- 1 Sopot bez golizny i zakłócania spokoju (97 opinii)
- 2 Będzie pył, nie będzie premii? (203 opinie)
- 3 Okradała drogerie, zmieniając peruki (51 opinii)
- 4 Podwyżka cen wody i ścieków w Gdyni (258 opinii)
- 5 Znamy przyczynę wypadku na Wielkopolskiej (345 opinii)
- 6 "Mężczyzna z wężem" z zarzutami (191 opinii)
Błąd na stronie ZTM pozwalał na dostęp do danych 100 tys. pasażerów
Dane ponad 100 tys. pasażerów komunikacji miejskiej w Gdańsku mogły zostać ujawnione. Przez nieodpowiednie zabezpieczenia w skrypcie do sprawdzania stanu karty miejskiej, można było pozyskać m.in. imiona, nazwiska, adresy zamieszkania, e-mail oraz numery PESEL. Zdaniem firmy informatycznej obsługującej ZTM, do wycieku danych jednak nie doszło.
Zobacz również: Ważność karty miejskiej - sprawdź
Chodzi o tzw. atak SQL Injection, polegający na odpowiedniej modyfikacji zapytania, w efekcie czego możliwy był dostęp do 101 tys. 143 wniosków o wydanie karty miejskiej, złożonych przez Internet od 2009 r.
Poprzez odpowiednio spreparowane zapytanie na podstronie ZTM możliwe było uzyskanie następujących danych wnioskodawcy:
- imienia i nazwiska
- numeru PESEL
- adresu e-mail podanego przy rejestracji
- adresu zamieszkania podanego we wniosku
Niemożliwe było natomiast pobranie zdjęcia dołączonego do wniosku.
Urzędnicy: do wycieku danych nie doszło
Sprawę potwierdzają pracownicy Zarządu Transportu Miejskiego, którzy jednak przekonują, że nie można mówić o wycieku danych.
- Według informacji uzyskanych od firmy hostingującej [odpowiedzialnej za fizyczne utrzymanie strony na serwerze - dop. red.] nie doszło do wycieku danych. Baza zawiera wyłącznie dane z wniosków o wydanie karty miejskiej złożone przez Internet - mówi Zygmunt Gołąb, rzecznik ZTM w Gdańsku. - Oddzielnie przechowywane są wnioski składane drogą papierową, które stanowią ok. 75 proc. wszystkich wniosków składanych do wydania karty miejskiej. Te dane są na serwerze, który nie jest połączony z siecią internetową.
Czy jednak w bazie danych, połączonej na stałe z Internetem, powinny być przechowywane tak szczegółowe dane osobowe? Dlaczego na serwerze nie trzymano jedynie numerów kart miejskich wraz z informacją o jej odbiorze lub trwającym procesie produkcji?
- Weryfikacja gotowości karty do odbioru jest jednym z elementów całego procesu złożenia wniosku o wydanie karty miejskiej przez Internet. Jako usługa świadczona online wymaga, aby baza była dostępna dla serwera www świadczącego usługę. W żadnym przypadku serwer z bazą danych nie jest dostępny bezpośrednio przez Internet. Dane zawarte w bazie danych nie są danymi wrażliwymi, tylko danymi osobowymi. Firma hostingująca naszą stronę jest w trakcie analizy zaistniałej sytuacji i celem podniesienia bezpieczeństwa danych już dokonała ich separacji pod wymagania poszczególnych funkcjonalności. Nie są wykluczone dalsze działania mające na celu zwiększenie bezpieczeństwa danych - wyjaśnia rzecznik ZTM Gdańsk.
Luka załatana, system doładowania kart działa niezależnie
Urzędnicy obecnie analizują czy i w jaki sposób będą informowali właścicieli danych osobowych o - jak sami to nazywają - zaistniałym incydencie.
Luka w systemie została "załatana" w ciągu 90 minut od zgłoszenia ją przez portal Zaufana Trzecia Strona i jeszcze przed publikacją artykułu. Autorzy strony oceniają jednak nowo wprowadzone rozwiązanie jako "dalekie od idealnego".
Warto podkreślić, że w sposób niezależny od strony ZTM funkcjonuje strona, na której możliwe jest dokonanie zakupu biletu przez Internet. Dane osobowe pasażerów są w tym przypadku magazynowane na zupełnie innym serwerze, a dostęp do nich odbywa się w oparciu o inne rozwiązania programistyczne.
Czytaj również artykuły z 2013 r.:
- Luka w systemie pozwala ładować karty miejskie biletami na wiele lat i za darmo
- Jest szansa na załatanie systemu kart miejskich?
Miejsca
Opinie (174) ponad 10 zablokowanych
-
2019-01-25 20:13
W jakiej jeszcze dziedzinie ZTM poniesie kompromitacje?
Jeździ drogo (o ile jeździ) nie mając na pensje dla pracowników, loże, limuzyny, święty prezes.
Czas na zmiany.- 25 2
-
2019-01-25 20:15
Gdańska "jakość".
Przetargi, układy, oszczędności. Miliony g*wna tu, luki tam, przewały gdzieś tam jeszcze... a co tam...
- 23 6
-
2019-01-25 20:23
Brawo Panie Lisicki, kolejny sukces na Pana koncie!!!
Ale co tam, ważne, że zajezdnia developerom sprzedana i koperta przytulona!! Bo to jest pana misja w ZKM a nie tabor i pasażerowie!!!!
- 26 5
-
2019-01-25 20:26
To jest skandal. Nie wierze, ze nie wyciekli. Kto to wyjasni?
- 13 2
-
2019-01-25 20:26
Wiadomo PiSuar obcina dotacje dla Pomorskiego to wszystko robią po taniości.
- 6 22
-
2019-01-25 20:28
A co to za hoster, co na WAFie skąpi, albo nie potrafi go skonfigurować?!
- 6 1
-
2019-01-25 20:29
Dane każdej osoby mogą paść łupem oszustów... (3)
I z tego miejsca chciałbym poruszyć temat brania chwilówek/podpisywania umów na telefony za "złotówkę" itp. na czyjeś dane. Musimy żądać wprowadzenia ustawy w której to instytucja odpowiada za udzieloną pożyczkę (weryfikacja klienta). A nie, że banki i inni złodzieje podpisują umowy i komornik ściga niewinnych ludzi. To bank zostaje oszukany nie człowiek!!!
- 21 2
-
2019-01-25 20:59
Myślałem, że rządzący PIS miał już przygotowane (2)
przepisy zabezpieczające za nim przejął władzę. Nie? Były ważniejsze sprawy. Mija już 3 lata, może po feriach uchwalą.
- 2 4
-
2019-01-25 21:06
A(nie)rząd PO nie miał na to czasu?
- 2 4
-
2019-01-25 22:56
To by było z 15 lat jak POPIS rządzi ;)
- 3 0
-
2019-01-25 20:32
Czy nie dlatego (1)
że znajomi królika (z zagrody niedkoształciuchów) wygrały przetarg na obsługę informatyczną?
- 15 1
-
2019-01-27 07:29
Pewnie dlatego...
...że w tym dziwnym państwie przetargi wygrywa najtańsza opcja, a później zdziwienie że trwa festiwal porażek.
- 2 0
-
2019-01-25 20:38
(3)
Lol, sql injection w 2019 :D to bylo możliwe w 2009 r. ale nie teraz.
- 13 5
-
2019-01-25 21:54
No właśnie. Toteż się pytam, co za kertyn hostuje tą stronę? Wszak owasp top10 implementowany jest już nawet w chińskich pudełkach do użytku domowego...
- 3 1
-
2019-01-25 23:37
w 2005 na praktykach sie o tym uczylem (1)
- 5 2
-
2019-01-26 13:23
jak ja sie o tym uczylem to byles w piaskownicy
ale niestety to miasto promuje bylejakosc.
- 0 2
-
2019-01-25 20:48
PIC
Pic na wodę
- 2 5
Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.