un blog de Radu Dumitru

►► canalele mele de YouTube: youtube.com/RaduDumitru (personal) și youtube.com/NwraduBlog (tech) ◄◄

Sameday a fost spart, datele despre expediții ajung pe net

7 Apr 2020  ·

TEHNOLOGIE  ·

36 comentarii

Un cititor îmi semnalează că, pe forumul RaidForums, cineva vinde un dump de date de la Sameday, mai exact “a month’s worth of logs”.

Așa o fi.

Este acolo și un sample de date și acestea includ numele, adresa și telefonul expeditorului, al destinatarului, numărul de AWB și alte mențiuni de la livrarea pachetului, de exemplu retur cash, cum a decurs livrarea șamd.

Nu vreau să dau linkuri spre asta (găsiți căutând în Google, dacă chiar vă interesează) și nici să arăt datele personale ale cuiva pe net, așa că am editat un screenshot. Datele arată ca mai jos:

Probabil că Sameday va primi o amendă mărișoară pe partea de GDPR.

Problema este următoarea: treaba principală a curierilor este legată de mutat colete din A în B cu ajutorul mașinilor. Transport rutier. Pentru ei, partea de sisteme digitale este una de susținere a activității, dar nu cea în care sunt specializați.

Din acest motiv, probabil că nici un curier din România nu stă bine pe partea de securitate a datelor și serverelor proprii. Sper că ceea ce vedeți acum să fie un semnal de alarmă pentru toți din domeniu că ar fi cazul să investească foarte rapid și mult în audituri de securitate și apoi în securizarea sistemelor proprii.

Nu de alta, dar aceste companii știu că acum două luni ai comandat de 850 de lei de la un sex-shop sau că primești multe colete de la Elefant sau eMAG sau că firma ta tot schimbă plicuri cu firma cealaltă. Și poate nu vrei să afle și alții astfel de lucruri.

    36 comentarii

  1. Ai anunțat și la Sameday?

      (Citează)

  2. Tu ai blurat datele personale, dar dacă scrii “raidforums sameday” pe google, fix la postare ajungi.

      (Citează)

  3. De ce sa fie amendati?
    Daca un hacker fura date de la vodafone e o problema de gdpr?
    E ca si cum intra un hot in arhiva unei banci, fura dosarele de credit si banca primeste amneda gdpr.

      (Citează)

    • Esti superficial ;). Ei sunt custodienii datelor personale si sunt responsabili 100% de stocarea/manipularea lor in conditii de securitate maxima. E treaba lor sa se asigure ca acestea nu devin publice.

        (Citează)

    • da, dacă un hacker fură date de la Vodafone e o problemă de GDPR a Vodafone, că nu s-a asigurat de privacy by design.

      analog, dacă intră în arhiva băncii și fură date cu caracter personal de acolo, iarăși, banca e pasibilă de amendă că nu s-a asigurat de protecția datelor.

      my2c

        (Citează)

  4. La prima vedere nu pare ca are legatura cu GDPR, pare un hacking. Poti avea toate sistemele puse la punct conform normelor GDPR, nu inseamna nicio secunda ca sunt 100% safe / impenetrabile.

      (Citează)

    • Bai, daca anonimizarea datelor nu va zice nimic nu mai comentați despre gdpr.

        (Citează)

    • ce ar trebui sa zica anonimizarea datelor in cazul asta? datele nu trebuie stocate anonimizat lol

        (Citează)

    • Lucrezi la sameday departamentul IT, nu? Pai daca le-ar fi avut anonimizate baza aia de date nu reprezenta nimic pt orice hacker. Dar hei, nu trebuie stocate asa (așa au zis și cei de la sameday, facepalm) … contează cum e best practice omule.

        (Citează)

    • Ady, nu stiu unde lucreaza interlocutorul, dar sper ca tu nu lucrezi in nici un departament de IT. Faci diferenta intre anonimizare si encriptare? Sau tu astepti pachetul sa iti fie livrat la un sha256 din adresa ta?

        (Citează)

  5. La livratori cel mai ciudat mi se pare ca pun pe colete toate detaliile livrarii in print greu de scos, etc.

      (Citează)

    • +1
      Si eu sunt genul care da jos awb urile, daca nu merge sa il dau jos pe tot cel puțin datele mele si nr de tracking ma asigur ca nu mai sunt lizibile.
      In plus am înțeles ca daca cartonul nu e curat nu il reciclează deci ar trebui sa găsească ceva metodă mai ok

        (Citează)

  6. Sa las aici comentariul despre cat de “profesionisti” sunt astia de la Sameday, cand ajung sa bage la telefon faze cu
    – “nu putem livra la EasyBox asa cum ati achitat, va sugeram sa cereti retur, sa refaceti comanda si sa specificati cu livrare la domiciliu”
    – Pai am achitat un produs si un serviciu de livrare la EasyBox-ul vostru, nu e o masina de spalat ci un colet de 500 grame
    – Nu putem sa va livram la adresa fara costuri suplimentare

    Drept urmare coletul meu zace de 2 zile la ei in depozit. Retur solicitat, dar ce sa vezi “datorita volumului mare de comenzi procesarile dureaza”

    Carry on…

      (Citează)

    • pai si de ce nu pot livra? daca e din cauza ca easybox-ul este plin, trebuie sa multumesti oamenilor care nu ai le ridica la timp. lipseste ceva din ce zici.

        (Citează)

  7. Cea mai nasoala parte e că adresele de acasă a multor oameni tocmai a ajuns publică pe net.

      (Citează)

  8. Și cum identifici clienții și awb-urile, Gigele? Datele trebuie anonimizate in anumite contexte nu mereu.

