu i zaznacza płatność przy odbiorze.

    Działa też w masie innych sklepów. Tak na prawdę to co musi być prawdziwe przy odbiorze w domu to adres, a przy odbiorze w sklepie wszystko może być fałszywe – byleby umieć powtórzyć i by dane brzmiały po ludzku, by się nie kapnęli. Warto by taka osoba nie istniała w wyszukiwarce Google, by ktoś po wycieku nie upomniał się o swój towar.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.