Wyciek danych z Konfederacji. Każdy mógł pobrać dane osobowe członków

Ze względu na brak zabezpieczeń w API obsługiwanym przez partię Konfederacja, dowolna osoba mogła pozyskać dostęp do danych osobowych członków i sympatyków partii. W bazie najprawdopodobniej były dane aż kilkudziesięciu tysięcy osób.

Sprawie przyjrzał się Niebezpiecznik, który podał, że strona internetowa Konfederacji umożliwiała pobranie danych użytkowników wraz z ich numerami PESEL. Aby je pozyskać, wystarczyło zmieniać kolejne wartości identyfikatora w URL by wyświetlać dane kolejnych osób.

Dane, które można było pozyskać, obejmowały nie tylko imiona i nazwiska osób związanych z Konfederacją czy ich maile. Możliwe było także pobranie numerów PESEL, telefonów, dat urodzenia, a także nazw użytkowników oraz województw, w których zostali zarejestrowani wraz z powiatem i gminą.

Po zgłoszeniu problemów, Konfederacja zablokowała ostatecznie dostęp do danych oraz podała informację, że chociaż dane były możliwe do pobrania, nikt ich masowo nie pobierał. W związku z całą sytuacją, partia przygotowuje oświadczenie w tej sprawie i zgłosi sprawę do UODO.

Osoby, których dane znalazły się w systemie Konfederacji, zostaną poinformowane o błędzie i możliwości pozyskania ich danych przez osoby trzecie. Sytuacja powinna być jednak przestrogą dla wszystkich osób, aby rozważnie podawać swoje dane i, w miarę możliwości, ograniczać ich wprowadzanie do sieci lub dowolnych aplikacji do niezbędnego minimum.