Netflix zapraszał widzów do udziału w zabawie. Okazało się jednak, że nie zadbano o cyfrowe BHP. W efekcie dane kilku tysięcy Polaków były dostępne na wyciągnięcie ręki. Jak na razie gigant nie skomentował tego wycieku.
Wyciek danych uczestników konkursu Netflixa. W tle Squid Game
Squid Game jest jednym z największych hitów serwisu Netflix. Serial, którego fabuła kręci się wokół śmiertelnie niebezpiecznej rywalizacji o wielką nagrodę finansową, już 26 grudnia 2024 roku powróci w wyczekiwanym drugim sezonie. Właśnie z tej okazji organizowane jest wydarzenie Squid Game Arena, podczas którego śmiałkowie spróbują swoich sił w rozgrywce zainspirowanej serialem, a także będą mogli obejrzeć pierwszy odcinek przed innymi.
Żeby wziąć udział w tym wydarzeniu, konieczna była rejestracja w konkursie – zgłoszenia (wymagające podania imienia, numeru telefonu, adresu e-mail i odpowiedzi na pytanie konkursowe) były przyjmowane do 9 grudnia, a dwa dni później – zgodnie z regulaminem – uczestnicy otrzymali wiadomości e-mail z wynikami i linkiem do formularza kontaktowego, który należy wypełnić.
Kliknięcie tego linku prowadziło jednak na dość dziwnie wyglądającą stronę. Ważniejsza od wyglądu była jej zawartość. Otóż – jak podaje serwis Niebezpiecznik – w rzeczywistości oczom użytkowników ukazywał się… panel zarządzania konkursem. Z tego poziomu można było podejrzeć zgłoszenia innych uczestników, a nawet wyeksportować bazę danych do Excela.
Wyeksportowana baza danych zawiera ponad 4800 wierszy, a w każdym z nich: imię (czasem z nazwiskiem), numer telefonu oraz adres e-mail (również mogący zawierać nazwisko, ale też rok urodzenia). Korzystając z metod OSINT serwis Niebezpiecznik potwierdził autentyczność tych danych. Krótko mówiąc: mamy do czynienia z wyciekiem.
I co dalej?
Serwis Niebezpiecznik zwrócił się z prośbą o komentarz w tej sprawie – zarówno do samego Netflixa, jak i firmy odpowiedzialnej za organizację konkursu (Bosko Trębicka Kwiecień Wojnarowski Spółka Jawna). W momencie publikacji tego newsa jednak żadna odpowiedź nie pojawiła się na stronie.
A co można zrobić, jeśli brało się udział w tym konkursie? Czasu się nie cofnie, a przed podobnymi sytuacjami w przyszłości trudno się zabezpieczyć. Warto jednak w najbliższym czasie zachować szczególną ostrożność, gdy ktoś będzie podawać się za Netflix (a już na pewno, jeśli będzie żądał podania danych logowania, skanu dowodu itp.).
Jedyna dobra wiadomość w tym wszystkim jest taka, że zakres danych nie jest zbyt szeroki (nie ma w tam na przykład numeru PESEL czy też adresu zamieszkania). Nie zmienia to jednak faktu, że tego typu sytuacje są niedopuszczalne.
Aktualizacja
Dostaliśmy oficjalne stanowisko z Biura Prasowego Netflixa:
11 grudnia nieuprawnione osoby uzyskały dostęp i pozyskały informacje ze strony konkursowej wykorzystywanej do wydarzenia Squid Game Arena – www.squidgamearena.pl.
Strona była zarządzana przez zewnętrzną agencję – w momencie uzyskania informacji niezwłocznie podjęto kroki, aby naprawić błąd. Firma zarządzająca stroną natychmiast wstrzymała proces zapisów i zablokowała logowania, aby uniemożliwić dalszy nieuprawniony dostęp.
Pracujemy teraz nad poinformowaniem wszystkich uczestników konkursu, których dotyczy ta sytuacja i udzieleniem im odpowiedniego wsparcia, a uczestnicy, którzy wygrali udział w Squid Game Arena, zostaną wkrótce poinformowani o szczegółach wydarzenia.
