- 1 Nie będzie lepszej segregacji - będą kary (195 opinii)
- 2 Śmierć Adamowicza. Wyrok ws. finału WOŚP (98 opinii)
- 3 Napad na bank czy głupi żart? (85 opinii)
- 4 "Pani już tu nie mieszka". Wyrzucili też kota (678 opinii)
- 5 Remontują, zamiast wyburzyć. Dlaczego? (106 opinii)
- 6 Były wiceprezydent Gdańska skazany (194 opinie)
Błąd na stronie ZTM pozwalał na dostęp do danych 100 tys. pasażerów
Dane ponad 100 tys. pasażerów komunikacji miejskiej w Gdańsku mogły zostać ujawnione. Przez nieodpowiednie zabezpieczenia w skrypcie do sprawdzania stanu karty miejskiej, można było pozyskać m.in. imiona, nazwiska, adresy zamieszkania, e-mail oraz numery PESEL. Zdaniem firmy informatycznej obsługującej ZTM, do wycieku danych jednak nie doszło.
Zobacz również: Ważność karty miejskiej - sprawdź
Chodzi o tzw. atak SQL Injection, polegający na odpowiedniej modyfikacji zapytania, w efekcie czego możliwy był dostęp do 101 tys. 143 wniosków o wydanie karty miejskiej, złożonych przez Internet od 2009 r.
Poprzez odpowiednio spreparowane zapytanie na podstronie ZTM możliwe było uzyskanie następujących danych wnioskodawcy:
- imienia i nazwiska
- numeru PESEL
- adresu e-mail podanego przy rejestracji
- adresu zamieszkania podanego we wniosku
Niemożliwe było natomiast pobranie zdjęcia dołączonego do wniosku.
Urzędnicy: do wycieku danych nie doszło
Sprawę potwierdzają pracownicy Zarządu Transportu Miejskiego, którzy jednak przekonują, że nie można mówić o wycieku danych.
- Według informacji uzyskanych od firmy hostingującej [odpowiedzialnej za fizyczne utrzymanie strony na serwerze - dop. red.] nie doszło do wycieku danych. Baza zawiera wyłącznie dane z wniosków o wydanie karty miejskiej złożone przez Internet - mówi Zygmunt Gołąb, rzecznik ZTM w Gdańsku. - Oddzielnie przechowywane są wnioski składane drogą papierową, które stanowią ok. 75 proc. wszystkich wniosków składanych do wydania karty miejskiej. Te dane są na serwerze, który nie jest połączony z siecią internetową.
Czy jednak w bazie danych, połączonej na stałe z Internetem, powinny być przechowywane tak szczegółowe dane osobowe? Dlaczego na serwerze nie trzymano jedynie numerów kart miejskich wraz z informacją o jej odbiorze lub trwającym procesie produkcji?
- Weryfikacja gotowości karty do odbioru jest jednym z elementów całego procesu złożenia wniosku o wydanie karty miejskiej przez Internet. Jako usługa świadczona online wymaga, aby baza była dostępna dla serwera www świadczącego usługę. W żadnym przypadku serwer z bazą danych nie jest dostępny bezpośrednio przez Internet. Dane zawarte w bazie danych nie są danymi wrażliwymi, tylko danymi osobowymi. Firma hostingująca naszą stronę jest w trakcie analizy zaistniałej sytuacji i celem podniesienia bezpieczeństwa danych już dokonała ich separacji pod wymagania poszczególnych funkcjonalności. Nie są wykluczone dalsze działania mające na celu zwiększenie bezpieczeństwa danych - wyjaśnia rzecznik ZTM Gdańsk.
Luka załatana, system doładowania kart działa niezależnie
Urzędnicy obecnie analizują czy i w jaki sposób będą informowali właścicieli danych osobowych o - jak sami to nazywają - zaistniałym incydencie.
Luka w systemie została "załatana" w ciągu 90 minut od zgłoszenia ją przez portal Zaufana Trzecia Strona i jeszcze przed publikacją artykułu. Autorzy strony oceniają jednak nowo wprowadzone rozwiązanie jako "dalekie od idealnego".
Warto podkreślić, że w sposób niezależny od strony ZTM funkcjonuje strona, na której możliwe jest dokonanie zakupu biletu przez Internet. Dane osobowe pasażerów są w tym przypadku magazynowane na zupełnie innym serwerze, a dostęp do nich odbywa się w oparciu o inne rozwiązania programistyczne.
Czytaj również artykuły z 2013 r.:
- Luka w systemie pozwala ładować karty miejskie biletami na wiele lat i za darmo
- Jest szansa na załatanie systemu kart miejskich?
Miejsca
Opinie (174) ponad 10 zablokowanych
-
2019-01-25 20:08
Pierwsza pozycja na liście najczęstszych 10 luk bezpieczeństwa (8)
Wstyd, po prostu wstyd... Uczą tego na pierwszym roku studiów informatycznych
- 96 2
-
2019-01-25 20:29
(6)
Jakaś luka musi być najczęstszą :)
- 9 0
-
2019-01-25 20:35
(4)
Oczywiście, ale to naprawdę świadczy o kompletnej amatorszczyźnie. Podstawowe zabezpieczenie przed tym atakiem to naprawdę dzień-dwa pracy włącznie z testowaniem ;)
- 18 0
-
2019-01-25 21:47
(2)
Layout strony ZTM wygląda jakby nie był zmieniany od co najmniej 2008 roku, więc nie ma co się dziwić, że i technologicznie nikt tego nie zabezpieczał. Sama strona ztm nie jest szyfrowana po https.
- 22 0
-
2019-01-26 08:56
(1)
Po co szyfrowac rozklad jazdy ;)
- 2 4
-
2019-01-27 02:15
Po to żeby ktoś nie zrobił ataku MITM.
