13.03.2019 11:12

Dane mieszkańców Krakowa wyciekły! Sprawdź, czy jesteś wśród poszkodowanych

Karta Krakowska oferować ma szereg ulg jej posiadaczom, oraz ułatwiać transport po mieście. Okazało się jednak, że ze względu na niezwykle słabe hasło dostępu, przez moment dane jej posiadaczy były łatwo dostępne.

krakow
foto: shutterstock

Tak jak warszawiacy mogą wyposażyć się w Kartę Klawego Warszawiaka, tak i mieszkańcy Krakowa mogą aplikować o Kartę Krakowską. Pozwala ona nie tylko na uzyskanie zniżek podczas przejazdów komunikacją miejską, ale również specjalne oferty u partnerów projektu, wśród których znajduje się większość krakowskich instytucji kultury.

Zobacz też: >>Wyciek danych w Ticketmasterze<<

admin/admin123

Myśleliśmy, że takie rzeczy w 2018 roku się już nie zdarzają.. Niestety, Niebezpiecznik.pl donosi, że dostęp do danych posiadaczy Karty Krakowskiej był zabezpieczony loginem admin i hasłem admin123. Zatem przez pewien czas każdy, kto chciał zalogować się za pomocą tych danych, mógł w prosty sposób dotrzeć do imion, nazwisk i numerów PESEL użytkowników karty. Dostępne były też dane kontaktowe i informacje o dzieciach.

Facebook
Facebook
Przeczytaj także Przez RODO za włamanie na 50 mln kont Facebook może zapłacić 1,63 mld USD kary

Hasło zostało już zmienione, i w tej chwili nie można już zalogować się do systemu za pomocą hasła admin123. Niebezpiecznik otrzymał także oficjalne stanowisko Urzędu Miasta w tej sprawie:

"

Stwierdzono, że w dniach 29 czerwca 16:28 – 2 lipca 7:34 nastąpiły udane logowania  uproszczonym hasłem do systemu Karty Krakowskiej. Dostawca systemu, firma IDEO sp. z o.o. przeprowadziła natychmiast po zgłoszeniu wewnętrzny audyt, na podstawie którego stwierdziła, że było to niskie naruszenie bezpieczeństwa i uznała, że nie ma potrzeby informowania MPK S.A. w Krakowie / użytkowników o tym epizodzie. Warto jednak zaznaczyć, że do 1 lipca 2018 r. 00:00, w systemie znajdowały się wyłącznie dane testowe.

Zastosowanie uproszczonego hasła adminstratorskiego do systemu, w połączeniu z informacją od dostawcy o logowaniach, których konsekwencją nie był wyciek danych z systemu Karta Krakowska, pozwoliła określić ważność zdarzenia na poziomie 1 (małe zagrożenie dla bezpieczeństwa informacji). "

Nasze dane nie są bezpieczne

To nie pierwszy raz, kiedy instytucje, którym powierzamy dostęp do wrażliwych danych nie zabezpieczają ich zbyt dobrze.. Na myśl przychodzi nam tutaj przede wszystkich sytuacja, kiedy w prosty sposób można było uzyskać dostęp do wniosków o wydanie Poznańskiej Karty Aglomeracyjnej.

Warto też przypomnieć o najgłośniejszych atakach hakerów z ostatnich lat. Na początku lutego informowaliśmy o tym, że wyciekło 2.2 mld haseł. Hakerzy pieczołowicie zbierali je z większych i mniejszych serwisów, a potem udostępnili paczkę do pobrania wszystkiego. Głośna była również sytuacja z Media Expert, który musiał wyłączyć stronę związaną z Black Friday 2018  z związku z wyciekiem danych.

[AKTUALIZACJA]

Otrzymaliśmy oświadczenie firmy IDEO, która odpowiedzialna jest za system zarządzania danymi związanymi z Kartą Krakowską:

"

Informujemy, że zaistniały na przełomie czerwca i lipca 2018 roku nieautoryzowany dostęp do systemu Karty Krakowskiej, był wynikiem braku włączenia w systemie wszystkich opcji zabezpieczających. Mamy świadomość, że sytuacja taka nie powinna mieć miejsca, dlatego z całą odpowiedzialnością przepraszamy.

Niezwłocznie po otrzymaniu informacji na temat zaistniałej sytuacji podjęliśmy działania, które uniemożliwiły dostęp do systemu dla osób niepożądanych. Przeprowadzony przez nas audyt bezpieczeństwa wykazał, że dane osobowe nie zostały fizycznie pobrane z baz. Następstwem zgłoszenia było natychmiastowe zablokowanie dostępu do systemu dla osób niepożądanych. Podnieśliśmy poziomy zabezpieczeń między innymi przez wdrożenie dodatkowych reguł ustawiania haseł. Pozostajemy w stałym kontakcie z Klientem i wspólnie dążymy do całkowitego wyjaśnienia sprawy, również w kontekście ewentualnego dysponowania przez osobę nieupoważnioną jakimikolwiek danymi osobowymi.

Ochrona danych naszych Klientów jest dla nas priorytetem. Na bieżąco realizujemy wymogi wynikające ze zmian prawa, ale i indywidualnych ustaleń z Klientami zarówno pod względem prawnym, jak i bezpieczeństwa.

Zdajemy sobie sprawę z powagi tej sytuacji, dlatego niezwłocznie po uzyskaniu informacji uruchomione zostały dodatkowe procedury wewnętrzne. Pracownicy przechodzą dodatkowe szkolenia w zakresie zabezpieczenia danych naszych klientów. Aktualizujemy procedury i wprowadzamy bardziej restrykcyjne stosowanie się do nich. W realizowanych przez nas systemach ponownie sprawdziliśmy mechanizmy odpowiadające za bezpieczeństwo kont użytkowników oraz danych przechowywanych w systemach. Rozbudowaliśmy mechanizmy, które wymuszają stosowanie skomplikowanych haseł i okresową ich zmianę. Na życzenie Klienta ograniczamy możliwości logowania do systemów jedynie ze wskazanych adresów IP, by uniemożliwić zewnętrzny dostęp do danego systemu. Włączamy także uwierzytelnianie dwustopniowe 2FA. "

Marcin Czajkowski