Korzystasz z Play24? Ktoś może widzieć Twoje dane na swoim koncie

W połowie ubiegłego pisaliśmy, że użytkownicy Play24 mieli dostęp do danych i bilingów osób, które “odziedziczyły” ich stary numer. Wygląda na to, że problem istniał dłużej niż sądziliśmy i nie został całkowicie wyeliminowany w czerwcu zeszłego roku — wciąż zgłaszają się do nas osoby z tym problemem. Co więcej, przynajmniej jeden z Czytelników widział na swoim koncie Play24 dane posiadacza zupełnie nieznanego mu numeru.

“Play24 pokazuje mi dane innych klientów”

W czerwcu 2017 r. pisaliśmy że użytkownicy Play24 mogą widzieć swoje “stare” numery, w tym dane osobowe w fakturach a także — co zdarzyło się jednemu z naszych czytelników — listę nagrań połączeń na infolinie (!) klientów banków Alior i Nest. Play przystąpił do napraw, ale wtedy pojawił się nowy problem — konta w Play24 zaczęły całkowicie znikać.

Potem wszystko jakby wróciło do normy, ale po pewnym czasie znów odezwało się do nas kilka osób z dodatkowymi spostrzeżeniami co do funkcjonowania Play24 (w tym, co ciekawe, pracownicy Play, którzy zdradzili nam kilka szczegółów technicznych dotyczących systemów wykorzystywanych przez tego operatora). Poniżej zdajemy relację z tego, czego dowiedzieliśmy się nieoficjalnie (i tego, co oficjalnie potwierdziliśmy).

Pracownik Play: działamy na zlepce różnych aplikacji

Zacznijmy od doniesień od “źródeł”, którymi byli pracownicy Play, znający dobrze procesy obsługi klienta. Te osoby podawały nam nazwy rozwiązań, z jakich korzysta Play i pokazywały nam różne ciekawostki “z pracy”, jak np. ten zrzut z ekranu, przesyłany pomiędzy pracownikami:

Nie widzimy w tego typu “żartach” wielkiego skandalu (ludzie robią różne rzeczy w pracy i w domu), natomiast na podstawie informacji, które zostały nam przekazane, mieliśmy powody by wierzyć, że kontaktujące się z nami osoby naprawdę były związane z Play. Co te osoby mówiły?

Jeden z informatorów stwierdził, że wadą systemu Play jest… brak systemu. Według informatora Play rzekomo działa na “zlepce różnych aplikacji“, które nie zawsze dobrze współgrają. Dodatkowym problemem było robienie poprawek na serwerze produkcyjnym, co podobno stanowiło niemały problem dla pracowników salonów.

Znajdowało to częściowe potwierdzenie w relacji innego informatora, który tak skomentował problemy z wyświetlaniem danych osobowych w Play24.

W normalnych przypadkach po odłączeniu numeru od konta (billingowego w Play) jakiegoś numeru telefonu (np. cesja) numer ten przestaje mieć dostęp do Play24 i też tego numeru nie widać już Play24. Ale “gdzieś w systemie” te informacje dalej siedzą, bo gdy chce się taki numer dopisać do nowego konta Play24 (np. po tej cesji) użytkownikowi pojawia się błąd z informacją w stylu “podany numer już przypisany do innego konta Play24” i taki klient musi skontaktować się z BOK aby “zresetowali konto Play24” (czyli żeby odpięli tak numer od starego konta Play24). Ten problem jednak nie występuje zawsze – ja szacuję na 10% może? Podejrzewam problem z synchronizacją danych (o Play24) pewnie w związku z jakąś aktualizacją.

Na moim koncie Play24 (…) mam [tutaj liczba] numerów, ale gdy mam zarządzać kontem (np. dodać nowy numer do konta Play24) widocznych jest jedynie [tu mniejsza liczba] – tak jakby system wyświetlał dane z dwóch różnych źródeł. Oczywiście tych brakujących numerów nie da się dodać, bo pojawia się komunikat, że numer jest już dodany do konta.

Spytaliśmy o to rzecznika Play Marcina Gruszkę. Nie odniósł się do pytań zaznaczając, że rozmowa o infrastrukturze nie byłaby wykluczona, ale musiałaby mieć charakter poufny. Nie możemy Wam zatem potwierdzić ani zaprzeczyć, że nasi informatorzy powiedzieli prawdę. Możemy tylko powiedzieć, że takie rzeczy do nas dotarły. Tu warto zaznaczyć, że ponieważ ten artykuł opisuje zgłoszenia dotyczące Playa, jakie spłynęły na adres redakcji przez ostatnie pół roku, coś od tego czasu mogło się już u operatora zmienić.

Play naprawia błędy

Marcin Gruszka odpowiedział nam na inne, niemniej istotne pytania. Przede wszystkim czy ciągle trwa poszukiwanie błędu odpowiedzialnego za wyświetlanie danych niepowołanym osobom? To pytanie zadaliśmy rzecznikowi Play jeszcze w czerwcu 2017 roku i dostaliśmy taką odpowiedź:

Zgłoszone dotychczas przypadki zostały rozpoznane. Zidentyfikowaliśmy dwa mechanizmy, które w specyficznych przypadkach powodują możliwość wystąpienia błędu. Obecnie oba są monitorowane, żeby możliwie szybko zareagować na wystąpienie któregokolwiek z nich oraz trwają prace związane z ich przebudową – docelowe rozwiązanie eliminujące znalezione luki.

Dodatkowo mamy zaimplementowany ogólny proces obsługi tego typu zgłoszeń, który wygląda następująco:

– powody podpięcia niewłaściwego numery do Play24 danego klienta, są analizowane na podstawie danego zgłoszenia lub alarmu zgłoszonego przez procesy monitorujące;
– ustalenie określonego powodu (wynik analizy) wymusza wyszukanie innych tego typu przypadków i ich naprawienie.

