12:23
3/8/2020

Użytkownicy wypożyczalni samochodów 99rent.pl mogli zobaczyć dane innych użytkowników, włącznie z numerami dokumentów i numerami PESEL. Ze względu na charakter błędu dotarcie do danych osobowych nie było szczególnie trudne.

Wykrycie wycieku nie zawsze wymaga żmudnego testowania. Czasami wystarczy prosta czynność, przypadek i odrobina spostrzegawczości. Przekonał się o tym jeden z naszych Czytelników – nazwijmy go Krystian. Korzystając z wypożyczalni 99rent.pl postanowił on dowiedzieć się czegoś więcej o kodach ACRISS wyrażających klasy pojazdów. Taki kod może nam szybko powiedzieć do czego przyda się dane auto np. kod CBMR będzie oznaczał auto kompaktowe (C), 2-3 drzwiowe (B), ze skrzynką ręczną (M) i napędzane nieokreślonym paliwem ciekłym (R).

Po prostu wyszukał rezerwacje

Krystian zalogował się do 99rent.pl i wpisał do wyszukiwarki kod CWAR. Oto co zobaczył.

 

Wyglądało to na dane o rezerwacjach. Kliknięcie w linki niestety potwierdziło przypuszczenia. To były dane o rezerwacjach zawierające (kolejno):

  • klasę auta;
  • datę wynajmu i zwrotu;
  • oddział wynajmu;
  • kwotę do zapłaty i cenę wynajmu;
  • informacje o dodatkowych usługach (np. wyjazd za granicę, zwrot poza godzinami pracy biura, pakiet usług etc.) oraz koszcie tych usług;
  • imię i nazwisko, 
  • adres e-mail, 
  • numer prawa jazdy, 
  • PESEL,
  • ulica, kod pocztowy, miasto, województwo, 
  • numer telefonu, 
  • numer dowodu osobistego. 

Oto przykładowe znaleziska.

 

Rezerwacji nie trzeba było przeglądać wyłącznie za pomocą wyszukiwarki. Łatwo było się zorientować, że wszystkie były dostępne pod adresami w formacie…

https://99rent.pl/XXXXXXXXX/

gdzie XXXXXXXXX oznaczał identyfikator wyrażony cyframi. Co istotne, rezerwacje mogli przeglądać w ten sposób tylko użytkownicy zarejestrowani i zalogowani. Owszem, rejestracja w serwisie trudna nie jest i każdy mógł to zrobić, ale z drugiej strony dostępność wyłącznie dla zalogowanych w pewien sposób ogranicza możliwość wykrycia wycieku.

Wyciekły dane na temat różnych rezerwacji. My widzieliśmy głównie rezerwacje z czerwca i maja tego roku, ale trafiliśmy też na rezerwacje z roku 2018! Identyfikatory rezerwacji wyglądały tak, jakby składały się z roku (np. 2018), miesiąca (np. 08) oraz numeru samej rezerwacji. Nie oznacza to jednak, że widoczny był cały przedział numerów dla danego roku i miesiąca np. dla rezerwacji z sierpnia 2018 udawało się otworzyć strony o identyfikatorach z zakresu od 201808733 do 201808812.

Zgłoszenie problemu

Zgłosiliśmy wyciek firmie 99rent.pl. Po kilku godzinach Inspektor Ochrony Danych odezwał się do nas i powiadomił o uruchomieniu informatyków, którzy prewencyjnie zablokowali dostęp do danych osobowych. Trwa wyjaśnianie szczegółów tzn. szacowanie od jak dawna te dane mogły być widoczne, jak wiele rezerwacji mogło być ujawnionych oraz czy było ryzyko pobrania tych danych. Kiedy firma przekaże nam te informacje opublikujemy je w aktualizacji.

Wycieki z różnego rodzaju wypożyczalni niestety się zdarzają. Dlatego właśnie wypożyczalnie powinny ograniczać zbieranie danych do tych absolutnie koniecznych. Wiemy oczywiście, że wypożyczalnie samochodów oddają w ręce użytkownika drogie mienie, ale warto generalnie uważać przy wypożyczaniu różnego sprzętu. Wycieki z wypożyczalni samochodów już się zdarzały i niestety w jednym ze znanych nam przypadków operator nie był skłonny do przyznania, że wyciek istotnie był wyciekiem.

Co robić? Jak żyć?

Liczymy, że 99rent.pl ustali czyje dane mogły wyciec i poinformuje klientów, dla których wyciek stanowi zagrożenie. Nawet jeśli dane nie zostały pobrane masowo to jednak wyciek numerów PESEL wraz z numerami dokumentów stanowi poważny problem.

