- 1 Zapomniany minister i jego gdyńska historia (20 opinii)
- 2 Jeden z pierwszych w Polsce "bliźniaków" (49 opinii)
- 3 Upiorne syreny i największe pożary w Sopocie (19 opinii)
- 4 Chcemy żyć w miastach 15-minutowych? (496 opinii)
- 5 Z dworca na Jasień 80 zł (493 opinie)
- 6 Auto wjechało w pieszych i w budynek (292 opinie)
Błąd na stronie ZTM pozwalał na dostęp do danych 100 tys. pasażerów
Dane ponad 100 tys. pasażerów komunikacji miejskiej w Gdańsku mogły zostać ujawnione. Przez nieodpowiednie zabezpieczenia w skrypcie do sprawdzania stanu karty miejskiej, można było pozyskać m.in. imiona, nazwiska, adresy zamieszkania, e-mail oraz numery PESEL. Zdaniem firmy informatycznej obsługującej ZTM, do wycieku danych jednak nie doszło.
Zobacz również: Ważność karty miejskiej - sprawdź
Chodzi o tzw. atak SQL Injection, polegający na odpowiedniej modyfikacji zapytania, w efekcie czego możliwy był dostęp do 101 tys. 143 wniosków o wydanie karty miejskiej, złożonych przez Internet od 2009 r.
Poprzez odpowiednio spreparowane zapytanie na podstronie ZTM możliwe było uzyskanie następujących danych wnioskodawcy:
- imienia i nazwiska
- numeru PESEL
- adresu e-mail podanego przy rejestracji
- adresu zamieszkania podanego we wniosku
Niemożliwe było natomiast pobranie zdjęcia dołączonego do wniosku.
Urzędnicy: do wycieku danych nie doszło
Sprawę potwierdzają pracownicy Zarządu Transportu Miejskiego, którzy jednak przekonują, że nie można mówić o wycieku danych.
- Według informacji uzyskanych od firmy hostingującej [odpowiedzialnej za fizyczne utrzymanie strony na serwerze - dop. red.] nie doszło do wycieku danych. Baza zawiera wyłącznie dane z wniosków o wydanie karty miejskiej złożone przez Internet - mówi Zygmunt Gołąb, rzecznik ZTM w Gdańsku. - Oddzielnie przechowywane są wnioski składane drogą papierową, które stanowią ok. 75 proc. wszystkich wniosków składanych do wydania karty miejskiej. Te dane są na serwerze, który nie jest połączony z siecią internetową.
Czy jednak w bazie danych, połączonej na stałe z Internetem, powinny być przechowywane tak szczegółowe dane osobowe? Dlaczego na serwerze nie trzymano jedynie numerów kart miejskich wraz z informacją o jej odbiorze lub trwającym procesie produkcji?
- Weryfikacja gotowości karty do odbioru jest jednym z elementów całego procesu złożenia wniosku o wydanie karty miejskiej przez Internet. Jako usługa świadczona online wymaga, aby baza była dostępna dla serwera www świadczącego usługę. W żadnym przypadku serwer z bazą danych nie jest dostępny bezpośrednio przez Internet. Dane zawarte w bazie danych nie są danymi wrażliwymi, tylko danymi osobowymi. Firma hostingująca naszą stronę jest w trakcie analizy zaistniałej sytuacji i celem podniesienia bezpieczeństwa danych już dokonała ich separacji pod wymagania poszczególnych funkcjonalności. Nie są wykluczone dalsze działania mające na celu zwiększenie bezpieczeństwa danych - wyjaśnia rzecznik ZTM Gdańsk.
Luka załatana, system doładowania kart działa niezależnie
Urzędnicy obecnie analizują czy i w jaki sposób będą informowali właścicieli danych osobowych o - jak sami to nazywają - zaistniałym incydencie.
Luka w systemie została "załatana" w ciągu 90 minut od zgłoszenia ją przez portal Zaufana Trzecia Strona i jeszcze przed publikacją artykułu. Autorzy strony oceniają jednak nowo wprowadzone rozwiązanie jako "dalekie od idealnego".