W przypadku błędów, które są spowodowane pomyłkami pracowników wykonujących swoje obowiązki służbowe:

– w oparciu o wyciągnięte wnioski, optymalizujemy procesy oraz narzędzia i wdrażamy kolejne zabezpieczenia, mające na celu zminimalizowanie możliwości wystąpienia jak i skutków danej pomyłki,
– przeprowadzamy dodatkowe szkolenia z obsługi danego procesu, narzędzia oraz ochrony danych osobowy i Prawa Telekomunikacyjnego dla osób obsługujących dany proces.

Spytaliśmy jeszcze, czy Play będzie informował klientów o fakcie ujawnienia ich danych. Marcin Gruszka odpowiedział, że tak. Co więcej, o fakcie i skali problemu poinformowane będzie biuro GIODO, ale — jak powiedział Marcin Gruszka — “są to pojedyncze przypadki, a nie masowy problem“.

Jeśli ktoś jest ciekawy w jaki sposób odbywa się powiadomienie o ujawnieniu danych to wygląda ono tak:

Co prawda to powiadomienie chyba nie dotyczyło Play24 (chodzi o jakiś błąd pracownika przy zawieraniu umowy), ale to dobry przykład jak działają tego typu procedury.

Dziura od 2009 roku…

Z docierających do nas informacji na temat problemów z Playem interesująca była jeszcze jedna. Sądziliśmy, że ujawnianie danych w Play24 mogło być w miarę świeżym problemem, ale najwyraźniej zdarzało się to od dawna. Tutaj przytoczymy e-mail jednego z Czytelników.

W roku 2007 zarejestrowałem profil w w/w serwisie, dodając numer na kartę, którego używałem tylko przez kilka miesięcy. Po dwóch latach przeniosłem do Play swój “podstawowy” numer, więc zalogowałem się do serwisu ponownie. Zdziwiło mnie, że nadal przypięty jest do niego stary, dawno nieaktywny już numer. Okazało się jednak, że numer jest aktywny ale ma już innego właściciela, a ja jestem w stanie sprawdzać jego dane, przeglądać billingi itd. (…)
Swoją drogą sądziłem, że ten problem został lata temu usunięty, ale po przeczytaniu Państwa artykułu włos mi się zjeżył na głowie.

Z tego e-maila wynika, że problem był obserwowany już w 2009 roku. Paradoksalnie może to potwierdzać słowa rzecznika Play, który mówił, że takich przypadków nie było zbyt dużo. Trudno byłoby nie zauważyć masowego zjawiska przez tyle lat, więc “pojedyncze przypadki” mogły się długo zbierać.

…do 2018?

Niestety problem mógł istnieć dalej, nawet po naszej publikacji i rzekomym wyeliminowaniu go przez Play. We wrześniu 2017 roku znów zgłosiła się do nas kolejna osoba, która zobaczyła w Play24 swój stary numer. Pytaliśmy operatora o sprawę, ale odpowiedzi nie dostaliśmy.  W lutym 2018 roku, czyli całkiem niedawno, zgłosił się do nas człowiek mający w Play24 dostęp do numerów w ogóle mu nieznanych. Znów spytaliśmy Play o tę sprawę. Krzysztof Sylwerski z Play odpowiedział nam, choć dopiero 6 marca.

Sprawa była nam znana już wcześniej, nawet przed Pana wiadomością.
Abonent, którego dane zostały ujawnione został poinformowany o wystąpieniu naruszenia pismem z dnia 16.02.2018 r. Tego samego dnia numer został też usunięty z konta Play24 poprzedniego właściciela (osoby zgłaszającej zdarzenie). Wysłaliśmy również zawiadomienie do GIODO w dniu 19.02.2018 r.
Sytuacja była na tyle nietypowa, gdyż został spełniony szereg bardzo specyficznych warunków. Udało nam się już naprawić proces w ten sposób, by podobna sytuacja nie miała miejsca w przyszłości.

Nie wiemy jaki problem (tj. szereg bardzo specyficznych warunków) miał miejsce w Play i rozumiemy, że operator ma powody by nie ujawniać szczegółów. Niemniej z zewnątrz wygląda to tak, jakby błąd był usuwany stopniowo, albo jakby istniało kilka różnych błędów, które trzeba było wykryć i usunąć.

Mam telefon w Play, co robić, jak żyć?

Jeśli jesteście abonentami Play i to martwi Was (słusznie!) że jedni abonenci niekiedy widzą dane innych abonentów, to sprawdźcie co widzicie w swoim koncie Play24 i zgłaszajcie nam wszelkie nieścisłości. To działanie co prawda nie da Wam 100% pewności, że ktoś nie widzi Waszych danych, ale możecie pomóc usunąć dane innych z miejsca, w którym nie powinno ich być.

Ta historia trwających od 8 lat błędów w Play świetnie pokazuje, dlaczego wymuszenie rejestrowania kart SIM może być problematyczne. Nawet jeśli karta SIM przestaje być aktywna, dane osobowe związane z danym numerem w przeszłości wciąż mogą znajdować się w systemie operatora. Dlatego jeśli chcecie dbać o swoje dane osobowe, sugerujemy nie zmieniać numerów jak rękawiczek, albo …kupować karty SIM zarejestrowane da cudze dane osobowe (o dziwo, takie obejście ustawy antyterrorystycznej jest legalne i możliwe).

Tylko pamiętajcie, aby nie korzystać z takich kart SIM jako numeru kontaktowego do swojego banku. Czym to grozi, opisywaliśmy w artykule Jak przestępcy przekierowali mu telefon i okradli konto w banku.

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *