Wyciek danych w Play: dostępne bilingi, dane abonentów i nagrania
Coraz częściej zgłaszane są przypadki wycieku danych w systemie internetowej obsługi konta w sieci komórkowej Play. Widoczne dla niewłaściwych osób stają się historie połączeń, dane samych abonentów, a w przypadku klientów biznesowych korzystających z wirtualnej centralki nawet nagrania rozmów z bankami. Co ciekawe, Play zdaje się nie traktować usterki wystarczająco poważnie.
O sprawie informuje Niebezpiecznik, zwracając uwagę na fakt, iż pierwszy tego typu incydent został jej zgłoszony jeszcze w ubiegłym roku. Jeden z użytkowników chciał wówczas skorzystać ze swojego konta Play24, by z ciekawości sprawdzić stan usług dostępnych dla swojego starego, nieaktywnego już zresztą numeru prepaid. Jak się okazało, system bez przeszkód pozwolił na zalogowanie, wyświetlając później dane aktualnego właściciela tego numeru (który po dezaktywacji zapewne ponownie wrócił do puli dostępnych i wkrótce został przypisany nowemu klientowi).
Podobny przypadek odnotowany został dwa miesiące temu, a wtedy Niebezpiecznik zwrócił się do Play z prośbą o wyjaśnienie. Co ciekawe, rzecznik prasowy odpowiedział wówczas jedynie, że ma nadzieję, iż jest to tylko pojedynczy błąd, aniżeli poważniejsza luka. Niestety kolejny analogiczny przypadek został zgłoszony także w czerwcu. Ponowny kontakt z operatorem rozwiązał problem i zablokował użytkownikowi dostęp do cudzych danych, ale sprawę trudno uznać przecież za zamkniętą. Play zdaje się naprawiać pojedyncze usterki, ale nie informuje o jakichkolwiek próbach szukania ich pierwotnej przyczyny.
Nie mniej ciekawie prezentuje się sytuacja w kontekście usług dla klientów biznesowych. Tutaj, o ile w wykorzystaniu jest wirtualna centralka z aktywną usługą nagrywania połączeń, w ich historii można doszukać się plików, które nie są związane z danym abonentem – co więcej, w zgłoszonym Niebezpiecznikowi przypadku nagrania dotyczyły rozmów z bankami. Tutaj warto natomiast podkreślić, że w tym przypadku problemem nie było zalogowanie użytkownika na inne konto, ale „wymieszanie” właściwych nagrań z tymi, które danego konta nie dotyczą.
Również ta sytuacja nie obyła się bez kontaktu z Play i ponownie została w ten sposób rozwiązana. Dodatkowo Niebezpiecznik otrzymał w odpowiedzi zapewnienie, że abonent mógł mieć jedynie wgląd w niewłaściwą listę nagrań, ale nie byłby w stanie ich odtworzyć. To informacja, której nie da się w tym momencie zweryfikować, ponieważ zgłaszający sprawę abonent nie podejmował takiej próby – był świadomy, że nagrania nie dotyczą jego numerów i nie chciał poznać ich treści.
Na koniec dodajmy jeszcze, iż Play odnotowuje także zgłoszenia o błędnych doładowaniach. Ta sprawa doczekała się natomiast własnego wpisu na oficjalnym blogu operatora, w związku z czym należy mieć nadzieję, iż traktowana jest z należytym zaangażowaniem:
W zeszłym tygodniu otrzymaliśmy kilka zgłoszeń o wykonaniu nieautoryzowanych doładowań z numerów abonamentowych. Od tego czasu robimy wszystko, żeby wyjaśnić tę sytuację.
Na chwilę obecną znane nam jest tylko około 10 takich przypadków. Ze względu na niską skalę zjawiska nie zdecydowaliśmy o wyłączeniu tego kanału doładowań.
Chociaż problemy w Play zdają się dotyczyć różnych elementów i usług, u podłoża stoją zapewne luki i błędy w systemie informatycznym, który całością zawiaduje. Na tę chwilę pozostaje tylko liczyć na to, że w pierwszej kolejności Play zajmie się rozwiązaniem przyczyny błędów (a nie tylko ich maskowaniem), a ostatecznie poinformuje o swoich działaniach opinię publiczną, by uspokoić swoich abonentów.