Warto podkreślić, że w sposób niezależny od strony ZTM funkcjonuje strona, na której możliwe jest dokonanie zakupu biletu przez Internet. Dane osobowe pasażerów są w tym przypadku magazynowane na zupełnie innym serwerze, a dostęp do nich odbywa się w oparciu o inne rozwiązania programistyczne.
Czytaj również artykuły z 2013 r.:
- Luka w systemie pozwala ładować karty miejskie biletami na wiele lat i za darmo
- Jest szansa na załatanie systemu kart miejskich?
Miejsca
Opinie (174) ponad 10 zablokowanych
-
2019-01-25 20:51
Nie powinniście tego naglasniac
Ponoć zabezpieczenia nowe są dalej słabe.. Sam mam tam konto ale mleko się wylalo... Teraz się zrobiło medialne i zaraz jacyś hakerzy z gimby będą próbować szczęścia...
- 13 3
-
2019-01-25 20:56
Czyli papier i długopis pewniejszy? (1)
Teraz tylko można czekać, kto za kogo będzie płacił kredyty.
- 3 3
-
2019-01-25 21:03
Raczej nie. 20 lat temu zdarzały się
akcje typu - czytelnik znalazł przy smietniku wydruki z danymi klientów banku.
Sam jako początkujący handlowiec grzebałem w śmietniku konkurencji wyciągając ciekawe wydruki z ich smietnika. Komuś nie chciało się użyć niszczarki.- 2 3
-
2019-01-25 21:07
kolejny przyklad na zarzadzanie Gdanskiem
niekompetencja, kolesiostwo, ukladziki, korupcja i bandy gangusow trzesace miastem
- 13 6
-
2019-01-25 21:22
(2)
Pewnie każdy wywiad na świecie czeka na dane uczniów, studenciakow, bezrobotnych, emerytów i meneli...
- 1 9
-
2019-01-25 21:55
Wywiad nie. Poszukiwacze słupów - owszem.
- 5 1
-
2019-01-25 23:02
ty ale to nie była baza kierowców golfów ;)
- 3 1
-
2019-01-25 21:26
Ztm to porazka jest
- 13 1
-
2019-01-25 21:32
Gratuluję. (3)
Rodo się kłania p. Lisicki. Mam nadzieję, że pierwszym krokiem po objęciu stanowiska nowego prezydenta będzie wywalenie tego człowieka, którego Adamowicz przerzucał ze stołka na stołek. W końcu realna szansa na jakieś zmiany w Gdańsku
- 19 2
-
2019-01-25 21:50
Hejter
- 2 6
-
2019-01-25 21:56
bo co? bo mam inne zdanie od Twojego? Jeszcze nie żyjemy w Korei Północnej więc idź już spać.
- 6 0
-
2019-01-25 22:57
ale musi być jakiś nowy dobry kandydat, bo Dulkiewicz to będzie kontynuacja Adamowicza!
- 6 1
-
2019-01-25 21:43
brzydko tak oszukiwać klientów że żąden SQL nie został w ten sposób wykonany...
fakt : ZTM usunął logi takich sesji DB, ale czy na pewno nie było takich zapytań...
- 6 0
-
2019-01-25 21:49
Zabojstwo Adamowicza, awaria ogrzewania, luki w systemi bezpieczenstwa (1)
Przypadek ? Nie sadze.
- 8 10
-
2019-01-26 13:47
Cos w tym jest
Coepły
- 1 0
-
2019-01-25 21:50
"Urzędnicy: do wycieku danych nie doszło" - nie mieli pojęcia, że jest luka, ale potrafią sprawdzić, że nie było wycieku. Tłumaczenie dla ciemnego ludu.
- 21 1
-
2019-01-25 21:55
a co z planami wspólnego biletu
zintergrowanego z kartą płatniczą - dobierający najbardziej 'pożądaną' drogę transportu w Wielkiej Metropolii Gdańskiej ..
To zdaje się było 100mln na opracowanie projektu ?
I czekamy z niecierpliwością w na wdrożenie
Oczywiście nie było - i nie będzie - żadnego wycieku
prawda ?- 5 2
Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.