A The Register exkluzív beszámolója szerint a DronesForLess oldal elégtelen, pontosabban semmilyen védelemmel nem látta el webes infrastruktúrájának egy kritikus részét, az eltárolt vásárlói adatokat. Ennek következtében az online bolt tízezernél is több tranzakciójának számlainformációi hevertek egy titkosítás nélküli, de még jelszóval sem védett, publikus mappában. Az egyszerű szövegfájlban tárolt adatokat így bárki megszerezhette egy szabadon választott webböngésző segítségével.

Nem csak magánemberek adatairól van szó

A lista a vásárlók nevén, címén, telefonszámán, email- és IP-címén kívül tartalmazta az oldal letöltésére használt készülék információit, a megrendelt árucikkek jellemzőit, illetve a kártyakibocsátót és a fizetéshez használt bankkártyák számának utolsó négy számjegyét. A lap a megrendelők között talált a Metropolitan Police központjához tartozó rendőrt, tartalékos katonatisztet, a védelmi minisztériumban vagy a "brit FBI-ként" emlegetett NCA-nál dolgozó megrendelőket is.

A tranzakciókat végrehajtó intézmények között akad védelmi beszállító, katonai kutatási szervezet, ott a rendőrség, vannak kormányügynökségek és önkormányzatok – nem beszélve a sok ezer magánszemélyről. A megrendelések a drónok mellett digitális kamerákra és más optikai felszerelésre is vonatkoztak, amelyeket a DronesForLess oldal brandjéhez tartozó hálózatból (CamerasForLess, Tablets For Less stb.) vásároltak.
 

Ha valakit még érdekel a húsvéti kedvezmény

A brit webes áruházat egy kanadai gyökerű, és a lap szerint elég véleményes identitású társaság üzemelteti. A céggel sikerült ugyan felvenniük a kapcsolatot, de az egészen elképesztő sebezhetőség bejelentését követően majd egy hétre volt szükség, hogy az adatokat először részben, utóbb pedig teljes egészében eltüntessék a publikus folderből. Az esetről a brit és a kanadai adatvédelmi hatóságot is értesítették, a brit kormány szóvivője pedig már közölte, hogy felszólították az online áruházat a vásárlói adatok hozzáférhetőségének megszüntetésére és az érintett felhasználók azonnali értesítésére.

Nem rekord, de figyelmeztetésnek pont jó

A The Register által megszólaltatott biztonsági szakértő technikai szempontból elképesztő gondatlanságnak nevezte az ilyen jellegű információ nyilvánosan is hozzáférhető tárolását. Szerinte ebben a helyzetben a minimum, hogy az operátor tájékoztatja az ügyfeleit az adatszivárgásról, akik így megtehetik az általuk szükségesnek ítélt lépéseket, de a szakember úgy látja, hogy az illetékes adatvédelmi hatóságoknak is szigorúan fel kell lépniük az ilyen szintű hanyagság ellen.

Bár a mostani incidens nagyságrendje messze elmarad a közelmúltban napvilágra került, legjelentősebb adatszivárgásoktól, mindenképpen ijesztő, hogy ilyesmi egyáltalán előfordulhat egy hasonló forgalmat bonyolító webáruházban. Az új évszázad legnagyobb adatszivárgásairól tavaly októberben írtunk, azóta pedig a Facebook is feliratkozott a toplistára, miután kiderült, hogy a "harmadik félnek" nevezett külső adatbányászok vagy alkalmazásfejlesztők hozzáférhettek a 2 milliárdos felhasználói tábor többségének személyes információihoz. Az amerikai kormányzati szervek kalandjairól is gyakran számolhatunk be mostanában, akik a tettes és az áldozat szerepében is rendszeresen alkotnak valamit.