Jeśli zamawialiście kiedykolwiek jedzenie online w serwisie NaWynos.elblag.pl to niestety mamy dla Was smutną informację. Można było pobrać dane wszystkich osób, które od 2011 roku korzystały z usług tego serwisu, a zdaniem administratora portalu, to nie jest duży problem i nie są to dane w żaden sposób wrażliwe.Co i jak wyciekło?O sytuacji poinformował nas Hubert z agencji ztl.agency, który szukał dla siebie jakiejś opcji zamówienia jedzenia w Elblągu. I znalazł serwis NaWynos.elblag.pl, ale mając specyficzne zawodowe przyzwyczajenia, postanowił przed złożeniem zamówienia “zajrzeć w konsolę”. Wkrótce ustalił, że ten serwis ma endpoint, pod który można, bez zalogowania, wysłać …numer zamówienia i w odpowiedzi otrzymać informacje na temat tego zamówienia. Sprawdziliśmy. Ustalenia Hieronima się potwierdziły.Okazało się, że przechowywane są dane zamówień sprzed wielu lat. Nam udało się dotrzeć do zamówienia nr 1500 z 2011 roku.Najwyższy numer zamówienia jaki trafiliśmy to 600605. Uwaga – nie wszystkie identyfikatory z tego zakresu (1500-600605) zwracały jakąś odpowiedź, choć większość zwracała. Trudno ocenić faktyczny rozmiar wycieku bez masowego odpytywania, a tego robić nie chcieliśmy.Chcesz nauczyć się atakować i zabezpieczać aplikacje webowe?Weź udział w naszym 2 dniowym, praktycznym szkoleniu pt. “Atakowanie i Ochrona Webaplikacji” dzięki któremu dowiesz się jak wykrywać błędy w serwisach internetowych, niezależnie od języka/frameworka w którym zostały one stworzone. Najbliższe terminy tego szkolenia znajdziesz poniżej: Kraków: 20-21 listopada 2025r. — UWAGA: zostało tylko 1 wolne miejsce Ostatnio ktoś zarejestrował się 12 listopada 2025r. → zarejestruj się na to szkolenie 2444 PLN netto (do 12 listopada) 2744 PLN netto (od 13 listopada) ZDALNIE: 24-25 listopada 2025r. — UWAGA: zostały tylko 2 wolne miejsca Ostatnio ktoś zarejestrował się 18 listopada 2025r. → zarejestruj się na to szkolenie 2444 PLN netto (do 17 listopada) 2744 PLN netto (od 18 listopada) ZDALNIE: 04-05 grudnia 2025r. — zostało 6 wolnych miejsc Ostatnio ktoś zarejestrował się 20 października 2025r. → zarejestruj się na to szkolenie 2444 PLN netto (do 21 listopada) 2744 PLN netto (od 22 listopada) Warszawa: 11-12 grudnia 2025r. — zostało 7 wolnych miejsc Ostatnio ktoś zarejestrował się 17 listopada 2025r. → zarejestruj się na to szkolenie 2444 PLN netto (do 21 listopada) 2744 PLN netto (od 22 listopada) Wrocław: 15-16 grudnia 2025r. — zostało 7 wolnych miejsc Ostatnio ktoś zarejestrował się 18 listopada 2025r. → zarejestruj się na to szkolenie 2444 PLN netto (do 21 listopada) 2744 PLN netto (od 22 listopada) Kraków: 16-17 lutego 2026r. — zostało 9 wolnych miejsc Ostatnio ktoś zarejestrował się 19 listopada 2025r. → zarejestruj się na to szkolenie 2444 PLN netto (do 28 listopada) 2744 PLN netto (od 29 listopada) W zestawach danych o zamówieniach były: adresy dostawynumery telefonów klientówkody do domofonówadres e-mail (niekiedy)Napisanie skryptu, który pobierałby te dane masowo nie byłoby zbyt trudne… “nie widzę tam żadnych wrażliwych danych”Problem serwisowi starał się zgłosić Hubert. Niestety, bezskutecznie. Postanowiliśmy pomóc i poinformowaliśmy o incydencie administratora danych, którym jest BIURO USŁUG INFORMATYCZNYCH SOFTEL s.c.. Zgłoszenie przekazaliśmy mailowo i telefonicznie, przy okazji zadając spółce trzy pytania:1. Czy ten incydent zostanie zgłoszony do UODO?2. Czy użytkownicy serwisu zostaną powiadomieni o wycieku?3. Czy istnieje możliwość, że dane zostały pobrane masowo?Biuro potwierdziło przyjęcie zgłoszenia. Krótko potem otrzymaliśmy odpowiedzi na pytania od Włodka Gęsickiego, wydawcy Elbląskiej Gazety Internetowej i portalu portEl.pl oraz wspólnika wspomnianej spółki:Dzień dobry,nie ma tam e-maila, jest tylko telefon i adres dostawy, który niekoniecznie musi być związany z telefonem. Uwagi o wejściu do budynku nie są chronione przez RODO.Nie sądzę, że to wymaga zgłoszenia do UODO, nie widzę tam żadnych wrażliwych danych. Podejmiemy natomiast kroki, żeby to na wszelki wypadek zabezpieczyć.Pozdrawiam i dziękuję za zgłoszenie tej sprawy.Nie wiemy czy dane mogły zostać pobrane masowo i czy ktoś w ogóle to sprawdzi. Po naszej interwencji dostęp do tej możliwości pobierania danych został zablokowany. Dlaczego to jednak może być problem?Teoretycznie wykorzystując opisaną lukę ktoś mógł pobrać ogromną bazę z telefonami dopasowanymi do adresów. Niektóre adresy są dostępne publicznie (telefony też), więc taka baza ma swoją wartość i dane w niej zawarte mogą być kojarzone z danymi o osobach pochodzącymi z innych źródeł, w tym z rejestrów publicznych (to zaś może mieć znaczenie dla rozważań, czy można tu mówić o danych osobowych). Ryzyka z tym związane i konkretne narzędziach do namierzania informacji na temat osób i firm z publicznie dostępnych źródeł pokazujemy na naszym silnie praktycznym szkoleniu pt. “OSINT (rozszerzone 2-dniowe): zaawansowane pozyskiwanie szczegółowych informacji na temat ludzi i firm“. Jeśli chcesz się dowiedzieć jak weryfikować swoich klientów i kontrahentów, wykrywać fraudy i pozyskiwać informacje, które mogą Ci pomóc w obowiązkach służbowych, zapraszamy na jeden z najbliższych terminów tego szkolenia:Kraków: 08-09 grudnia 2025r. — zostało 6 wolnych miejsc Ostatnio ktoś zarejestrował się 19 listopada 2025r. → zarejestruj się na to szkolenie 2444 PLN netto (do 21 listopada) 3044 PLN netto (od 22 listopada) Warszawa: 17-18 grudnia 2025r. — UWAGA: zostało tylko 1 wolne miejsce Ostatnio ktoś zarejestrował się 14 listopada 2025r. → zarejestruj się na to szkolenie 2444 PLN netto (do 14 listopada) 3044 PLN netto (od 15 listopada) ZDALNIE: 16-17 lutego 2026r. — zostało 9 wolnych miejsc Ostatnio ktoś zarejestrował się 19 listopada 2025r. → zarejestruj się na to szkolenie 2444 PLN netto (do 28 listopada) 3044 PLN netto (od 29 listopada) Warszawa: 26-27 lutego 2026r. — zostało 9 wolnych miejsc Ostatnio ktoś zarejestrował się 19 listopada 2025r. → zarejestruj się na to szkolenie 2444 PLN netto (do 28 listopada) 3044 PLN netto (od 29 listopada) Wrocław: 27-28 kwietnia 2026r. — zostało 9 wolnych miejsc Ostatnio ktoś zarejestrował się 06 listopada 2025r. → zarejestruj się na to szkolenie 2444 PLN netto (do 12 grudnia) 3044 PLN netto (od 13 grudnia) Naszym zdaniem użytkownicy serwisu NaWynos.elblag.pl powinni wiedzieć, że do takiego incydentu doszło, więc jeśli znacie kogoś z Elbląga to dajcie mu znać, zwłaszcza, że dane z najnowszych zamówień mogą być wykorzystywane w atakach socjotechnicznych, więc istnieją pewne ryzyka związane z naruszeniem praw i wolności osób, których te dane dotyczą.