Znalazłem lukę na stronie internetowej pewnej firmy kurierskiej.
Prosta manipulacja adresem pozwala na wyciągnięcie danych dowolnej paczki z ostatnich kilku lat.
Wstępny szacunek wskazuje, ze mogę uzyskać dostęp do danych z ponad 200 tysięcy przesyłek
Dane dostępne w pojedynczej przesyłce:
imie nazwisko adres nadawcy,
imie nazwisko adres odbiorcy
telefon nadawcy
email nadawcy
waga paczki.
Co radzicie zrobić?
kusi mnie aby uruchomić skrypt pobierający te dane - czy to nielegalne?
przypominam, ze dostep do danych jest poprzez ogólniedostępną stronę www kuriera.
oczywiscie nazwy kuriera póki co nie podaję.
Komentarze (42)
najlepsze
Nielegalne.
- Nie masz zgody firmy na "pobranie" danych z serwera. Jeśli firma Cię pozwie, to manipulacja adresem url zostanie potraktowana przez prokuratora/sąd jako włam.
- Nie masz zgody tych wszystkich klientów na gromadzenie ich danych.
- Musiałbyś "swoją" bazę danych zgłosić do GIODO jako zbiór danych osobowych ale tego nie zrobisz, bo same dane pozyskałeś w mało legalny sposób.
Tak. Napisalem juz do nich email z informacja taka ogolna o zagrozeniu. Czekamna rozwoj sytuacji.
@olektrolek:
zalaczam przyklad - wyciąłem dane personalne - ale liczba wyciemnien pokazuje, ile tego jest na jednym rekordzie. i to jest razy kilkadziesiąt tysiecy a moze i do 200k.
Mieszkam na wyspach i ta firma jest z tąd. i jest dosc dobrze znanan tutaj.