Wyciekły dane z kont ok. 20 tys. użytkowników wypożyczalni PANEK. Pracownik tłumaczył, że wyciek jest niemożliwy, bo serwis ma „zupełne inne algorytmy działania”

Moto Prywatność i bezpieczeństwo Technologie dołącz do dyskusji (53) 27.04.2020
Wyciekły dane z kont ok. 20 tys. użytkowników wypożyczalni PANEK. Pracownik tłumaczył, że wyciek jest niemożliwy, bo serwis  ma „zupełne inne algorytmy działania”

Paweł Mering

Miał miejsce wyciek danych z wypożyczalni samochodów PANEK rent a car. Powodem jest prawdopodobnie błąd administratora serwisu, a pracownik platformy w odpowiedzi na informację o wycieku najpierw udzielił odpowiedzi, którą można stawiać za wzór nieodpowiedniej reakcji na tego typu zdarzenie.

Od razu warto wyjaśnić, że PANEK rent a car to nie jest to samo, co PANEK CarSharing. Dane użytkowników tego drugiego są bezpieczne.

Wyciek danych PANEK rent a car

Fakt wycieku danych z PANEK rent a car został zauważony przez jednego z czytelników serwisu „Zaufana Trzecia Strona”. Serwis szeroko opisał co się właściwie stało, tłumacząc zarazem techniczne aspekty zdarzenia, a także informując (i pytając) o szczegółach samo PANEK rent a car, o czym później.

Jak tłumaczy „Zaufana Trzecia Strona”, najprawdopodobniej ktoś, kto zajmuje się administrowaniem serwerem PANEK, przez pomyłkę udostępnił kopie bezpieczeństwa danych z różnych okresów, czyniąc to w taki sposób, w który dane mogły zostać zindeksowane przez Google, bo to właśnie wyszukiwarka Google po wpisaniu odpowiedniego zapytania wyświetlała dostęp do danych.

Dane, które znajdowały się wśród ogólnodostępnych plików, które dostępne być nie powinny, obejmują całkiem pokaźny zakres informacji.

Co wyciekło z PANEK rent a car?

Źródłowy serwis informuje, że w ramach (zapewne) omyłkowo udostępnionej kopii zapasowej znajdują się takie dane, jak:

  • Dane kont ok. 20 tysięcy klientów PANEK rent a car (imię, nazwisko, adres, numer telefonu, numer PESEL, adres email, hasz hasła)
  • Dane tysięcy wypożyczeń pojazdów z okresu 2010 – 2014 i dane z nimi związane (imię, nazwisko, adres, numer telefonu, PESEL, adres email, miejsce i data wypożyczenia oraz zwrócenia pojazdu, cena, opis pojazdu, IP klienta)
  • Informacje co do ok. miliona wypożyczeń z okresu 2014 – 2019, ale w ograniczonym zakresie (daty, miasta)
  • Pliki firmowe takie jak konta pracowników, punkty obsługi, pojazdy
  • Dane serwera, w ramach których znajdował się m.in. kod strony, dane konfiguracyjne (niestety również hasła do baz danych, klucze certyfikatów, hasła do innych systemów)

Z czego co do kont użytkowników trzeba zaznaczyć, że w ramach uzyskanych danych najmłodsze konto zostało założone w grudniu 2019 roku. Dane kont „młodszych” nie znajdują się w omyłkowo udostępnionej bazie.

Reakcja PANEK rent a car na wyciek danych

„Zaufana Trzecia Strona” zwróciła się do firmy PANEK z informacjami o prawdopodobnym wycieku danych, wysyłając wiadomość z szeregiem pytań. PANEK odpisał po siedmiu minutach, a pracownik obsługi odpisał w sposób, którego ocenę zostawiam wam (pisownia oryginalna).

Panie Adamie nie ma takiej mozliwosci, zeby dane wyciekly, zwlaszcza, ze zmienilismy serwis www i ma on zupelnie inne algorytmy dzialania.

Na szczęście po powtórnym zawiadomieniu informacja dotarła do właściwszych osób, czego skutkiem były obszerne wyjaśnienia i – co trzeba zaznaczyć – wzorowa reakcja przedsiębiorstwa. PANEK zablokował dostęp do plików, które wyciekły, złożono zawiadomienie do UODO, a także powzięto inne kroki, które należy podejmować w takich sytuacjach.