Fakty i opinie
  • Kino
  • Mapa
  • Ogłoszenia
  • Forum
  • Komunikacja
  • Raport
Wiadomości
Dodaj raport
Fakty i Opinie Wiadomości
Facebook E-mail Messenger WhatsApp Kopiuj link Więcej

Błąd na stronie ZTM pozwalał na dostęp do danych 100 tys. pasażerów

Krzysztof Koprowski
25 stycznia 2019 (artykuł sprzed 5 lat) 
Opinie (174)
Urzędnicy zapewniają, że błąd w systemie, który umożliwiał na nieautoryzowany dostęp do danych pasażerów, został usunięty w ciągu 90 minut od zgłoszenia i jeszcze przed jego upublicznieniem. Urzędnicy zapewniają, że błąd w systemie, który umożliwiał na nieautoryzowany dostęp do danych pasażerów, został usunięty w ciągu 90 minut od zgłoszenia i jeszcze przed jego upublicznieniem.

Urzędnicy zapewniają, że błąd w systemie, który umożliwiał na nieautoryzowany dostęp do danych pasażerów, został usunięty w ciągu 90 minut od zgłoszenia i jeszcze przed jego upublicznieniem.

fot. Łukasz Unterschuetz/Trojmiasto.pl

Dane ponad 100 tys. pasażerów komunikacji miejskiej w Gdańsku mogły zostać ujawnione. Przez nieodpowiednie zabezpieczenia w skrypcie do sprawdzania stanu karty miejskiej, można było pozyskać m.in. imiona, nazwiska, adresy zamieszkania, e-mail oraz numery PESEL. Zdaniem firmy informatycznej obsługującej ZTM, do wycieku danych jednak nie doszło.



W jaki sposób zamówiłeś(aś) kartę miejską?

O sprawie potencjalnego wycieku danych napisał portal technologiczny Zaufana Trzecia Strona, którego czytelnik odkrył prostą lukę w systemie sprawdzania możliwości odbioru karty miejskiej Zarządu Transportu Miejskiego w Gdańsku.

Zobacz również: Ważność karty miejskiej - sprawdź


Chodzi o tzw. atak SQL Injection, polegający na odpowiedniej modyfikacji zapytania, w efekcie czego możliwy był dostęp do 101 tys. 143 wniosków o wydanie karty miejskiej, złożonych przez Internet od 2009 r.

Poprzez odpowiednio spreparowane zapytanie na podstronie ZTM możliwe było uzyskanie następujących danych wnioskodawcy:
  • imienia i nazwiska
  • numeru PESEL
  • adresu e-mail podanego przy rejestracji
  • adresu zamieszkania podanego we wniosku

Niemożliwe było natomiast pobranie zdjęcia dołączonego do wniosku.

Urzędnicy: do wycieku danych nie doszło



Sprawę potwierdzają pracownicy Zarządu Transportu Miejskiego, którzy jednak przekonują, że nie można mówić o wycieku danych.

- Według informacji uzyskanych od firmy hostingującej [odpowiedzialnej za fizyczne utrzymanie strony na serwerze - dop. red.] nie doszło do wycieku danych. Baza zawiera wyłącznie dane z wniosków o wydanie karty miejskiej złożone przez Internet - mówi Zygmunt Gołąb, rzecznik ZTM w Gdańsku. - Oddzielnie przechowywane są wnioski składane drogą papierową, które stanowią ok. 75 proc. wszystkich wniosków składanych do wydania karty miejskiej. Te dane są na serwerze, który nie jest połączony z siecią internetową.
Podstrona ZTM, na której brakowało odpowiednich zabezpieczeń przed prostym atakiem SQL Injection. Podstrona ZTM, na której brakowało odpowiednich zabezpieczeń przed prostym atakiem SQL Injection.

Podstrona ZTM, na której brakowało odpowiednich zabezpieczeń przed prostym atakiem SQL Injection.

ztm.gda.pl

Czy jednak w bazie danych, połączonej na stałe z Internetem, powinny być przechowywane tak szczegółowe dane osobowe? Dlaczego na serwerze nie trzymano jedynie numerów kart miejskich wraz z informacją o jej odbiorze lub trwającym procesie produkcji?

- Weryfikacja gotowości karty do odbioru jest jednym z elementów całego procesu złożenia wniosku o wydanie karty miejskiej przez Internet. Jako usługa świadczona online wymaga, aby baza była dostępna dla serwera www świadczącego usługę. W żadnym przypadku serwer z bazą danych nie jest dostępny bezpośrednio przez Internet. Dane zawarte w bazie danych nie są danymi wrażliwymi, tylko danymi osobowymi. Firma hostingująca naszą stronę jest w trakcie analizy zaistniałej sytuacji i celem podniesienia bezpieczeństwa danych już dokonała ich separacji pod wymagania poszczególnych funkcjonalności. Nie są wykluczone dalsze działania mające na celu zwiększenie bezpieczeństwa danych - wyjaśnia rzecznik ZTM Gdańsk.

Obsługa informatyczna firm



Luka załatana, system doładowania kart działa niezależnie



Urzędnicy obecnie analizują czy i w jaki sposób będą informowali właścicieli danych osobowych o - jak sami to nazywają - zaistniałym incydencie.

Luka w systemie została "załatana" w ciągu 90 minut od zgłoszenia ją przez portal Zaufana Trzecia Strona i jeszcze przed publikacją artykułu. Autorzy strony oceniają jednak nowo wprowadzone rozwiązanie jako "dalekie od idealnego".

