Fakty i opinie

Błąd na stronie ZTM pozwalał na dostęp do danych 100 tys. pasażerów

Urzędnicy zapewniają, że błąd w systemie, który umożliwiał na nieautoryzowany dostęp do danych pasażerów, został usunięty w ciągu 90 minut od zgłoszenia i jeszcze przed jego upublicznieniem.
Urzędnicy zapewniają, że błąd w systemie, który umożliwiał na nieautoryzowany dostęp do danych pasażerów, został usunięty w ciągu 90 minut od zgłoszenia i jeszcze przed jego upublicznieniem. fot. Łukasz Unterschuetz/Trojmiasto.pl

Dane ponad 100 tys. pasażerów komunikacji miejskiej w Gdańsku mogły zostać ujawnione. Przez nieodpowiednie zabezpieczenia w skrypcie do sprawdzania stanu karty miejskiej, można było pozyskać m.in. imiona, nazwiska, adresy zamieszkania, e-mail oraz numery PESEL. Zdaniem firmy informatycznej obsługującej ZTM, do wycieku danych jednak nie doszło.



W jaki sposób zamówiłeś(aś) kartę miejską?

przez Internet 29%
w stacjonarnym punkcie 44%
nie posiadam karty miejskiej 27%
zakończona Łącznie głosów: 1320
O sprawie potencjalnego wycieku danych napisał portal technologiczny Zaufana Trzecia Strona, którego czytelnik odkrył prostą lukę w systemie sprawdzania możliwości odbioru karty miejskiej Zarządu Transportu Miejskiego w Gdańsku.

Zobacz również: Ważność karty miejskiej - sprawdź


Chodzi o tzw. atak SQL Injection, polegający na odpowiedniej modyfikacji zapytania, w efekcie czego możliwy był dostęp do 101 tys. 143 wniosków o wydanie karty miejskiej, złożonych przez Internet od 2009 r.

Poprzez odpowiednio spreparowane zapytanie na podstronie ZTM możliwe było uzyskanie następujących danych wnioskodawcy:
  • imienia i nazwiska
  • numeru PESEL
  • adresu e-mail podanego przy rejestracji
  • adresu zamieszkania podanego we wniosku

Niemożliwe było natomiast pobranie zdjęcia dołączonego do wniosku.

Urzędnicy: do wycieku danych nie doszło



Sprawę potwierdzają pracownicy Zarządu Transportu Miejskiego, którzy jednak przekonują, że nie można mówić o wycieku danych.

- Według informacji uzyskanych od firmy hostingującej [odpowiedzialnej za fizyczne utrzymanie strony na serwerze - dop. red.] nie doszło do wycieku danych. Baza zawiera wyłącznie dane z wniosków o wydanie karty miejskiej złożone przez Internet - mówi Zygmunt Gołąb, rzecznik ZTM w Gdańsku. - Oddzielnie przechowywane są wnioski składane drogą papierową, które stanowią ok. 75 proc. wszystkich wniosków składanych do wydania karty miejskiej. Te dane są na serwerze, który nie jest połączony z siecią internetową.
Podstrona ZTM, na której brakowało odpowiednich zabezpieczeń przed prostym atakiem SQL Injection.
Podstrona ZTM, na której brakowało odpowiednich zabezpieczeń przed prostym atakiem SQL Injection. ztm.gda.pl
Czy jednak w bazie danych, połączonej na stałe z Internetem, powinny być przechowywane tak szczegółowe dane osobowe? Dlaczego na serwerze nie trzymano jedynie numerów kart miejskich wraz z informacją o jej odbiorze lub trwającym procesie produkcji?

- Weryfikacja gotowości karty do odbioru jest jednym z elementów całego procesu złożenia wniosku o wydanie karty miejskiej przez Internet. Jako usługa świadczona online wymaga, aby baza była dostępna dla serwera www świadczącego usługę. W żadnym przypadku serwer z bazą danych nie jest dostępny bezpośrednio przez Internet. Dane zawarte w bazie danych nie są danymi wrażliwymi, tylko danymi osobowymi. Firma hostingująca naszą stronę jest w trakcie analizy zaistniałej sytuacji i celem podniesienia bezpieczeństwa danych już dokonała ich separacji pod wymagania poszczególnych funkcjonalności. Nie są wykluczone dalsze działania mające na celu zwiększenie bezpieczeństwa danych - wyjaśnia rzecznik ZTM Gdańsk.


Luka załatana, system doładowania kart działa niezależnie



Urzędnicy obecnie analizują czy i w jaki sposób będą informowali właścicieli danych osobowych o - jak sami to nazywają - zaistniałym incydencie.

Luka w systemie została "załatana" w ciągu 90 minut od zgłoszenia ją przez portal Zaufana Trzecia Strona i jeszcze przed publikacją artykułu. Autorzy strony oceniają jednak nowo wprowadzone rozwiązanie jako "dalekie od idealnego".

Warto podkreślić, że w sposób niezależny od strony ZTM funkcjonuje strona, na której możliwe jest dokonanie zakupu biletu przez Internet. Dane osobowe pasażerów są w tym przypadku magazynowane na zupełnie innym serwerze, a dostęp do nich odbywa się w oparciu o inne rozwiązania programistyczne.

Czytaj również artykuły z 2013 r.:


Aktualne rozkłady jazdy ZKM Gdynia, ZTM Gdańsk oraz pociągów SKM i dalekobieżnych sprawdzisz na stronie komunikacja.trojmiasto.pl oraz w naszej aplikacji na telefon.

Opinie (174) ponad 10 zablokowanych

  • (15)

    No przecież by się nie przyznali do wycieku :)
    Składałem wniosek na papierze, to nie ma czym się martwić :)

    • 104 14

    • Ja składam na trzeźwo (9)

      Na papierze wolę siedzieć i chillować.

      • 10 1

      • Co? (6)

        • 1 5

        • chodzi mu że po dżumie lepiej odpalić chill (4)

          • 5 2

          • Nie pisze o dżumie

            a wyraźnie.e.e.e.e.e. o----o kartonnnach

            • 4 0

          • Gdańsk w ruinie ! (1)

            Dalej jej chcecie?

            • 5 1

            • chyba ty i twoja becia sołtysowa z dojnej zmiany

              • 3 2

          • Żujemy gumę dalej

            • 0 0

        • No Pani Dul ...

          Dzieje się

          • 5 1

      • Nie ma Pana jest bu...l!

        • 0 3

      • Dalej ja chcecie?

        • 4 1

    • (1)

      Codziennie njus pokazujacy jak wąsko myślą garnitury.

      • 5 0

      • Nowa władza nie panuje ?

        • 0 2

    • U co z tego, że na papierze. Twoje same w bazie już są

      • 6 0

    • Sprawdziłem

      Sucho

      • 0 0

    • Rodo określa kary za taki wyciek

      • 0 0

  • :) (5)

    Nie dość że regularnie spóźniony jezdzi autobus linii 256 to w dodatku jeszcze dane mogły wyciec? Masakra!!!

    • 78 13

    • (3)

      A jak ma jeździć jak cały czas w korkach stoi? Po 16 wyjechać z Jankowa to jakaś masakra, korek czasem jest już w lesie zanim się dojedzie do ronda.

      • 4 2

      • Trzeba było zamieszkać w mieście

        • 5 9

      • Gdzie można składać zawiadomienie do prokuratury? (1)

        • 6 0

        • w prokuraturze

          • 5 0

    • no i

      wieś to jednak wieś

      • 2 0

  • Muszę pochwalic (1)

    Poprawiła się czystość w tramwajach, te starsze wyglądają jakby zostało gruntownie wyczyszczone czy to przez kontrole CBA, jeżeli tak to niech cba z ZTM nie wychodzi :-)

    • 54 15

    • ale wiesz, że tramwaje i ich czystość to nie ZTM?

      • 0 0

  • (4)

    No jeżeli to faktycznie SQL Injection to duży wstyd... Trąbią o tym wszędzie w miejscach, gdzie ludzie edukują się na temat baz danych i stron internetowych. :-( Oby to była nieprawda.

    • 60 6

    • prawda, "trochę" wstyd :P (2)

      • 12 1

      • ej teraz studenci na pierwszym roku się o tym uczą

        "trochę" bardzo

        • 4 0

      • eee, nie przesadzajmy

        • 1 4

    • Prawda

      Niestety to sql injection. Przeczytaj dokladbiejszy artykuł na zaufana trzecia strona

      • 0 0

  • GD (5)

    Lisicki , wszystko na ten temat ! ! 1

    • 82 9

    • (4)

      Lisicki dla przypomnienia to GAIT nie ZTM w którym króluje Dobaczewski jak piszesz to pisz o czym jesteś pewien

      • 12 6

      • Wszystko jedno (3)

        • 5 8

        • Już wstałeś (1)

          Janusz Ch. W sobotę też komentator

          • 3 3

          • Motorowy był słaby to komentuje

            • 1 1

        • Tłuszczy zawsze jest wszystko jedno

          • 2 1

  • (3)

    co robią te wszystkie Policje? przecież za to powinna być kara wiezienia...

    • 47 3

    • "te wszystkie policje" zwykle działają post factum

      przestępcy zawsze są krok do przodu

      • 6 0

    • ... kara więzienia jest już przewidziana...

      ...tylko Policja i prokurator musi jeszcze wiedzieć JAK udowodnić...

      • 5 1

    • wstyd

      chyba Milicje

      • 0 0

  • Pierwsza pozycja na liście najczęstszych 10 luk bezpieczeństwa (8)

    Wstyd, po prostu wstyd... Uczą tego na pierwszym roku studiów informatycznych

    • 96 2

    • (6)

      Jakaś luka musi być najczęstszą :)

      • 9 0

      • (4)

        Oczywiście, ale to naprawdę świadczy o kompletnej amatorszczyźnie. Podstawowe zabezpieczenie przed tym atakiem to naprawdę dzień-dwa pracy włącznie z testowaniem ;)

        • 18 0

        • (2)

          Layout strony ZTM wygląda jakby nie był zmieniany od co najmniej 2008 roku, więc nie ma co się dziwić, że i technologicznie nikt tego nie zabezpieczał. Sama strona ztm nie jest szyfrowana po https.

          • 22 0

          • (1)

            Po co szyfrowac rozklad jazdy ;)

            • 2 4

            • Po to żeby ktoś nie zrobił ataku MITM.

              • 2 0

        • podstawowym zabezpieczeniem jest mądre używanie PDO już podczas pisania systemu

          • 3 0

      • historycznie owszem

        dziś popełnianie takich błędów to obciach

        • 8 0

    • W pierwszej klasie podstawówki nawet tego uczo

      • 3 4

  • Jak myslicie, dlaczego artykul jest w piatek o 20? (7)

    A nie w poniedzialek o 7:00?

    • 67 5

    • Żeby nikt nie przeczytał (1)

      Do jutra do 13 już będzie daleko (albo nisko).

      • 26 0

      • Bystrzacha!

        Takich mędrków nam trzeba!

        • 19 2

    • Dlaczego?

      • 0 7

    • Żeby nie było sr*_czki bo przecież w Gdańsku wszsytko funkcjonuje jak w dobrze naoliwonej maszynie (1)

      a kto mówi bądź mysli inaczej to pewnie z pisu , albo zwykły hejter którego język to mowa nienawiści

      • 40 1

      • Ogólnie to w Gdańsku wszystko funkcjonuje jak trzeba

        Zawsze są jakieś zgrzyty.

        • 6 9

    • (1)

      Może dlatego, że portal ZTS wczoraj to opublikował, tak samo jak ZTM oświadczenie na swojej stronie. Czemu więc, ten portal miałby wstrzymywać publikację wiadomości?

      • 7 2

      • Kto czyta portale miejskie? Tyle w temacie.

        • 7 9

  • Ciekawe czy organ nadzorujący zgodność z RODO zgodziłby się z taką interpretacją zdarzenia (5)

    przez osoby odpowiedzialne za bałaganik. ZTM może się zdziwić, także i finansowo ;)

    • 73 3

    • (1)

      Zgodziłby się.
      Brak symptomów naruszenia, tu mamy incydent bezpieczeństwa.
      Dopóki nie będzie dowodu wycieku RODO nie ma zastosowania. Przeczytaj, na pewno się z tym zgodzisz.

      • 3 10

      • Powiadasz? No dobra, czas pokaże.

        Btw - doczytam... w wolnej chwili;) Miłego, pzdrawiam.

        • 3 1

    • Chyba żartujesz (2)

      Jest dziura, trzeba przejrzeć logi. Ale to jest do sprawdzenia - teraz szybko Policja, zanim logi skasują

      • 10 2

      • Ech, ci niedouczeni teoretycy...

        • 2 7

      • Przejrzeć logi...hehe

        Zdziwił bym się gdyby w tej "instytucji" były logowane takie rzeczy.

        • 4 0

  • czyli brak odpowiednich zabezpiecznień czyli rodo się kłania... ile milionów kary będzie ? (4)

    czy jak to w Gdańsku jakoś to będzie

    • 65 3

    • TV robi ludziom ze łbów kisiel (1)

      Ostatnio byłem świadkiem rozmowy między sprzedawczynią a klientką, złą bo nie chcieli jej przyjąć zwrotu butów, facetka machała łapami że puści właściciela z torbami i ją zaskarży bo jest nowe RODO.

      • 3 6

      • znasz się na tym jak judasz na wierności

        "Wdrożone przez ADO środki techniczne i organizacyjne, muszą zapewnić, że domyślnie przetwarzane będą wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności."

        • 8 2

    • POlacy nic się nie stało.

      • 3 0

    • milionów?

      ZTM to jednostka budżetowa więc najwyższa możliwa kara to 100 tys.

      • 0 0

alert Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.