Egymillió portugál adatait adta ki egy alkalmazás

Az ország egyik legnagyobb adatkiszivárgási botránya robbant ki.

Tim Wiengarten, a rabbit mobile vezérigazgatója blogbejegyzésében számolt be arról, hogy Portugáliában nyilvánosságra kerülhettek több mint egymillió állampolgár személyes adatai. Az információ Joao Santosnak, a lisszaboni irodájukban dolgozó fejlesztési vezetőnek köszönhetően vált ismertté.

Santos körülbelül két héttel ezelőtt találkozott az EPAL cég MyAqua nevű alkalmazásával, amely nem csupán Lisszabon, hanem néhány más nagy portugáliai körzet vízellátásával is foglalkozik. A program számos dolgot tesz lehetővé a felhasználók számára, többek között megváltoztathatják a szerződésben lévő adataikat, betekinthetnek a számláikba, módosíthatják a fizetési módokat és jelezhetik a vízhálózatban tapasztalt üzemzavarokat. Ahhoz, hogy mindez megvalósulhasson, szükség van egy kapcsolatra az adatbázishoz, ahol központilag tárolják a fájlokat.

Santos nem bízott a kapcsolatban és egy teszteszközzel közelebbről is megvizsgálta azt. Ezek a szoftverek általában szabadon elérhetők. Mint kiderült, aggodalmai nem voltak alaptalanok, ugyanis minden további azonosítás és ügyfélszám megadása nélkül sikerült hozzáférnie az ügyfelek aktáihoz. Többek között láthatóvá váltak a telefonszámok, az e-mail címek, a személyi igazolványok számai és az adószámok, az alkalmazott fizetési módok, a számlázási és a lakáscímek, valamint az adott címeken lakó emberek száma. S mindez több mint egymillió embert érintett, ugyanis nem csupán a MyAqua kapcsolata volt sebezhető, hanem összesen 14 vízellátási cégé, amelyek együttműködtek az EPAL rendszerével. Mindegyik adat teljesen nyíltan, titkosítás nélkül volt tárolva és azokat ráadásul titkosítatlan kapcsolatokon keresztül továbbították.