- 1 Powstanie kilometrowy tor do jazdy rowerem (64 opinie)
- 2 Remont "Słoneczka". Będzie nowy wystrój (77 opinii)
- 3 Całe Trójmiasto w strefie zakażenia ASF (260 opinii)
- 4 Od soboty spore utrudnienia na A1 (67 opinii)
- 5 Masz interes? Zostaw kartkę (142 opinie)
- 6 Reforma ortografii wymusi zmiany w miastach (216 opinii)
Błąd na stronie ZTM pozwalał na dostęp do danych 100 tys. pasażerów
Dane ponad 100 tys. pasażerów komunikacji miejskiej w Gdańsku mogły zostać ujawnione. Przez nieodpowiednie zabezpieczenia w skrypcie do sprawdzania stanu karty miejskiej, można było pozyskać m.in. imiona, nazwiska, adresy zamieszkania, e-mail oraz numery PESEL. Zdaniem firmy informatycznej obsługującej ZTM, do wycieku danych jednak nie doszło.
Zobacz również: Ważność karty miejskiej - sprawdź
Chodzi o tzw. atak SQL Injection, polegający na odpowiedniej modyfikacji zapytania, w efekcie czego możliwy był dostęp do 101 tys. 143 wniosków o wydanie karty miejskiej, złożonych przez Internet od 2009 r.
Poprzez odpowiednio spreparowane zapytanie na podstronie ZTM możliwe było uzyskanie następujących danych wnioskodawcy:
- imienia i nazwiska
- numeru PESEL
- adresu e-mail podanego przy rejestracji
- adresu zamieszkania podanego we wniosku
Niemożliwe było natomiast pobranie zdjęcia dołączonego do wniosku.
Urzędnicy: do wycieku danych nie doszło
Sprawę potwierdzają pracownicy Zarządu Transportu Miejskiego, którzy jednak przekonują, że nie można mówić o wycieku danych.
- Według informacji uzyskanych od firmy hostingującej [odpowiedzialnej za fizyczne utrzymanie strony na serwerze - dop. red.] nie doszło do wycieku danych. Baza zawiera wyłącznie dane z wniosków o wydanie karty miejskiej złożone przez Internet - mówi Zygmunt Gołąb, rzecznik ZTM w Gdańsku. - Oddzielnie przechowywane są wnioski składane drogą papierową, które stanowią ok. 75 proc. wszystkich wniosków składanych do wydania karty miejskiej. Te dane są na serwerze, który nie jest połączony z siecią internetową.
Czy jednak w bazie danych, połączonej na stałe z Internetem, powinny być przechowywane tak szczegółowe dane osobowe? Dlaczego na serwerze nie trzymano jedynie numerów kart miejskich wraz z informacją o jej odbiorze lub trwającym procesie produkcji?
- Weryfikacja gotowości karty do odbioru jest jednym z elementów całego procesu złożenia wniosku o wydanie karty miejskiej przez Internet. Jako usługa świadczona online wymaga, aby baza była dostępna dla serwera www świadczącego usługę. W żadnym przypadku serwer z bazą danych nie jest dostępny bezpośrednio przez Internet. Dane zawarte w bazie danych nie są danymi wrażliwymi, tylko danymi osobowymi. Firma hostingująca naszą stronę jest w trakcie analizy zaistniałej sytuacji i celem podniesienia bezpieczeństwa danych już dokonała ich separacji pod wymagania poszczególnych funkcjonalności. Nie są wykluczone dalsze działania mające na celu zwiększenie bezpieczeństwa danych - wyjaśnia rzecznik ZTM Gdańsk.
Luka załatana, system doładowania kart działa niezależnie
Urzędnicy obecnie analizują czy i w jaki sposób będą informowali właścicieli danych osobowych o - jak sami to nazywają - zaistniałym incydencie.
Luka w systemie została "załatana" w ciągu 90 minut od zgłoszenia ją przez portal Zaufana Trzecia Strona i jeszcze przed publikacją artykułu. Autorzy strony oceniają jednak nowo wprowadzone rozwiązanie jako "dalekie od idealnego".
Warto podkreślić, że w sposób niezależny od strony ZTM funkcjonuje strona, na której możliwe jest dokonanie zakupu biletu przez Internet. Dane osobowe pasażerów są w tym przypadku magazynowane na zupełnie innym serwerze, a dostęp do nich odbywa się w oparciu o inne rozwiązania programistyczne.
Czytaj również artykuły z 2013 r.:
- Luka w systemie pozwala ładować karty miejskie biletami na wiele lat i za darmo
- Jest szansa na załatanie systemu kart miejskich?
Miejsca
Opinie (174) ponad 10 zablokowanych
-
2019-01-26 08:41
no coz - teraz bedzie fala wnioskow o kredyty w instytucjach
dlatego tez podrózuje na gape :P
- 5 0
-
2019-01-26 08:46
Urzędnicy wiedzą, że do ataku nie doszło?!!!!
Jakim prawem te orangutany wypowiadają się na tematy, o których nie mają pojęcia???
- 12 0
-
2019-01-26 08:58
Dane zawsze gdzieś wyciekna.
Problem że są paserzy którzy na podstawie samych danych zadluzaja czlowieka be sprawdzania biometrycznego.- 5 0
-
2019-01-26 09:00
prosze zlozyc pozew
mnie nie stac ale moze ktos pociagnie watek i zalozy sprawe sadowa, nie mam zamiaru dowiedziec sie po czasie o jakims kredycie a ztm sie wykpi ze nic nie wie, skotro byl atak to na pewno ma to jakis skutek, sory przepraszam to za malo
- 8 0
-
2019-01-26 09:05
(1)
Jak mozna było to zrobić przez SQL inj.?! Kto to testował? Ludzie po kursach bez doświadczenia?! Boze jaki wstyd :|
- 9 0
-
2019-01-26 10:41
Jak to kto testował? Studenci za 5 zł/h
- 3 0
-
2019-01-26 09:37
Dostep nadal jest mozliwy
Ktos sciemnia
- 3 1
-
2019-01-26 10:05
Otóż to.
Chmura u dobrego providera jest tak bezpieczna, jak skrypty które sobie napisał klient.
- 2 2
-
2019-01-26 10:18
czy te dane wystarczą do kredytu? (1)
czy zakupu telefonu? Złodziej z banku czy złodziej u operatora zawsze się dogada z posiadaczem takich danych i się podzielą.
- 9 0
-
2019-01-26 10:40
Oczywiście.
- 5 0
-
2019-01-26 10:31
e-bilet (1)
Po co takiej firmie jak tramwaje, nasz pesel? Przecież kioskarz czy kanar, swojego numeru nie pokazuje.
- 9 0
-
2019-01-26 10:40
Żeby mogli wysłać życzenia urodzinowe ;)
- 5 0
-
2019-01-26 10:38
imienia i nazwiska
numeru PESEL
adresu e-mail podanego przy rejestracji
adresu zamieszkania podanego we wniosku
Czyli wystarczy do wzięcia kilku pożyczek na każde dane.
Pozamiatane. Za takie niedopatrzenia firma która robiła system informatyczny, powinna płacić miliony odszkodowania.
A nie, czekaj....nadal głownym kryterium wyboru firm jest cena za usługi, więc mała biedna firma nie ma z czego płacić odszkodowania.- 9 0
Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.