Ze strony Selgrosu można było pobrać cudze faktury. A przedstawiciel sklepu postanowił straszyć media

Prywatność i bezpieczeństwo Technologie Zakupy dołącz do dyskusji (27) 28.08.2019
Ze strony Selgrosu można było pobrać cudze faktury. A przedstawiciel sklepu postanowił straszyć media

Udostępnij

Edyta Wara-Wąsowska

Selgros zaliczył sporą wpadkę, bo – przez krótko, ale jednak – za pośrednictwem serwisu Selgros24.pl można było bez problemu zajrzeć do cudzych faktur. Każdemu zdarza się popełnić błąd. Ważne jest jednak wyciągnięcie wniosków i poprawa zabezpieczeń, jeśli istnieje taka potrzeba. Całą sytuację z fakturami opisał serwis Zaufana Trzecia Strona; zwrócił się przed tym do Selgros z prośbą o komentarz. Co zrobiła firma zarządzająca sklepem? Postraszyła serwis, robiąc aluzję do art. 24 kc. Co to za maniery?

Selgros zaliczył wpadkę. I to sporą

Selgros zaliczył wpadkę – tak to niestety trzeba nazwać. Na stronie Selgros24.pl można było bowiem bez problemu dotrzeć do cudzych faktur, którymi dysponował sklep. Wystarczyło być użytkownikiem serwisu, do czego z kolei wystarczyło założenie konta online.

Jak to się stało? Otóż, jak relacjonuje Zaufana Trzecia Strona, aby pobrać duplikat swojej faktury, użytkownik musiał kliknąć w link „https://selgros24.pl/ViewCustomerOrderSaleDocument.html?orderId=XXXXXX”. Przy czym, jak łatwo się domyślić, szereg „iksów” wskazywał liczbowy identyfikator dokumentu. Wystarczyło podstawić pod „iksy” dowolne cyfry, by bez problemu pobrać czyjąś fakturę. A na fakturze, jak wiadomo, znajdowało się imię i nazwisko, nazwa firmy, adres i NIP, oraz oczywiście – lista zakupów. Jakby tego było mało, dostępne były faktury z co najmniej 5 ostatnich lat, a link był aktywny i działał dla każdego użytkownik serwisu. O sprawie poinformował ich czytelnik, który zresztą postanowił powiadomić o całej sytuacji także sklep.

Przed napisaniem artykułu serwis postanowił poprosić Selgros o komentarz. Początkowo redaktorzy nie otrzymali żadnej odpowiedzi, więc postanowili skontaktować się za pośrednictwem LinkedIn. Ostatecznie odpowiedź została przesłana (przez Transgourmet Polska, zarządzającą sklepem), ale w takim tonie, że nie wiadomo, czy nie byłoby lepiej, gdyby się jednak na to nie zdecydował. Firma zapewnia, że strona internetowa otrzymała dodatkowe zabezpieczenia w dniu wpłynięcia zgłoszenia, które zostało zarejestrowane – to oczywiście, na plus, chociaż pytanie brzmi, jak to się stało, że możliwe było powstanie takiego błędu. Pomijając jednak ten aspekt, szokuje ostatnie zdanie odpowiedzi:

Przygotowując artykuł prasowy, proszę mieć na uwadze art. 24 Kodeksu Cywilnego.

Dla przypomnienia – art. 24 kc par. 1 brzmi tak:

§ 1. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.

Uważajcie, bo wiecie, art. 24 kc

To z kolei wskazuje na to, że firma zarządzająca sklepem Selgros, który zaliczył wpadkę (i to poważną), jeśli chodzi o ochronę danych klientów, próbuje straszyć serwis, który po prostu informuje o całej sytuacji. Moim zdaniem świadczy to o pewnym braku instynktu samozachowawczego. Tak jak napisałam na samym początku – błąd może przydarzyć się każdemu (chociaż, bądźmy szczerzy, w kwestii ochrony naszych danych wymagamy od firm więcej i mamy do tego prawo). Firma jednak nie dość, że stwierdza, że „dotychczas stosowane zabezpieczenia nie odbiegały standardom stosowanym na tożsamych stronach internetowych” (to również znalazło się w oświadczeniu), to jeszcze próbuje straszyć. Przywołanie art. 24 kc można bowiem moim zdaniem potraktować jako aluzję „uważajcie, co napiszecie, bo was pozwiemy”. A to już próba zamykania ust mediom, które mają przecież prawo (a wręcz obowiązek) informować odbiorców o wszelkich błędach i naruszeniach – na podstawie faktów i dowodów.