Wyciekły dane użytkowników Karty Krakowskiej?

RedakcjaZaktualizowano 
Admin123 – portal niebezpiecznik.pl alarmuje, że takie kuriozalnie proste hasło wystarczyło wpisać, by dostać się do systemu, w którym zapisane są wrażliwe dane posiadaczy Karty Krakowskiej (uprawniającej do zniżek w komunikacji miejskiej).

„Nasz Czytelnik twierdzi, że wystarczyło wpisać login admin i hasło… admin123, by zalogować się do serwisu. Pewnie byśmy w to nie uwierzyli, gdybyśmy środka systemu nie zobaczyli. A zobaczyliśmy miejsce, w którym zebrano m.in. imiona, nazwiska i numery PESEL klientów” - informuje niebezpiecznik.pl, prezentując zdjęcia „z wnętrza systemu”.

Wspomniany czytelnik portalu miał zalogować się do tego serwisu na przełomie czerwca i lipca ubiegłego roku.

Wczoraj krakowscy urzędnicy i przedstawiciele MPK wydali oświadczenie. Można znaleźć w nim m.in. informację, że faktycznie „[...] w dniach 29 czerwca (godz. 16.28) – 2 lipca (godz. 7.34) nastąpiły udane logowania uproszczonym hasłem do systemu Karty Krakowskiej”. I dodają, że do 1 lipca do godz. 00.00, w systemie znajdowały się wyłącznie dane testowe. Czyli kluczowa jest tu wymieniona data 2 lipca, gdy w systemie miały już znajdować się dane mieszkańców ubiegających się o Kartę Krakowską.

Hasło do systemu – na bardziej skomplikowane – miało zostać zmienione właśnie dopiero 2 lipca. W przesłanym oświadczeniu firma IDEO przekonuje m.in., że „zaistniały na przełomie czerwca i lipca 2018 roku nieautoryzowany dostęp do systemu Karty Krakowskiej, był wynikiem braku włączenia w systemie wszystkich opcji zabezpieczających”. – Mamy świadomość, że sytuacja taka nie powinna mieć miejsca, dlatego z całą odpowiedzialnością przepraszamy – zaznaczają w IDEO. Zapewniają, że „dane osobowe nie zostały fizycznie pobrane z baz”.

Marek Gancarczyk, rzecznik MPK informuje z kolei, że „analizowane są kroki prawne w związku z potencjalnym zagrożeniem kradzieży danych”. – Po publikacji portalu niebezpiecznik.pl kwestia konsekwencji dla dostawcy systemu na pewno będzie analizowana – dodaje.

Pełne stanowisko Urząd Miasta Krakowa:

"Informujemy, że wszystkie dane, które mieszkańcy udostępniają, składając wniosek o Kartę Krakowską, są odpowiednio zabezpieczone i nie ma żadnego zagrożenia ich wycieku. Dostawcą wszystkich systemów bezpieczeństwa jest firma IDEO sp. z o.o., która jednoznacznie potwierdziła odpowiedni, wysoki poziom ochrony wszystkich danych mieszkańców. Jedyne zgłoszenie związane z możliwym wyciekiem danych z systemu Karty Krakowskiej Urząd Miasta Krakowa otrzymał 29 czerwca 2018 r. (zgłoszenie dotyczyło zastosowania uproszczonego hasła administratorskiego do serwisu kk.krakow.pl). 2 lipca 2018 roku to zgłoszenie zostało przekazane do MPK SA w Krakowie, które natychmiast skierowało je do dostawcy systemu, firmy IDEO sp. z o.o., zobowiązując ją do podjęcia natychmiastowych działań w celu wyjaśnienia zaistniałej sytuacji.

W wyniku analizy stwierdzono, że hasło nie spełniało wymogów bezpieczeństwa i natychmiast, tj. 2 lipca, zostało zmienione. Stwierdzono także, że w dniach 29 czerwca (godz. 16.28) – 2 lipca (godz. 7.34) nastąpiły udane logowania uproszczonym hasłem do systemu Karty Krakowskiej (do 1 lipca do godz. 00.00, w systemie znajdowały się wyłącznie dane testowe).

Dostawca systemu, firma IDEO sp. z o.o. przeprowadziła natychmiast po zgłoszeniu wewnętrzny audyt, na podstawie którego stwierdziła, że było to niskie naruszenie bezpieczeństwa i uznała, że nie ma potrzeby informowania MPK SA w Krakowie i użytkowników o tym epizodzie.

