Można było pozyskać dane dowolnego klienta InterRisk. Wystarczyło znać jego PESEL.
PESEL nigdy nie powinien służyć jako sekret w procesie uwierzytelniania. Piszemy o tym od lat. Niestety, niektóre firmy wciąż bazują na błędnym przekonaniu, że PESEL danej osoby jest znany tylko jej. A prawdziwy smutek ogarnia nas, jeśli takie założenie czyni firma ubezpieczeniowa, która przetwarza przecież dość istotne dane na temat ludzi… Kilka dni temu pewien Czytelnik będący klientem InterRisk zgłosił nam niepokojący problem z formularzem odzyskiwania hasła w serwisie internetowym InterRisk o nazwie iKlient.