- 2 0
-
2019-01-25 21:58
podstawowym zabezpieczeniem jest mądre używanie PDO już podczas pisania systemu
- 3 0
-
2019-01-26 00:25
historycznie owszem
dziś popełnianie takich błędów to obciach
- 8 0
-
2019-01-26 08:55
W pierwszej klasie podstawówki nawet tego uczo
- 3 4
-
2019-01-25 20:07
(3)
co robią te wszystkie Policje? przecież za to powinna być kara wiezienia...
- 47 3
-
2019-01-27 01:32
wstyd
chyba Milicje
- 0 0
-
2019-01-26 01:42
... kara więzienia jest już przewidziana...
...tylko Policja i prokurator musi jeszcze wiedzieć JAK udowodnić...
- 5 1
-
2019-01-26 00:19
"te wszystkie policje" zwykle działają post factum
przestępcy zawsze są krok do przodu
- 6 0
-
2019-01-26 23:21
Jak zwykle
Jak zwykle tylko głupie przepraszam i zwykłemu obywatelowi w tym głupim kraju jakim jest Polska ma to wystarczyć.A gdzie przepisy, gdzie RODO po co to było tworzone jak zwykły szarak nie może z tego skorzystać bo nic się nie stało.A skąd on ten szary obywatel ma wiedzieć że za jakiś czas nikt nie posłuży się jego danymi do jakiegoś przekrętu co w naszym głupim kraju jest nagminne.Nikt do niczego się nie przyzna i po sprawie.Podobnie było w przypadku sklepu Morele na głupim przepraszam się skończyło i po sprawie.Żałuję jednego że nasi dziadkowie musieli przelewać krew za ten głupi kraj bo chyba za Niemca albo i Ruska było by o 100% lepiej niż ze wszystkimi rządzącymi jacy przewinęli się przez ten d**ilny kraj o nazwie Polska.Zawsze będziemy ru***i w tyłek bo prawo dla szarego obywatela w związku z dochodzeniem swoich roszczeń nie działa ale jak ukradniesz cukierka to już skutecznie cię ścigają i wsadzają do pierdla.
- 6 0
-
2019-01-26 17:21
(1)
Żadne dane nie wyciekły, a gościu na screenach ma pesele różnych osób. To oczywiście wg prezesa ZTM nie jest wyciek danych :)
- 14 1
-
2019-01-26 23:10
Gdzie sa screeny? Moze powoinnam sprawdzic czy widnieje tam moj numer pesel
- 1 0
-
2019-01-26 23:08
75% to forma papierowa, a pozostali??? Mam sie czego obawiac skoro skladalam wniosek o karte miejska przez intenet? Porazka totalna, nie dosc ze ciagle awarie, stare gruchoty co ledwo jezdza, to jeszcze to? Ta firme powinni zrownac z ziemia...
- 5 1
-
2019-01-25 20:00
(15)
No przecież by się nie przyznali do wycieku :)
Składałem wniosek na papierze, to nie ma czym się martwić :)- 104 14
-
2019-01-26 22:27
Rodo określa kary za taki wyciek
- 0 0
-
2019-01-25 20:22
Ja składam na trzeźwo (9)
Na papierze wolę siedzieć i chillować.
- 10 1
-
2019-01-25 20:40
Co? (6)
- 1 5
-
2019-01-25 21:29
chodzi mu że po dżumie lepiej odpalić chill (4)
- 5 2
-
2019-01-26 09:43
Gdańsk w ruinie ! (1)
Dalej jej chcecie?
- 5 1
-
2019-01-26 21:20
chyba ty i twoja becia sołtysowa z dojnej zmiany
- 3 2
-
2019-01-26 11:45
Żujemy gumę dalej
- 0 0
-
2019-01-26 07:57
Nie pisze o dżumie
a wyraźnie.e.e.e.e.e. o----o kartonnnach
- 4 0
-
2019-01-26 09:40
No Pani Dul ...
Dzieje się
- 5 1
-
2019-01-26 09:47
Dalej ja chcecie?
- 4 1
-
2019-01-26 09:41
Nie ma Pana jest bu...l!
- 0 3
-
2019-01-26 09:46
Sprawdziłem
Sucho
- 0 0
-
2019-01-25 23:41
(1)
Codziennie njus pokazujacy jak wąsko myślą garnitury.
- 5 0
-
2019-01-26 09:44
Nowa władza nie panuje ?
- 0 2
-
2019-01-26 08:47
U co z tego, że na papierze. Twoje same w bazie już są
- 6 0
-
2019-01-25 20:05
GD (5)
Lisicki , wszystko na ten temat ! ! 1
- 82 9
-
2019-01-25 21:17
(4)
Lisicki dla przypomnienia to GAIT nie ZTM w którym króluje Dobaczewski jak piszesz to pisz o czym jesteś pewien
- 12 6
-
2019-01-26 01:00
Wszystko jedno (3)
- 5 8
-
2019-01-26 11:04
Już wstałeś (1)
Janusz Ch. W sobotę też komentator
- 3 3
-
2019-01-26 17:11
Motorowy był słaby to komentuje
- 1 1
-
2019-01-26 12:29
Tłuszczy zawsze jest wszystko jedno
- 2 1
-
2019-01-26 17:07
Przepisy mówią o
2 lub 4% kary rocznego obrotu. Proponuję zaorac tą firmę
- 9 0
-
2019-01-26 17:05
Firmy straszy się ogromnymi konsekwencjach za drobne niedopatrzenia a tu udają , że nic się nie stało
- 7 0
-
2019-01-26 14:42
Co na to RODO ?
- 5 0
Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.