- 1 Pajęczyny pełne larw na Zaspie (57 opinii)
- 2 Andrzej Duda dziękował strażnikom granic (238 opinii)
- 3 Jechaliśmy Obwodnicą Metropolitalną (226 opinii)
- 4 Pełno usterek i pustostanów na dworcu (149 opinii)
- 5 Nowy, 20. punkt widokowy w Gdańsku (17 opinii)
- 6 Do czerwca skażona ziemia zniknie z Gdańska (107 opinii)
Błąd na stronie ZTM pozwalał na dostęp do danych 100 tys. pasażerów
Dane ponad 100 tys. pasażerów komunikacji miejskiej w Gdańsku mogły zostać ujawnione. Przez nieodpowiednie zabezpieczenia w skrypcie do sprawdzania stanu karty miejskiej, można było pozyskać m.in. imiona, nazwiska, adresy zamieszkania, e-mail oraz numery PESEL. Zdaniem firmy informatycznej obsługującej ZTM, do wycieku danych jednak nie doszło.
Zobacz również: Ważność karty miejskiej - sprawdź
Chodzi o tzw. atak SQL Injection, polegający na odpowiedniej modyfikacji zapytania, w efekcie czego możliwy był dostęp do 101 tys. 143 wniosków o wydanie karty miejskiej, złożonych przez Internet od 2009 r.
Poprzez odpowiednio spreparowane zapytanie na podstronie ZTM możliwe było uzyskanie następujących danych wnioskodawcy:
- imienia i nazwiska
- numeru PESEL
- adresu e-mail podanego przy rejestracji
- adresu zamieszkania podanego we wniosku
Niemożliwe było natomiast pobranie zdjęcia dołączonego do wniosku.
Urzędnicy: do wycieku danych nie doszło
Sprawę potwierdzają pracownicy Zarządu Transportu Miejskiego, którzy jednak przekonują, że nie można mówić o wycieku danych.
- Według informacji uzyskanych od firmy hostingującej [odpowiedzialnej za fizyczne utrzymanie strony na serwerze - dop. red.] nie doszło do wycieku danych. Baza zawiera wyłącznie dane z wniosków o wydanie karty miejskiej złożone przez Internet - mówi Zygmunt Gołąb, rzecznik ZTM w Gdańsku. - Oddzielnie przechowywane są wnioski składane drogą papierową, które stanowią ok. 75 proc. wszystkich wniosków składanych do wydania karty miejskiej. Te dane są na serwerze, który nie jest połączony z siecią internetową.
Czy jednak w bazie danych, połączonej na stałe z Internetem, powinny być przechowywane tak szczegółowe dane osobowe? Dlaczego na serwerze nie trzymano jedynie numerów kart miejskich wraz z informacją o jej odbiorze lub trwającym procesie produkcji?
- Weryfikacja gotowości karty do odbioru jest jednym z elementów całego procesu złożenia wniosku o wydanie karty miejskiej przez Internet. Jako usługa świadczona online wymaga, aby baza była dostępna dla serwera www świadczącego usługę. W żadnym przypadku serwer z bazą danych nie jest dostępny bezpośrednio przez Internet. Dane zawarte w bazie danych nie są danymi wrażliwymi, tylko danymi osobowymi. Firma hostingująca naszą stronę jest w trakcie analizy zaistniałej sytuacji i celem podniesienia bezpieczeństwa danych już dokonała ich separacji pod wymagania poszczególnych funkcjonalności. Nie są wykluczone dalsze działania mające na celu zwiększenie bezpieczeństwa danych - wyjaśnia rzecznik ZTM Gdańsk.
Luka załatana, system doładowania kart działa niezależnie
Urzędnicy obecnie analizują czy i w jaki sposób będą informowali właścicieli danych osobowych o - jak sami to nazywają - zaistniałym incydencie.
Luka w systemie została "załatana" w ciągu 90 minut od zgłoszenia ją przez portal Zaufana Trzecia Strona i jeszcze przed publikacją artykułu. Autorzy strony oceniają jednak nowo wprowadzone rozwiązanie jako "dalekie od idealnego".
Warto podkreślić, że w sposób niezależny od strony ZTM funkcjonuje strona, na której możliwe jest dokonanie zakupu biletu przez Internet. Dane osobowe pasażerów są w tym przypadku magazynowane na zupełnie innym serwerze, a dostęp do nich odbywa się w oparciu o inne rozwiązania programistyczne.
Czytaj również artykuły z 2013 r.:
- Luka w systemie pozwala ładować karty miejskie biletami na wiele lat i za darmo
- Jest szansa na załatanie systemu kart miejskich?
Miejsca
Opinie (174) ponad 10 zablokowanych
-
2019-01-25 21:57
zabezpieczenie przed SQL injection to elementarz
inżynierkowie oprogramowania
- 11 0
-
2019-01-25 21:58
opinia
Jak kogoś nie stać na własne auto, to niech nie narzeka.
- 6 3
-
2019-01-25 22:00
run, you fools.... rzekł Gandalf.... (2)
....oddając 4% obrotów firmy za naruszenie RODO....
ps. nawet gdyby doszło do naruszenia i wycieku to oczywiste jest, ze będą się zapierać, taka wpadka to bankructwo i odsiadka w pierdlu ewentualnie zawiasy i koniec kariery zawodowej.... nikomu nie zależy na ujawnieniu prawdy - przydała by się kontrola niezależnego organu- 16 2
-
2019-01-25 23:04
A może by tak najpierw przeczytać Rozporządzenie (wraz z motywami), a dopiero później udzielać publicznych wypowiedzi???
Otóż w przypadku ujawnienia naruszenia, jeżeli w ciągu 72 godzin po wykryciu tegoż sporządzi się odpowiedni raport, w którym wykaże się podjęcie kroków adekwatnych do skali zdarzenia, PUODO może całkowicie odstąpić od ukarania.
Są oczywiście różne tego warunki, ale wybaczcie - nie będę tu RODO przepisywał...- 5 1
-
2019-01-25 23:37
bzdury
o naruszeniach słyszymy co drugi dzień, a jakoś nikt jeszcze 4% obrotów nie dostał
- 1 3
-
2019-01-25 22:04
W
Jaki ZTM taki poziom zabezpieczeń.
- 7 0
-
2019-01-25 22:06
(1)
a Wy to jeszcze publikujecie..brawo.
- 6 3
-
2019-01-26 13:48
Prawda boli?
- 1 0
-
2019-01-25 22:14
Mogły wyciec
Ale nie wyciekły! No to czekamy na inne podobne artykuły. Podpowiem: każdej firmy może to dotyczyć. Róbmy Alfabetycznie. Jutro Arla, pojutrze Bimet.
- 3 3
-
2019-01-25 22:58
Kontrola Rodo jak znalazl.
- 5 0
-
2019-01-25 23:36
a można było po prostu drukować miesięczne
ale po co lepiej komplikować i robić koszty...
- 6 2
-
2019-01-25 23:36
Z kad to znamy
Najpierw zbieranie danych puzniej wycieki wlamania dzieki hakerow itp
Na zlomowiskach plastiki dostają samozaplonow q a czy oni mysla ze maja przed sobą miliony d**ili czy q a co- 8 2
-
2019-01-26 00:31
(1)
Ciekawe czy Rodo powiadomili
- 2 1
-
2019-01-27 16:30
jak można Rodo powiadomić? :D
- 0 0
Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.