Sugerujemy na początek unieważnić i zastrzec dowód osobisty

Uwaga: to są dwie różne czynności! Generalnie to co należy zrobić po wycieku swoich danych to nie jest łatwy temat, dlatego przygotowaliśmy na ten temat godzinny webinar, który wyjaśnia jak poprawnie (i gdzie!) zastrzec swoje dane i z jakich dodatkowych usług skorzystać (darmowych i płatnych, w przypadku płatnych informujemy, kiedy warto, a kiedy nie warto z nich skorzystać). Z kodem 99RENT dostęp do nagrania naszego wykładu o tym jak zabezpieczyć się przed negatywnymi skutkami wycieków danych możecie go do końca tygodnia nabyć w cenie niższej o 25PLN.

Gorzej bywa z numerem Prawa Jazdy. Nie każdy to zauważa, ale polskie Prawa Jazdy ma dwa numery tzn. numer Prawa Jazdy jako takiego (widoczny w polu 5. na awersie) oraz serię i numer dokumentu (pod kodem kreskowym na rewersie). Jeśli wystąpicie o wtórnik Prawa Jazdy to numer w polu 5. nie ulegnie zmianie, a niestety w czasie rezerwowania pojazdów niektórzy podają ten właśnie numer (widzieliśmy to po danych jakie zwracała wyszukiwarka 99rent). Tak czy owak możecie zastrzec Prawo Jazdy w systemie Dokumenty Zastrzeżone i wówczas – warto to wiedzieć – zastrzegacie numer i serię (czyli daną spod kodu kreskowego na rewersie).

Można też podjąć dodatkowe, ale płatne środki bezpieczeństwa tzn. sprawdzić się w wywiadowniach gospodarczych, z których część wymaga – niestety – wydania swoich danych kolejnemu podmiotowi. Do was należy decyzja, czy zechcecie to zrobić, ale w razie czego podpowiadamy jak i gdzie (zob. Jak uniemożliwić wzięcie pożyczki na moje dane).

Aktualizacja 4.08.2020 14:49

Wypożyczalnia 99rent.pl poinformowała swoich klientów o wycieku rozsyłając do nich mailem następujący komunikat.

Drogi Użytkowniku,

informujemy, iż jesteśmy świadomi opublikowania przez jeden z portali internetowych, informacji dotyczących potencjalnego incydentu związanego z przetwarzaniem danych osobowych Klientów indywidualnych. Obecnie trwają analizy mające na celu ustalenie danych osób, zarejestrowanych w naszym serwisie www, których sprawa dotyczy. Potencjalny incydent dotyczyć może jedynie ograniczonej grupy Klientów, a więc części aktywnych Klientów indywidualnych zarejestrowanych w systemie rezerwacyjnym dostępnym przez stronę www. Jednocześnie informujemy, iż opisana przez portal internetowy możliwość dostępu została zablokowana niezwłocznie po uzyskaniu informacji o jej zaistnieniu. Zgodnie z obowiązującymi w tym zakresie regulacjami, bez zbędnej zwłoki, poinformowaliśmy o sprawie Prezesa Urzędu Ochrony Danych Osobowych przesyłając odpowiednie zgłoszenie. Sprawę traktujemy z należytą powagą i niezwłocznie po zakończeniu przedmiotowych analiz poinformujemy w odrębnej korespondencji osoby, których sprawa dotyczy, przesyłając stosowne informacje – zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Aktualizacja 19.08.2020 10:44

Inspektor Ochrony Danych wypożyczalni 99rent.pl poinformował naszą redakcję o zakończeniu analiz dotyczących wycieku. Okazało się, że luka w systemie funkcjonowała stosunkowo niedługo tj od 1 czerwca 2020 r. Incydent został zgłoszony do UODO zgodnie z art. 33 RODO. Osoby, których dane zostały ujawnione zostały zidentyfikowane i przesłano im stosowną, wymaganą art. 34 RODO, informację (zawiadomienie o naruszeniu).

Musimy przyznać, że wypożyczalnia obsłużyła cały wyciek jak należy. Gratulujemy profesjonalnej postawy.

Przeczytaj także:



15 komentarzy

Dodaj komentarz
  1. Po cholerę im tyle danych? Ewidentnie nadmiarowe gromadzenie.

    Przecież wystarczy imię, nazwisko, numer dowodu i numer rejestracyjny wypożyczanego samochodu. Żadne pesele, adresy czy numery prawa jazdy NIE SĄ NIEZBĘDNE do realizacji usługi, a zatem nie mogą być zbierane.

    Wszystkie inne dane do ewentualnej egzekucji mogą uzyskać od odpowiednich organów państwa.

    • Problem w tym, że żadne z tych danych nie są tajne – widnieją na dokumentach, a dokument nie służy do tego, żeby go trzymać w sejfie – w różnych sytuacjach różnym osobom się go pokazuje. Natomiast firmy udzielające pożyczek przez internet dla własnej wygody podanie numerów dowodu i peselu traktują jak jednoznaczne potwierdzenie identyfikacji biorącego pożyczkę. A kiedy się okaże, że to jednak pożyczał ktoś inny, to cały ciężar dowodowy spoczywa na osobie pod którą się podszyto. Chory system (internetowych pożyczek).

    • Po co tyle danych? Chodzi o czas. Klienci wypożyczalni chcą szybko odebrać auto i pojechać tam, gdzie planowali. Im więcej danych przekażą tym krócej będą czekali na wydanie auta zanim zostanie wygenerowana umowa.

  2. Różne numery identyfikacyjne, traktowane przez niektórych jak hasła, co jakiś czas skądś wyciekają. Aby to przestało być problemem są dwie opcje:
    1. Sprawić by już nic nigdy znikąd nie wyciekło.
    2. Przestać zakładać, że te dane są tajne i znane tylko właścicielowi.

    • > Przestać zakładać, że te dane są tajne i znane tylko właścicielowi.

      Ale nie może też prowadzić to jawności PESEL-i i numerów dowodów. To – w powiązaniu z innymi danymi – są dane osobowe.

      Wyciek bazy zawierającej informację, że Jan Nowak o numerze dokumentu czy dacie urodzenia takiej a takiej wypożyczył samochód wtedy a wtedy to również zło. Najczęściej skutek rażącego niedbalstwa.

      Nie można wycieków usprawiedliwiać czy choćby pomniejszać ich szkodliwość, nawet gdyby wszystkie PESEL-e i adresy Polaków były jawne (co byłoby straszne swoją drogą).

      Naruszono prywatność wypożyczających. Wypożyczalni nie wolno paplać o swoich klientach.

  3. Poza tematem: po Hugo dwa numery dokumentu na jednym dokumencie???

    • Bo jeden z nich to nie numer dokumentu, tylko numer pozwolenia (uprawnienia/decyzji), a drugi to numer papierka (w folii).

    • @Kazik
      A skąd obywatel ma wiedzieć który numer jest który?

    • @asdsad, z Niebezpiecznika :P
      A tak poważnie, to powinno być opisane na dokumencie, tak jak są opisane pozostałe pola. Szkoda, że nie jest. Moja żona niedawno musiała wymienić prawo jazdy i na formularzu miała wpisać numer aktualnego. Oboje nie mogliśmy dojść, o który numer chodzi.

  4. właśnie dostałem mail z 99rent, bardzo ogólnikowy:

    Drogi Użytkowniku,
    informujemy, iż jesteśmy świadomi opublikowania przez jeden z portali internetowych, informacji dotyczących potencjalnego incydentu związanego z przetwarzaniem danych osobowych Klientów indywidualnych. Obecnie trwają analizy mające na celu ustalenie danych osób, zarejestrowanych w naszym serwisie www, których sprawa dotyczy. Potencjalny incydent dotyczyć może jedynie ograniczonej grupy Klientów, a więc części aktywnych Klientów indywidualnych zarejestrowanych w systemie rezerwacyjnym dostępnym przez stronę www. Jednocześnie informujemy, iż opisana przez portal internetowy możliwość dostępu została zablokowana niezwłocznie po uzyskaniu informacji o jej zaistnieniu. Zgodnie z obowiązującymi w tym zakresie regulacjami, bez zbędnej zwłoki, poinformowaliśmy o sprawie Prezesa Urzędu Ochrony Danych Osobowych przesyłając odpowiednie zgłoszenie. Sprawę traktujemy z należytą powagą i niezwłocznie po zakończeniu przedmiotowych analiz poinformujemy w odrębnej korespondencji osoby, których sprawa dotyczy, przesyłając stosowne informacje – zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

  5. Problemem jest że te dane są widoczne od strony klienta co za problem mieć 2 osobne systemy gadające ze sobą po soapie

  6. […] do cudzych danych, w tym numerów PESEL, adresów i numerów dokumentów – informuje serwis Niebezpiecznik. W wyniku niedopatrzenia na etapie zabezpieczenia strony internetowej, dane można było bez […]

  7. Po cholerę zastrzegać prawo jazdy skoro NIE jest on dokumentem, który może służyć weryfikacji osobowej?

  8. W czerwcu wypozyczalem samochod z 99rent, a zadnego maila z informacja o wycieku nie dostalem. Czy to mozliwe, ze moje dane nie wyciekly?

  9. Mam to samo, z tego co się orientuję problem dotyczy osób które miały założone konto w jakiś tam portalu 99rent, ja tam dzwoniłem żeby zarezerwować, a konta w żadnych portalu nigdy nie zakładałem

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: