Problem uczestników konkursu Netflixa. Wyciekły dane prawie 5 tys. osób

Gdy na łamach CyberDefence24 piszemy o wyciekach danych, w przeważającej części przypadków są to ataki hakerskie na podmioty zlokalizowane na całym świecie. Tak było w przypadku ataku na klub piłkarski Bologna FC pod koniec listopada, czy informacji o polskich pracownikach Balcia Insurance.

Dane uczestników dostępne dla innych

Interesującym przypadkiem jest sprawa Squid Game Arena, który organizuje polski oddział Netflixa. Jak napisał Niebezpiecznik, chodzi o wydarzenie obejmujące premierowy pokaz odcinka południowokoreańskiego serialuSquid Game oraz aktywność fizyczną – o czym organizatorzy przestrzegają w regulaminie.

Wejściówki na wydarzenie można wygrać w specjalnie zorganizowanym konkursie. W tym celu konieczne było zgłoszenie się za pośrednictwem formularza, w którym konieczne było podanie imienia, adresu poczty elektronicznej, telefonu oraz odpowiedzi na pytanie konkursowe dotyczące wizji nowej konkurencji do Squid Game, opartej na zabawie z dzieciństwa.

Rejestracja w momencie powstania tego artykułu była już zamknięta, a zwycięzcy otrzymali od Netflixa maile z informacją o uzyskaniu wejściówki i prośbą o wypełnienie formularza kontaktowego. Problem jednak w tym, że przycisk kierujący w to miejsce… nie prowadził tam, gdzie trzeba.

Organizatorzy popełnili błąd?

Zamiast do kolejnego formularza, zwycięzcom wejściówek ukazywał się panel administratora konkursu. Można było w nim podejrzeć, jakie odpowiedzi przesłała każda z osób, jaki posiada e-mail, status zgłoszenia oraz informację o wysłaniu maila dotyczącego konkursu.

Najbardziej problematyczną opcją z menu kontekstowego umieszczonego na górze panelu była opcja eksportu zgłoszeń do Excela. Powstały w ten sposób plik, według danych Niebezpiecznika, zawierał dane 4,8 tys. osób. Oprócz danych podawanych w momencie zgłoszenia uczestnictwa, w porównaniu z wymienionymi wcześniej pozycjami pojawiła się dodatkowa kolumna „Influencer”. Jeżeli zawierała jakieś dane, to był to pseudonim danej osoby.

Dostęp do panelu administratora konkursu bez konieczności wpisywania hasła wskazuje na to, że mógł to być kolejny przypadek zwykłego błędu organizatorów – podobnie jak w przypadku niedawnej wpadki w MPK Wrocław. Nie wiadomo, ile osób weszło do panelu i wyeksportowało całą bazę uczestników. 

Niewykluczone są próby oszustwa lub wyłudzenia bardziej szczegółowych danych z wykorzystaniem wizerunku Netflixa (e-maile lub telefony od „pracowników”) na podstawie informacji, które wyciekły. Warto zatem zachować czujność przy każdej próbie kontaktu.

Netflix: "Podjęto kroki, aby naprawić błąd"

Aktualizacja (13.12.2024)

Biuro prasowe Netflix Polska poinformowało, że11 grudnia nieuprawnione osoby uzyskały dostęp i pozyskały informacje ze strony konkursowej, wykorzystywanej do wydarzenia Squid Game Arena (squidgamearena.pl).

„Strona była zarządzana przez zewnętrzną agencję - w momencie uzyskania informacji niezwłocznie podjęto kroki, aby naprawić błąd. Firma zarządzająca stroną natychmiast wstrzymała proces zapisów i zablokowała logowania, aby uniemożliwić dalszy nieuprawniony dostęp. Pracujemy teraz nad poinformowaniem wszystkich uczestników konkursu, których dotyczy ta sytuacja i udzieleniem im odpowiedniego wsparcia, a uczestnicy, którzy wygrali udział w Squid Game Arena, zostaną wkrótce poinformowani o szczegółach wydarzenia” - podało biuro prasowe technologicznego giganta.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].