Warto podkreślić, że w sposób niezależny od strony ZTM funkcjonuje strona, na której możliwe jest dokonanie zakupu biletu przez Internet. Dane osobowe pasażerów są w tym przypadku magazynowane na zupełnie innym serwerze, a dostęp do nich odbywa się w oparciu o inne rozwiązania programistyczne.

Czytaj również artykuły z 2013 r.:


Aktualne rozkłady jazdy ZKM Gdynia, ZTM Gdańsk oraz pociągów SKM i dalekobieżnych sprawdzisz na stronie komunikacja.trojmiasto.pl oraz w naszej aplikacji na telefon.

Miejsca

Zobacz także

więcej artykułów (9)

Opinie (174) ponad 10 zablokowanych

  • 2019-01-27 09:58

    To SQL Injection jest jeszcze "możliwe"?

    Trzeba się naprawdę postarać aby w dobie masy frameworków i bardzo podstawowej parametryzacji zapytań zbudować furtkę do SQL Injection... No chyba że ktoś konkatenuje zmienne z fragmentami sql i to jest dla niego sposób na zbudowanie zapytania... taki sposób jest nawet kosztowniejszy więc nadal nie rozumiem jak to jest możliwe

    Sebix

    5 lat

    • 1 0

  • 2019-01-27 08:51

    Czy można to jakoś sprawdzić czy moje dane były widoczne???? Przecież te dane wystarczą żeby wziąc kilka kredytów......

    5 lat

    • 0 3

  • 2019-01-27 08:29

    Gienek

    A która firma informatyczna przyzna się że nie umie chronić danych lub robiła to niedostatecznie dobrze? Śmiech na sali w tym kraju. Dane wyciekły i tyle świadomość ma tylko o tym haker który je ukradł. Jak można stwierdzić że dane nie zostały pobrane skoro miał miejsce atak nq bazę to tylko poto aby je zdobyć i żadna firma i formatyczna studenciakow niestety nie zabezpieczy danych jadąc po kosztach

    Gienek

    5 lat

    • 1 1

  • 2019-01-27 07:52

    Czy robią z nas idiotów?

    Z artykułu: "Dane zawarte w bazie danych nie są danymi wrażliwymi, tylko danymi osobowymi."

    TT

    5 lat

    • 6 1

  • 2019-01-27 07:52

    ztm ( z małej litery)

    to lamusy, które nie kontrolują tego, co mają pod swoją pieczą. A ich mariaż BP Tour to kompletna porażka. Ukraincy nie znający przepisów i języka, rozklekotane autobusy kopcące na pętli po 10-15 minut, olewanie sygnalizacji, przejazdy na czerwonym "na pałę' itp.

    taki tam

    5 lat

    • 2 1

  • 2019-01-25 20:32

    Czy nie dlatego (1)

    że znajomi królika (z zagrody niedkoształciuchów) wygrały przetarg na obsługę informatyczną?

    gg

    5 lat

    • 15 1

    • 2019-01-27 07:29

      Pewnie dlatego...

      ...że w tym dziwnym państwie przetargi wygrywa najtańsza opcja, a później zdziwienie że trwa festiwal porażek.

      Szymon.ka

      5 lat

      • 2 0

  • 2019-01-27 06:52

    System ktory po urichemieniu nie dzialal w pelni przez prawie 2 lata zostal shakowany, no nie mozliwe! W zeszlym roku z przeszlo 3 miesiace nie dzialaly biletomaty. Byle jakosc ma swoka cene. A Wy cieszcie sie umilowane wladze Gdanska cos robia, co z tego ze byle jak i bez calowciowej wiezji

    5 lat

    • 3 0

  • 2019-01-27 06:09

    To są...

    ...nieudacznicy. odpowiada za to prezesa i trzeba to wylać za partactwo.

    Tut

    5 lat

    • 2 0

  • 2019-01-27 05:47

    Otoz do wycieku doszlo

    Dane sa juz dostepne w torze. Dodatkowo mozna dodac jeszcze, ze to nie atak hackera tylko blad po stronie serwera. Pomimo wszytko zalatana dziura wcale nie zalatala problemu - problem dalej jest ttlko glebiej ukryty.

    5 lat

    • 3 0

  • 2019-01-25 20:02

    :) (5)

    Nie dość że regularnie spóźniony jezdzi autobus linii 256 to w dodatku jeszcze dane mogły wyciec? Masakra!!!

    pani billowa

    5 lat

    • 78 13

    • 2019-01-27 04:26

      no i

      wieś to jednak wieś

      bolo

      5 lat

      • 2 0

    • 2019-01-25 23:08

      (3)

      A jak ma jeździć jak cały czas w korkach stoi? Po 16 wyjechać z Jankowa to jakaś masakra, korek czasem jest już w lesie zanim się dojedzie do ronda.

      5 lat

      • 4 2

      • 2019-01-26 09:44

        Gdzie można składać zawiadomienie do prokuratury? (1)

        5 lat

        • 6 0

        • 2019-01-26 12:55

          w prokuraturze

          5 lat

          • 5 0

      • 2019-01-26 01:00

        Trzeba było zamieszkać w mieście

        Janusz Ch.

        5 lat

        • 5 9

1
2
3
4
5

alert Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.

Najnowsze

więcej wiadomości (9)

Najczęściej komentowane

Kleksem asfaltu w pękniętą gumę przy Zieleniaku

Kleksem asfaltu w gumę przy Zieleniaku

PSŻ Poznań - Energa Wybrzeże Gdańsk. Ile kosztuje wzmocnienie pozycji juniorskich?

Czy Wybrzeże ma kasę dla juniorów?

więcej

Najczęściej czytane