Ze strony Selgrosu można było pobrać cudze faktury. A przedstawiciel sklepu postanowił straszyć media

Selgros zaliczył wpadkę. I to sporą

Selgros zaliczył wpadkę - tak to niestety trzeba nazwać. Na stronie Selgros24.pl można było bowiem bez problemu dotrzeć do cudzych faktur, którymi dysponował sklep. Wystarczyło być użytkownikiem serwisu, do czego z kolei wystarczyło założenie konta online.

Jak to się stało? Otóż, jak relacjonuje Zaufana Trzecia Strona, aby pobrać duplikat swojej faktury, użytkownik musiał kliknąć w link "https://selgros24.pl/ViewCustomerOrderSaleDocument.html?orderId=XXXXXX". Przy czym, jak łatwo się domyślić, szereg "iksów" wskazywał liczbowy identyfikator dokumentu. Wystarczyło podstawić pod "iksy" dowolne cyfry, by bez problemu pobrać czyjąś fakturę. A na fakturze, jak wiadomo, znajdowało się imię i nazwisko, nazwa firmy, adres i NIP, oraz oczywiście - lista zakupów. Jakby tego było mało, dostępne były faktury z co najmniej 5 ostatnich lat, a link był aktywny i działał dla każdego użytkownik serwisu. O sprawie poinformował ich czytelnik, który zresztą postanowił powiadomić o całej sytuacji także sklep.

Przed napisaniem artykułu serwis postanowił poprosić Selgros o komentarz. Początkowo redaktorzy nie otrzymali żadnej odpowiedzi, więc postanowili skontaktować się za pośrednictwem LinkedIn. Ostatecznie odpowiedź została przesłana (przez Transgourmet Polska, zarządzającą sklepem), ale w takim tonie, że nie wiadomo, czy nie byłoby lepiej, gdyby się jednak na to nie zdecydował. Firma zapewnia, że strona internetowa otrzymała dodatkowe zabezpieczenia w dniu wpłynięcia zgłoszenia, które zostało zarejestrowane - to oczywiście, na plus, chociaż pytanie brzmi, jak to się stało, że możliwe było powstanie takiego błędu. Pomijając jednak ten aspekt, szokuje ostatnie zdanie odpowiedzi:

Dla przypomnienia - art. 24 kc par. 1 brzmi tak:

Uważajcie, bo wiecie, art. 24 kc

To z kolei wskazuje na to, że firma zarządzająca sklepem Selgros, który zaliczył wpadkę (i to poważną), jeśli chodzi o ochronę danych klientów, próbuje straszyć serwis, który po prostu informuje o całej sytuacji. Moim zdaniem świadczy to o pewnym braku instynktu samozachowawczego. Tak jak napisałam na samym początku - błąd może przydarzyć się każdemu (chociaż, bądźmy szczerzy, w kwestii ochrony naszych danych wymagamy od firm więcej i mamy do tego prawo). Firma jednak nie dość, że stwierdza, że "dotychczas stosowane zabezpieczenia nie odbiegały standardom stosowanym na tożsamych stronach internetowych" (to również znalazło się w oświadczeniu), to jeszcze próbuje straszyć. Przywołanie art. 24 kc można bowiem moim zdaniem potraktować jako aluzję "uważajcie, co napiszecie, bo was pozwiemy". A to już próba zamykania ust mediom, które mają przecież prawo (a wręcz obowiązek) informować odbiorców o wszelkich błędach i naruszeniach - na podstawie faktów i dowodów.