Fakty i opinie

Błąd na stronie ZTM pozwalał na dostęp do danych 100 tys. pasażerów

Urzędnicy zapewniają, że błąd w systemie, który umożliwiał na nieautoryzowany dostęp do danych pasażerów, został usunięty w ciągu 90 minut od zgłoszenia i jeszcze przed jego upublicznieniem.
Urzędnicy zapewniają, że błąd w systemie, który umożliwiał na nieautoryzowany dostęp do danych pasażerów, został usunięty w ciągu 90 minut od zgłoszenia i jeszcze przed jego upublicznieniem. fot. Łukasz Unterschuetz/Trojmiasto.pl

Dane ponad 100 tys. pasażerów komunikacji miejskiej w Gdańsku mogły zostać ujawnione. Przez nieodpowiednie zabezpieczenia w skrypcie do sprawdzania stanu karty miejskiej, można było pozyskać m.in. imiona, nazwiska, adresy zamieszkania, e-mail oraz numery PESEL. Zdaniem firmy informatycznej obsługującej ZTM, do wycieku danych jednak nie doszło.



W jaki sposób zamówiłeś(aś) kartę miejską?

przez Internet 29%
w stacjonarnym punkcie 44%
nie posiadam karty miejskiej 27%
zakończona Łącznie głosów: 1320
O sprawie potencjalnego wycieku danych napisał portal technologiczny Zaufana Trzecia Strona, którego czytelnik odkrył prostą lukę w systemie sprawdzania możliwości odbioru karty miejskiej Zarządu Transportu Miejskiego w Gdańsku.

Zobacz również: Ważność karty miejskiej - sprawdź


Chodzi o tzw. atak SQL Injection, polegający na odpowiedniej modyfikacji zapytania, w efekcie czego możliwy był dostęp do 101 tys. 143 wniosków o wydanie karty miejskiej, złożonych przez Internet od 2009 r.

Poprzez odpowiednio spreparowane zapytanie na podstronie ZTM możliwe było uzyskanie następujących danych wnioskodawcy:
  • imienia i nazwiska
  • numeru PESEL
  • adresu e-mail podanego przy rejestracji
  • adresu zamieszkania podanego we wniosku

Niemożliwe było natomiast pobranie zdjęcia dołączonego do wniosku.

Urzędnicy: do wycieku danych nie doszło



Sprawę potwierdzają pracownicy Zarządu Transportu Miejskiego, którzy jednak przekonują, że nie można mówić o wycieku danych.

- Według informacji uzyskanych od firmy hostingującej [odpowiedzialnej za fizyczne utrzymanie strony na serwerze - dop. red.] nie doszło do wycieku danych. Baza zawiera wyłącznie dane z wniosków o wydanie karty miejskiej złożone przez Internet - mówi Zygmunt Gołąb, rzecznik ZTM w Gdańsku. - Oddzielnie przechowywane są wnioski składane drogą papierową, które stanowią ok. 75 proc. wszystkich wniosków składanych do wydania karty miejskiej. Te dane są na serwerze, który nie jest połączony z siecią internetową.
Podstrona ZTM, na której brakowało odpowiednich zabezpieczeń przed prostym atakiem SQL Injection.
Podstrona ZTM, na której brakowało odpowiednich zabezpieczeń przed prostym atakiem SQL Injection. ztm.gda.pl
Czy jednak w bazie danych, połączonej na stałe z Internetem, powinny być przechowywane tak szczegółowe dane osobowe? Dlaczego na serwerze nie trzymano jedynie numerów kart miejskich wraz z informacją o jej odbiorze lub trwającym procesie produkcji?

- Weryfikacja gotowości karty do odbioru jest jednym z elementów całego procesu złożenia wniosku o wydanie karty miejskiej przez Internet. Jako usługa świadczona online wymaga, aby baza była dostępna dla serwera www świadczącego usługę. W żadnym przypadku serwer z bazą danych nie jest dostępny bezpośrednio przez Internet. Dane zawarte w bazie danych nie są danymi wrażliwymi, tylko danymi osobowymi. Firma hostingująca naszą stronę jest w trakcie analizy zaistniałej sytuacji i celem podniesienia bezpieczeństwa danych już dokonała ich separacji pod wymagania poszczególnych funkcjonalności. Nie są wykluczone dalsze działania mające na celu zwiększenie bezpieczeństwa danych - wyjaśnia rzecznik ZTM Gdańsk.


Luka załatana, system doładowania kart działa niezależnie



Urzędnicy obecnie analizują czy i w jaki sposób będą informowali właścicieli danych osobowych o - jak sami to nazywają - zaistniałym incydencie.

Luka w systemie została "załatana" w ciągu 90 minut od zgłoszenia ją przez portal Zaufana Trzecia Strona i jeszcze przed publikacją artykułu. Autorzy strony oceniają jednak nowo wprowadzone rozwiązanie jako "dalekie od idealnego".

Warto podkreślić, że w sposób niezależny od strony ZTM funkcjonuje strona, na której możliwe jest dokonanie zakupu biletu przez Internet. Dane osobowe pasażerów są w tym przypadku magazynowane na zupełnie innym serwerze, a dostęp do nich odbywa się w oparciu o inne rozwiązania programistyczne.

Czytaj również artykuły z 2013 r.:


Aktualne rozkłady jazdy ZKM Gdynia, ZTM Gdańsk oraz pociągów SKM i dalekobieżnych sprawdzisz na stronie komunikacja.trojmiasto.pl oraz w naszej aplikacji na telefon.

Opinie (174) ponad 10 zablokowanych

  • No przecież by się nie przyznali do wycieku :)
    Składałem wniosek na papierze, to nie ma czym się martwić :)

    • 104 14

  • :)

    Nie dość że regularnie spóźniony jezdzi autobus linii 256 to w dodatku jeszcze dane mogły wyciec? Masakra!!!

    • 78 13

  • Muszę pochwalic

    Poprawiła się czystość w tramwajach, te starsze wyglądają jakby zostało gruntownie wyczyszczone czy to przez kontrole CBA, jeżeli tak to niech cba z ZTM nie wychodzi :-)

    • 54 15

  • No jeżeli to faktycznie SQL Injection to duży wstyd... Trąbią o tym wszędzie w miejscach, gdzie ludzie edukują się na temat baz danych i stron internetowych. :-( Oby to była nieprawda.

    • 60 6

  • GD

    Lisicki , wszystko na ten temat ! ! 1

    • 82 9

  • co robią te wszystkie Policje? przecież za to powinna być kara wiezienia...

    • 47 3

  • Pierwsza pozycja na liście najczęstszych 10 luk bezpieczeństwa

    Wstyd, po prostu wstyd... Uczą tego na pierwszym roku studiów informatycznych

    • 96 2

  • Jak myslicie, dlaczego artykul jest w piatek o 20?

    A nie w poniedzialek o 7:00?

    • 67 5

  • Ciekawe czy organ nadzorujący zgodność z RODO zgodziłby się z taką interpretacją zdarzenia

    przez osoby odpowiedzialne za bałaganik. ZTM może się zdziwić, także i finansowo ;)

    • 73 3

  • czyli brak odpowiednich zabezpiecznień czyli rodo się kłania... ile milionów kary będzie ?

    czy jak to w Gdańsku jakoś to będzie

    • 65 3

alert Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.