Wielki wyciek na AliExpress. Do internetu mogły trafić dane tysięcy Polaków

Marcin Długosz
Nawet kilkaset tysięcy Polaków, którzy przed świętami zamówili prezenty na AliExpressie, mogło paść ofiarą wycieku danych osobowych. Za błąd odpowiada serwis Postal Ninja, służący do śledzenia chińskich przesyłek.
Za wyciek danych odpowiedzialny był serwis PostalNinja, służący do śledzenia przesyłek z Aliexpress. Fot. 123rf.com
O wycieku poinformował serwis Zaufana Trzecia Strona. Okazuje się, że numery umożliwiające śledzenie przesyłek były skrajnie przewidywalne – numeracja była najprawdopodobniej ciągła. Po wpisaniu ich do systemu naszym oczom ukazywały się historia podróży danej paczki, jak również imię i nazwisko odbiorcy oraz adres dostawy.

Serwis ocenia, że problem ten mógł dotyczyć ok. 800 tys. przesyłek wysłanych z AliExpress przez SinoAir między październikiem a grudniem 2019 r.
Dane, w których posiadaniu był serwis Postal Ninja, były bardzo łatwe do podejrzenia.Fot. Zaufana Trzecia Strona
Błąd został usunięty
Zanim serwis podał informację o wycieku, ostrzegł o problemie sam serwis Postal Ninja. Po 24 godzinach błąd został usunięty: widać jedynie trzy pierwsze litery imienia i nazwiska odbiorcy oraz szczegóły adresu.


Warto podkreślić, że nie jest to najgorszy wyciek danych, jaki można by sobie wyobrazić W informacjach nie było na szczęście ani numeru telefonu odbiorcy, ani jego adresu e-mail. Jak jednak zauważa Zaufana Trzecia Strona, dane można wykorzystać do wysyłania "tradycyjnego" spamu, nie jest też wykluczone, że możliwe jest zweryfikowanie po numerach śledzących, co zakupili użytkownicy.

Wyciek danych z Facebooka
O wiele bardziej niebezpieczny był np. ostatni duży wyciek danych z Facebooka, o którym pisaliśmy pod koniec grudnia. Nieautoryzowany dostęp do ponad 267 mln kont zaowocował pojawieniem się tych danych na dwa tygodnie w Internecie.

Paczka z danymi zawierała ID użytkowników, ich numery telefonów, a także imiona. Ucierpieli głównie posiadacze kont ze Stanów Zjednoczonych.

We wrześniu tego roku w sieci można było znaleźć 419 milionów identyfikatorów użytkowników Facebooka wraz z numerami telefonów. Na firmę nałożono wówczas karę finansową w wysokości 3 mld dolarów.