Μια υπηρεσία πληρωμής και διαχείρισης προστίμων στάθμευσης, διέρρευσε κατά λάθος σύνδεσμο βάσης δεδομένων που περιέχει τα στοιχεία περίπου 10.000 οδηγών στο Ηνωμένο Βασίλειο.
Η PaymyPCN είναι μια διαδικτυακή υπηρεσία που προσφέρει στους οδηγούς τη δυνατότητα να ασκήσουν έφεση ή να πληρώσουν τα πρόστιμα για την παράνομη στάθμευση τους μέσω της ιστοσελίδας τους. Η περιοχή συνδέεται με τη βάση δεδομένων του Driver and Vehicle Licensing Agency (DVLA), έτσι ώστε η καταβολή να καταχψρείται στο σύστημα στον συντομότερο δυνατό χρόνο.
Σύμφωνα με έγγραφο για την πολιτική προστασίας προσωπικών δεδομένων, οι λεπτομέρειες των συναλλαγών είναι κρυπτογραφημένες και τα δεδομένα των χρηστών είναι αποθηκευμένα σε ασφαλείς διακομιστές. Ωστόσο, όλα αυτά φαίνεται να είναι απολύτως άχρηστα αν η σύνδεση με τη βάση δεδομένων των πελατών πέσει σε λάθος χέρια και τα δεδομένα που περιλαμβάνει προβληθούν χωρίς ανεμπόδιστα.
Είναι σημαντικό να σημειωθεί ότι το έγγραφο αποκαλύπτει ότι οι προσωπικές πληροφορίες των πελατών μπορούν να αποκαλυφθούν όχι μόνο σε άλλα μέλη της ίδιας ομάδας, αλλά και σε τρίτους, οι οποίοι λαμβάνουν τα δεδομένα έναντι οικονομικού κέρδους.
Το Sky News διαπίστωσε ότι ένας οδηγός που έλαβε το URL για τη βάση δεδομένων κατά λάθος από μια επιχείρηση πάρκινγκ και αργότερα δημοσιοποιήθηκε μέσω του Twitter, αφού είχε μεταδοθεί στον δικηγόρο και ακτιβιστή Michael Green. Το tweet έχει έκτοτε διαγραφεί.
Η δημοσίευση αναφέρει ότι στη βάση δεδομένων μπορούσε να γίνει αναζήτηση και περιελάμβανε ένα σύνολο 9.721 καταχωρίσεων που θα μπορούσαν να προβληθούν online ή να γίνουν download σε ένα αρχείο excel. Το Sky News αναφέρει ότι οι πληροφορίες που αποκαλύφθηκαν αφορούσαν στα ονόματα και τις διευθύνσεις των οδηγών, όπως διατίθενται στα αρχεία του DVLA.
Εκτός από αυτό, φαίνεται ότι τα μηνύματα που περιέχουν λεπτομέρειες σχετικές με την άσκηση προσφυγής κατά του προστίμου ή φωτογραφίες που ελήφθησαν από τις αρχές θα μπορούσαν επίσης να είναι προσβάσιμα, μαζί με την ημερομηνία και τον τόπο της παράβασης.
Δεν είναι σαφές γιατί η σύνδεση με τη βάση δεδομένων δεν επωφελήθηκε από κάποιο είδος προστασίας έναντι της πρόσβασης από μη εξουσιοδοτημένο πρόσωπο.