    Ady:
    Lucrezi la sameday departamentul IT, nu? Pai daca le-ar fi avut anonimizate baza aia de date nu reprezenta nimic pt orice hacker. Dar hei, nu trebuie stocate asa (așa au zis și cei de la sameday, facepalm) … contează cum e best practice omule.

      (Citează)

    • De encriptarea bazei de date pe info sensibile ai auzit? La cum arata mostra aia de date cred ca a intrat in BD ca intr-un supermarket, a luat si a plecat fara sa plateasca.

        (Citează)

  9. Relaxativa, nu o sa primeasca nici o amenda, sau cel mult una simbolica de vreo 100 euro, ce ati vazut voi sa fie controlati macar astia de la Emag? Aia is oameni cinstiti acolo nu se incalca legea. La concurenta e problema, aia da, dar nu la Emag &co.

      (Citează)

  10. Altu care e alfabet multifunctional. Noi vorbim de anonimizare nu de criptarea bazei de date.

    Imi place ca, pornind de la un json , care e clar raspunsul unui request, tu ai ajuns la concluzia ca aia au “intrat in BD ca intr-un supermarket” :))) Gogule, daca esti pe langa, mergi in treaba ta si nu te baga in seama aiurea ca nu faci decat sa semnalizezi.

      (Citează)

    • asta era pentru @Bogdan

        (Citează)

    • + 1
      asta cu “intrat in BD ca intr-un supermarket” e praf total

      Ca si cu covidu, toti isi dau cu parerea, toti is doctori , toti stiu ei mai bine

      vreun endpoint fara autorizare pe undeva, gen … care inca e acolo :-)

        (Citează)

  11. Bogdan:
    De encriptarea bazei de date pe info sensibile ai auzit? La cum arata mostra aia de date cred ca a intrat in BD ca intr-un supermarket, a luat si a plecat fara sa plateasca.

      (Citează)

  12. gdm:

    Encriptare?

      (Citează)

  13. Security breach, dar nu vad ce legatura are GDPR-ul cu asta. Cat timp sunt implementate prevederile GDPR (right to erasure, right to data portability, etc) sunt OK.

      (Citează)

    • Facepalm…

        (Citează)

    • De confidențialitatea datelor ai auzit ceva în același context cu gdpr? Sunt curios toți habarnistii ăștia ați și implementat ceva legat de gdpr sau doar va dați cu părerea pe net

        (Citează)

    • Apropo de GDPR … sunt singurul care a primit un colet care probabil mai fusese expediat catre alt client inainte? Se pare ca fostul client nu l-a primit iar cei de la emag au lipit awb-ul meu peste cel vechi. Hartia fiind lucioasa, AWB-ul meu s-a dezlipit destul de usor si am putut sa vad numele / adresa / numarul de telefon ale fostului client. Am putea spune ca e un caz izolat, dar totusi stau sa ma gandesc ca acel angajat nu este platit sa lipeasca un singur awb si daca din lipsa de interes nu a dezlipit awb-ul vechi in cazul meu, va actiona la fel pana in momentul in care va fi atentionat.

        (Citează)

  14. Pentru toti cei care nu cred ca are legatura cu GDPR cat de greu e sa cauti “GDPR data breach”…

      (Citează)

  15. Ciprian:
    Pentru toti cei care nu cred ca are legatura cu GDPR cat de greu e sa cauti “GDPR data breach”…

    Hai, arata-ne tu mai bine.
    https://gdpr-info.eu/art-34-gdpr/

    Tot gasesc eu in GDPR-ul despre breach-uri este ca esti obligat sa notifici subiectii si autoritatea de supraveghere.

      (Citează)

  16. Cu ce te ajuta in cazul de fata criptarea avand in vedere ca print-screen-ul arata un json? Cel mai probabil vreun API este cu problema la ei in infrastructura pe care cineva l-a interogat cum trebuie. E cel mai posibil chiar sa fie treaba de interior, imi e greu sa cred ca API-ul acesta cu nivelul de acces full sa fie expus la net.

    Bogdan:
    De encriptarea bazei de date pe info sensibile ai auzit? La cum arata mostra aia de date cred ca a intrat in BD ca intr-un supermarket, a luat si a plecat fara sa plateasca.

      (Citează)

  17. Am un feeling ca este usor de generat/intuit numere de AVB cu care poti interoga API-ul.

      (Citează)

    • Cred ca exista mai multe niveluri de drepturi pe API-ul de interogare cu AWB. Poti sa incrementezi AWB-urile pe site-ul public de tracking si ai sa vezi ca functioneaza doar ca datele sunt limitate. Pentru nivelul care se vede in json trebuie acces din interior sau interogare de la curier, probabil.
      Eu cred ca e ceva din interior, spre 100%

        (Citează)

  18. SOMEDAY este al lui eMAG.

    Care eMAG se plangea de curieri ca nu au destule capacitati de livrare, ca nu se dezvolta.

    Deci eMAG prefera sa se planga prin ziare in loc sa investeasca in firma de curierat pe care o detine.

    Evident eMAG nu va intelege nici acum ca bresa de securitate la curierul pe care il detin este exclusiv responsabilitatea lor.

      (Citează)

    Alătură-te discuției, lasă un mesaj

    E-mail-ul nu va fi publicat. Fără înjurături și cuvinte grele, că vorbim prietenește aici. Gândiți-vă de două ori înainte de a publica. Nu o luați pe arătură doar pentru că aveți un monitor în față și nu o persoană reală.

    Apăsați pe Citează pentru a cita întreg comentariul cuiva sau selectați întâi anumite cuvinte și apăsați apoi pe Citează pentru a le prelua doar pe acelea. Link-urile către alte site-uri, dar care au legătură cu subiectul discuției, sunt ok.


    Prin trimiterea comentariului acceptați politica de confidențialitate a site-ului.



    Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.

    Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri

    Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.

sus