- 1 Rejsy sezonowe: dokąd popłyniemy? (111 opinii)
- 2 Pod prąd uciekał przed policją (205 opinii)
- 3 Ukraińcy z Trójmiasta pojadą na front? (621 opinii)
- 4 Rozbój w kolejce SKM. Interwencja SOK (89 opinii)
- 5 Zakaz wstępu do lasów w Gdyni przez ASF (523 opinie)
- 6 35 mln na remont gmachu Straży Granicznej (45 opinii)
Błąd na stronie ZTM pozwalał na dostęp do danych 100 tys. pasażerów
Dane ponad 100 tys. pasażerów komunikacji miejskiej w Gdańsku mogły zostać ujawnione. Przez nieodpowiednie zabezpieczenia w skrypcie do sprawdzania stanu karty miejskiej, można było pozyskać m.in. imiona, nazwiska, adresy zamieszkania, e-mail oraz numery PESEL. Zdaniem firmy informatycznej obsługującej ZTM, do wycieku danych jednak nie doszło.
Zobacz również: Ważność karty miejskiej - sprawdź
Chodzi o tzw. atak SQL Injection, polegający na odpowiedniej modyfikacji zapytania, w efekcie czego możliwy był dostęp do 101 tys. 143 wniosków o wydanie karty miejskiej, złożonych przez Internet od 2009 r.
Poprzez odpowiednio spreparowane zapytanie na podstronie ZTM możliwe było uzyskanie następujących danych wnioskodawcy:
- imienia i nazwiska
- numeru PESEL
- adresu e-mail podanego przy rejestracji
- adresu zamieszkania podanego we wniosku
Niemożliwe było natomiast pobranie zdjęcia dołączonego do wniosku.
Urzędnicy: do wycieku danych nie doszło
Sprawę potwierdzają pracownicy Zarządu Transportu Miejskiego, którzy jednak przekonują, że nie można mówić o wycieku danych.
- Według informacji uzyskanych od firmy hostingującej [odpowiedzialnej za fizyczne utrzymanie strony na serwerze - dop. red.] nie doszło do wycieku danych. Baza zawiera wyłącznie dane z wniosków o wydanie karty miejskiej złożone przez Internet - mówi Zygmunt Gołąb, rzecznik ZTM w Gdańsku. - Oddzielnie przechowywane są wnioski składane drogą papierową, które stanowią ok. 75 proc. wszystkich wniosków składanych do wydania karty miejskiej. Te dane są na serwerze, który nie jest połączony z siecią internetową.
Czy jednak w bazie danych, połączonej na stałe z Internetem, powinny być przechowywane tak szczegółowe dane osobowe? Dlaczego na serwerze nie trzymano jedynie numerów kart miejskich wraz z informacją o jej odbiorze lub trwającym procesie produkcji?
- Weryfikacja gotowości karty do odbioru jest jednym z elementów całego procesu złożenia wniosku o wydanie karty miejskiej przez Internet. Jako usługa świadczona online wymaga, aby baza była dostępna dla serwera www świadczącego usługę. W żadnym przypadku serwer z bazą danych nie jest dostępny bezpośrednio przez Internet. Dane zawarte w bazie danych nie są danymi wrażliwymi, tylko danymi osobowymi. Firma hostingująca naszą stronę jest w trakcie analizy zaistniałej sytuacji i celem podniesienia bezpieczeństwa danych już dokonała ich separacji pod wymagania poszczególnych funkcjonalności. Nie są wykluczone dalsze działania mające na celu zwiększenie bezpieczeństwa danych - wyjaśnia rzecznik ZTM Gdańsk.
Luka załatana, system doładowania kart działa niezależnie
Urzędnicy obecnie analizują czy i w jaki sposób będą informowali właścicieli danych osobowych o - jak sami to nazywają - zaistniałym incydencie.
Luka w systemie została "załatana" w ciągu 90 minut od zgłoszenia ją przez portal Zaufana Trzecia Strona i jeszcze przed publikacją artykułu. Autorzy strony oceniają jednak nowo wprowadzone rozwiązanie jako "dalekie od idealnego".
Warto podkreślić, że w sposób niezależny od strony ZTM funkcjonuje strona, na której możliwe jest dokonanie zakupu biletu przez Internet. Dane osobowe pasażerów są w tym przypadku magazynowane na zupełnie innym serwerze, a dostęp do nich odbywa się w oparciu o inne rozwiązania programistyczne.
Czytaj również artykuły z 2013 r.:
- Luka w systemie pozwala ładować karty miejskie biletami na wiele lat i za darmo
- Jest szansa na załatanie systemu kart miejskich?
Miejsca
Opinie (174) ponad 10 zablokowanych
-
2019-01-26 01:36
Na szczęście mam na okaziciela
- 2 0
-
2019-01-26 01:38
Firma hostingowa nie odpowiada za działanie skryptów użytkownika...
...chyba, że był odpowiedzialna za stworzenie strony internetowej, obsługę formularzy i baz danych. Zabezpieczenie bazy danych przed nieautoryzowanym dostępem przez atak SQL injection jest podstawą dla każdego szanującego się programisty webowego.
- 3 1
-
2019-01-26 02:22
Januszek
Mała Sycylia dalej w natarciu.
- 3 2
-
2019-01-26 05:31
a w jakim celu te dane osobowe są zbierane (2)
żeby kupić bilet na tramwaj ?
- 12 0
-
2019-01-26 07:36
(1)
mogą służyć do odsprzedaży taj jak to się dzieje powszechnie
- 6 2
-
2019-01-26 13:10
ale to nie jest cel ich zbierania
- 0 3
-
2019-01-26 06:50
(1)
Dobrze że nie urzywam tych badziewnych biletów.
- 3 3
-
2019-01-26 07:37
i słownika chyba też nie "urzywam"
- 2 2
-
2019-01-26 06:50
Wyeksploatowana 8
Kiedy rozklekotana i wyeksploatowana 8 , nieszczelna w której wiatr hula i czuć na d...pie każdy centymetr podróży zostanie wycofana z obiegu? Toż to wstyd.
- 3 2
-
2019-01-26 07:17
ale nie było wycieku danych
wycieku danych nie było, dostemp był ale danych wycieku nie było rozumiecie? powtarzamy jeszcze raz żeby uspokoić motłoch: nie było wycieku danych. dziękujemy za uwagę korpopionki, można wracać do pracy.
- 7 3
-
2019-01-26 07:28
Juz z moim prawnikiem przygotowujemy pozew. (2)
Bedzie grube odszkodowanie. To skandal zeby moje dane byly tak slabo zabezpieczone.
- 11 1
-
2019-01-26 08:54
Dobry pomysl. Niech placa za balaganiarstwo
- 3 0
-
2019-01-26 12:56
jo, jo, jo....ty januszu jedyne co przygotujesz, to kanapkę z pasztetową
- 3 0
-
2019-01-26 07:32
A ja właśnie pisze pozew. Pozwę ztm za wyciek moich danych,pozwę skarb państwa za słabej jakości powietrze czuje się osaczony,pozwę Miasto Gdańsk za ścieki w zatoce oj będzie to dobry rok
- 8 2
-
2019-01-26 08:25
ZTM (1)
Zabytkowy transport miejski...
Nic mnie już nie zdziwi- 3 3
-
2019-01-26 08:31
Złomy z niemiec od kolegów
- 2 0
Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.