Znasz nick użytkownika 2be.pl? Znasz jego dane osobowe!

Lis 30
2012

Nie trzeba ukrywać, że ochrona danych osobowych w dzisiejszych czasach powinna być priorytetem projektantów aplikacji WWW. Co na ten temat mogą nam powiedzieć inżynierowie rejestratora domen 2be.pl? Jak się okazuje niewiele. Wystarczy bowiem znać nick użytkownika systemu, aby poznać jego pełne dane osobowe takie jak imię, nazwisko, email, numer telefonu, adres zamieszkania oraz PESEL.

 

 

Wystarczą dwa kroki

W celu dokonania pełnej inwigilacji danej osoby, musimy zalogować się do systemu i przejść do naszego panelu użytkownika. Na samym dole mamy tabelę ze spisem domen, które posiadamy. Zaznaczmy checkbox obok jednej z nich i wybierzmy opcje „Zmień właściciela„.

Po tym kroku zostaniemy poproszeni o podanie loginu osoby, która posiada konto w systemie. Będzie to w domyśle nowy właściciel naszej domeny.

To już wszystko. W celu dokończenia zmiany właściciela, system wygeneruje nam wzór dokumentu, który należy przesłać pod adres siedziby 2be faxem, lub poprzez email. W dokumencie tym poza naszymi danymi, znajdziemy także informacje na temat przyszłego właściciela domeny. Warto zaznaczyć, że osoba ta nie prowadzi żadnej firmy, ani nie jest osobą publiczną.

Według mnie nie tak powinna wyglądać zmiana właściciela domeny. Ja, jako zwykły użytkownik z dwoma domenami nie chciałbym, aby moje prywatne dane dostały w się w ręce osoby trzeciej. Mam także wątpliwości, czy ktokolwiek poza nami jest informowany o procesie zmiany właściciela. Osoba, której chciałem przekazać domenę nie poinformowała mnie, aby otrzymała jakąkolwiek informację z systemu 2be.pl.

 

Konkluzja

Powyższe informacje przekażę do administratora 2be w celu wyjaśnienia całego procesu zmiany właściciela domeny. Gdy dostanę odpowiedź, znajdzie się ona w tym wpisie.

Szanowni Państwo.

Zauważyłem dziwne zachowanie Państwa systemu zmiany właściciela domeny w 2be.pl. Otóż, po wpisaniu loginu osoby z systemu, której chcemy przekazać naszą domenę, otrzymujemy jej pełne dane osobowe (adres zamieszkania, PESEL itp.). Uważam, że w przypadku osób prywatnych może to prowadzić do rażących nadużyć.

Kontaktowałem się z Państwa pracownikiem poprzez czat online i gdy zapytałem, czy regulamin 2be.pl pozwala na takie przekazywanie danych pomiędzy zwykłymi użytkownikami odpowiedział, że nie ma takiej możliwości. W moim odczuciu, system zmiany właściciela domeny nie działa tak jak powinien.

Proszę o informację zwrotną, czy faktycznie jest to błąd na poziomie logiki systemu i czy zamierzacie Państwo coś zrobić w tej kwestii?

Z mojej strony mogę zaproponować zmianę systemu na taki, który po wpisaniu loginu osoby wyśle do niej adres email z zapytaniem, czy zgadza się na takie ujawnienie danych. Potwierdzenie mogłoby się odbywać za pomocą specjalnie wygenerowanego linku.

 

Aktualizacja

Odpowiedź Administratora w komentarzu poniżej.

6 komentarzy w “Znasz nick użytkownika 2be.pl? Znasz jego dane osobowe!”

  1. » * Masz domenę w 2be.pl? -- Niebezpiecznik.pl -- napisał/a:

    […] świadomy tego, że ktoś może podejrzeć Twoje dane, o ile zna twój login. Dlatego wybór trudnego do przewidzenia loginu jest czasami […]

  2. po kosztach napisał/a:

    Odpisali?
    Muszę zacząć w końcu tworzyć trudne loginy.

  3. Tomasz Malik napisał/a:

    Witam,

    Odpowiedz została wysłana w dniu wczorajszym i doszła na serwer nadawcy. Poniżej przyklejam jej treść.

    Dziękujemy na zwrócenie uwagi na działanie opcji zmiany właściciela. Opcja ta została wyłączona w systemie po otrzymaniu informacji od Pana i ich upublicznieniu w celu zapobiegania ewentualnemu nadużyciu po Pana publikacji.
    Przeanalizujemy logikę systemu związaną z cesją domeny.

    Jednocześnie ja jako administrator i osoba dbająca o bezpieczeństwo systemów ubolewam, że upublicznia Pan takie informacje, bez wcześniejszej chęci wyeliminowania problemu bezpośrednio z naszą pomocą techniczną która zawsze jest do dyspozycji.


    Pozdrawiam, Tomasz Malik
    Głowny Administrator Grupy Adweb/ IT Director

    .:: 2BE.PL – Grupa Adweb ::.

    • Komeniusz napisał/a:

      Witam serdecznie.

      Oczywiście kontaktowałem się wcześniej z BOKiem w tej sprawie. Tam otrzymałem Pana adres email i wysłałem szczegóły. Wiadomości od Pana jednak nie dostałem, najprawdopodobniej jest to wina mojego serwera/klienta pocztowego. Będę musiał się tym zająć.

      Dziękuję za przeklejenie odpowiedzi.

  4. Addslashes() w służbie bezpieczeństwa przed XSS?… NIE! | Blog | Komeniusz dev-blog - niezależny freelancer napisał/a:

    […] więcej dwa miesiące temu poinformowałem rejestratora domen 2be.pl o możliwości potencjalnego wycieku danych osobowych ich klientów z bazy danych. Dostałem wtedy po uszach, że jednocześnie opublikowałem na ten temat wpis na […]

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *