- 1 Nie będzie lepszej segregacji - będą kary (239 opinii)
- 2 Śmierć Adamowicza. Wyrok ws. finału WOŚP (108 opinii)
- 3 Pomorze za 36 lat: kobiece i... stare (75 opinii)
- 4 Napad na bank czy głupi żart? (90 opinii)
- 5 "Pani już tu nie mieszka". Wyrzucili też kota (729 opinii)
- 6 Remontują, zamiast wyburzyć. Dlaczego? (109 opinii)
Błąd na stronie ZTM pozwalał na dostęp do danych 100 tys. pasażerów
Dane ponad 100 tys. pasażerów komunikacji miejskiej w Gdańsku mogły zostać ujawnione. Przez nieodpowiednie zabezpieczenia w skrypcie do sprawdzania stanu karty miejskiej, można było pozyskać m.in. imiona, nazwiska, adresy zamieszkania, e-mail oraz numery PESEL. Zdaniem firmy informatycznej obsługującej ZTM, do wycieku danych jednak nie doszło.
Zobacz również: Ważność karty miejskiej - sprawdź
Chodzi o tzw. atak SQL Injection, polegający na odpowiedniej modyfikacji zapytania, w efekcie czego możliwy był dostęp do 101 tys. 143 wniosków o wydanie karty miejskiej, złożonych przez Internet od 2009 r.
Poprzez odpowiednio spreparowane zapytanie na podstronie ZTM możliwe było uzyskanie następujących danych wnioskodawcy:
- imienia i nazwiska
- numeru PESEL
- adresu e-mail podanego przy rejestracji
- adresu zamieszkania podanego we wniosku
Niemożliwe było natomiast pobranie zdjęcia dołączonego do wniosku.
Urzędnicy: do wycieku danych nie doszło
Sprawę potwierdzają pracownicy Zarządu Transportu Miejskiego, którzy jednak przekonują, że nie można mówić o wycieku danych.
- Według informacji uzyskanych od firmy hostingującej [odpowiedzialnej za fizyczne utrzymanie strony na serwerze - dop. red.] nie doszło do wycieku danych. Baza zawiera wyłącznie dane z wniosków o wydanie karty miejskiej złożone przez Internet - mówi Zygmunt Gołąb, rzecznik ZTM w Gdańsku. - Oddzielnie przechowywane są wnioski składane drogą papierową, które stanowią ok. 75 proc. wszystkich wniosków składanych do wydania karty miejskiej. Te dane są na serwerze, który nie jest połączony z siecią internetową.
Czy jednak w bazie danych, połączonej na stałe z Internetem, powinny być przechowywane tak szczegółowe dane osobowe? Dlaczego na serwerze nie trzymano jedynie numerów kart miejskich wraz z informacją o jej odbiorze lub trwającym procesie produkcji?
- Weryfikacja gotowości karty do odbioru jest jednym z elementów całego procesu złożenia wniosku o wydanie karty miejskiej przez Internet. Jako usługa świadczona online wymaga, aby baza była dostępna dla serwera www świadczącego usługę. W żadnym przypadku serwer z bazą danych nie jest dostępny bezpośrednio przez Internet. Dane zawarte w bazie danych nie są danymi wrażliwymi, tylko danymi osobowymi. Firma hostingująca naszą stronę jest w trakcie analizy zaistniałej sytuacji i celem podniesienia bezpieczeństwa danych już dokonała ich separacji pod wymagania poszczególnych funkcjonalności. Nie są wykluczone dalsze działania mające na celu zwiększenie bezpieczeństwa danych - wyjaśnia rzecznik ZTM Gdańsk.
Luka załatana, system doładowania kart działa niezależnie
Urzędnicy obecnie analizują czy i w jaki sposób będą informowali właścicieli danych osobowych o - jak sami to nazywają - zaistniałym incydencie.
Luka w systemie została "załatana" w ciągu 90 minut od zgłoszenia ją przez portal Zaufana Trzecia Strona i jeszcze przed publikacją artykułu. Autorzy strony oceniają jednak nowo wprowadzone rozwiązanie jako "dalekie od idealnego".
Warto podkreślić, że w sposób niezależny od strony ZTM funkcjonuje strona, na której możliwe jest dokonanie zakupu biletu przez Internet. Dane osobowe pasażerów są w tym przypadku magazynowane na zupełnie innym serwerze, a dostęp do nich odbywa się w oparciu o inne rozwiązania programistyczne.
Czytaj również artykuły z 2013 r.:
- Luka w systemie pozwala ładować karty miejskie biletami na wiele lat i za darmo
- Jest szansa na załatanie systemu kart miejskich?
Miejsca
Opinie (174) ponad 10 zablokowanych
-
2019-01-27 09:58
To SQL Injection jest jeszcze "możliwe"?
Trzeba się naprawdę postarać aby w dobie masy frameworków i bardzo podstawowej parametryzacji zapytań zbudować furtkę do SQL Injection... No chyba że ktoś konkatenuje zmienne z fragmentami sql i to jest dla niego sposób na zbudowanie zapytania... taki sposób jest nawet kosztowniejszy więc nadal nie rozumiem jak to jest możliwe
- 1 0
-
2019-01-27 08:51
Czy można to jakoś sprawdzić czy moje dane były widoczne???? Przecież te dane wystarczą żeby wziąc kilka kredytów......
- 0 3
-
2019-01-27 08:29
Gienek
A która firma informatyczna przyzna się że nie umie chronić danych lub robiła to niedostatecznie dobrze? Śmiech na sali w tym kraju. Dane wyciekły i tyle świadomość ma tylko o tym haker który je ukradł. Jak można stwierdzić że dane nie zostały pobrane skoro miał miejsce atak nq bazę to tylko poto aby je zdobyć i żadna firma i formatyczna studenciakow niestety nie zabezpieczy danych jadąc po kosztach
- 1 1
-
2019-01-27 07:52
Czy robią z nas idiotów?
Z artykułu: "Dane zawarte w bazie danych nie są danymi wrażliwymi, tylko danymi osobowymi."
- 6 1
-
2019-01-27 07:52
ztm ( z małej litery)
to lamusy, które nie kontrolują tego, co mają pod swoją pieczą. A ich mariaż BP Tour to kompletna porażka. Ukraincy nie znający przepisów i języka, rozklekotane autobusy kopcące na pętli po 10-15 minut, olewanie sygnalizacji, przejazdy na czerwonym "na pałę' itp.
- 2 1
-
2019-01-25 20:32
Czy nie dlatego (1)
że znajomi królika (z zagrody niedkoształciuchów) wygrały przetarg na obsługę informatyczną?
- 15 1
-
2019-01-27 07:29
Pewnie dlatego...
...że w tym dziwnym państwie przetargi wygrywa najtańsza opcja, a później zdziwienie że trwa festiwal porażek.
- 2 0
-
2019-01-27 06:52
System ktory po urichemieniu nie dzialal w pelni przez prawie 2 lata zostal shakowany, no nie mozliwe! W zeszlym roku z przeszlo 3 miesiace nie dzialaly biletomaty. Byle jakosc ma swoka cene. A Wy cieszcie sie umilowane wladze Gdanska cos robia, co z tego ze byle jak i bez calowciowej wiezji
- 3 0
-
2019-01-27 06:09
To są...
...nieudacznicy. odpowiada za to prezesa i trzeba to wylać za partactwo.
- 2 0
-
2019-01-27 05:47
Otoz do wycieku doszlo
Dane sa juz dostepne w torze. Dodatkowo mozna dodac jeszcze, ze to nie atak hackera tylko blad po stronie serwera. Pomimo wszytko zalatana dziura wcale nie zalatala problemu - problem dalej jest ttlko glebiej ukryty.
- 3 0
-
2019-01-25 20:02
:) (5)
Nie dość że regularnie spóźniony jezdzi autobus linii 256 to w dodatku jeszcze dane mogły wyciec? Masakra!!!
- 78 13
-
2019-01-27 04:26
no i
wieś to jednak wieś
- 2 0
-
2019-01-25 23:08
(3)
A jak ma jeździć jak cały czas w korkach stoi? Po 16 wyjechać z Jankowa to jakaś masakra, korek czasem jest już w lesie zanim się dojedzie do ronda.
- 4 2
-
2019-01-26 09:44
Gdzie można składać zawiadomienie do prokuratury? (1)
- 6 0
-
2019-01-26 12:55
w prokuraturze
- 5 0
-
2019-01-26 01:00
Trzeba było zamieszkać w mieście
- 5 9
Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.