Zastosowanie uproszczonego hasła administratorskiego do systemu, w połączeniu z informacją od jego dostawcy o możliwych logowaniach do systemu Karta Krakowska, pozwoliła określić wtedy to zdarzenie jako małe zagrożenie dla bezpieczeństwa informacji.

Jednak w związku z opublikowaniem w dniu 12 marca 2019 r. na portalu niebezpiecznik.pl informacji o możliwym wycieku danych z systemu Karty Krakowskiej w dniach 1 i 2 lipca 2018 r., analizowane są kroki prawne w związku z potencjalnym zagrożeniem kradzieży danych." - wylicza Urząd Miasta Krakowa.

Pełne oświadczenie firmy IDEO:

"Informujemy, że zaistniały na przełomie czerwca i lipca 2018 roku nieautoryzowany dostęp do systemu Karty Krakowskiej, był wynikiem braku włączenia w systemie wszystkich opcji zabezpieczających. Mamy świadomość, że sytuacja taka nie powinna mieć miejsca, dlatego z całą odpowiedzialnością przepraszamy.

Niezwłocznie po otrzymaniu informacji na temat zaistniałej sytuacji podjęliśmy działania, które uniemożliwiły dostęp do systemu dla osób niepożądanych. Przeprowadzony przez nas audyt bezpieczeństwa wykazał, że dane osobowe nie zostały fizycznie pobrane z baz. Następstwem zgłoszenia było natychmiastowe zablokowanie dostępu do systemu dla osób niepożądanych. Podnieśliśmy poziomy zabezpieczeń między innymi przez wdrożenie dodatkowych reguł ustawiania haseł. Pozostajemy w stałym kontakcie z Klientem i wspólnie dążymy do całkowitego wyjaśnienia sprawy, również w kontekście ewentualnego dysponowania przez osobę nieupoważnioną jakimikolwiek danymi osobowymi.

Ochrona danych naszych Klientów jest dla nas priorytetem. Na bieżąco realizujemy wymogi wynikające ze zmian prawa, ale i indywidualnych ustaleń z Klientami zarówno pod względem prawnym, jak i bezpieczeństwa.

Zdajemy sobie sprawę z powagi tej sytuacji, dlatego niezwłocznie po uzyskaniu informacji uruchomione zostały dodatkowe procedury wewnętrzne. Pracownicy przechodzą dodatkowe szkolenia w zakresie zabezpieczenia danych naszych klientów. Aktualizujemy procedury i wprowadzamy bardziej restrykcyjne stosowanie się do nich. W realizowanych przez nas systemach ponownie sprawdziliśmy mechanizmy odpowiadające za bezpieczeństwo kont użytkowników oraz danych przechowywanych w systemach. Rozbudowaliśmy mechanizmy, które wymuszają stosowanie skomplikowanych haseł i okresową ich zmianę. Na życzenie Klienta ograniczamy możliwości logowania do systemów jedynie ze wskazanych adresów IP, by uniemożliwić zewnętrzny dostęp do danego systemu. Włączamy także uwierzytelnianie dwustopniowe 2FA."

POLECAMY - KONIECZNIE SPRAWDŹ:

FLESZ: Strajk nauczycieli. Egzaminy i matury zagrożone

Wideo

Materiał oryginalny: Wyciekły dane użytkowników Karty Krakowskiej? - Dziennik Polski

Komentarze

Ta strona jest chroniona przez reCAPTCHA i obowiązują na niej polityka prywatności oraz warunki korzystania z usługi firmy Google. Dodając komentarz, akceptujesz regulamin oraz Politykę Prywatności.
Nikt jeszcze nie skomentował tego artykułu.
Dodaj ogłoszenie

Wykryliśmy, że nadal blokujesz reklamy...

To dzięki reklamom możemy dostarczyć dla Ciebie wartościowe informacje. Jeśli cenisz naszą pracę, prosimy, odblokuj reklamy na naszej stronie.

Dziękujemy za Twoje wsparcie!

Jasne, chcę odblokować
Przycisk nie działa ?
1.
W prawym górnym rogu przegladarki znajdź i kliknij ikonkę AdBlock. Z otwartego menu wybierz opcję "Wstrzymaj blokowanie na stronach w tej domenie".
krok 1
2.
Pojawi się okienko AdBlock. Przesuń suwak maksymalnie w prawą stronę, a nastepnie kliknij "Wyklucz".
krok 2
3.
Gotowe! Zielona ikonka informuje, że reklamy na stronie zostały odblokowane.
krok 3