Wszechobecna konieczność podawania swojego numeru PESEL do zawierania najbardziej z błahych transakcji powinna budzić poważne zastrzeżenia. Internauci namierzyli prawdopodobny wyciek danych z ZTM Gdańsk, a ja się poważnie zastanawiam. Czy kupując bilet miesięczny, naprawdę trzeba podawać swój numer PESEL?
Serwis Zaufana Trzecia Strona opisał lukę w zabezpieczeniach systemu należącego do ZTM Gdańsk. Czujni internauci wytropili, że dane osób składających wniosek o wydanie karty miejskiej są niemal publicznie dostępne. Wszystko za sprawą podatności systemu na atak typu SQL Injection. Jeśli wierzyć (a nie mam podstaw, żeby nie wierzyć) twierdzeniom osób zajmujących się kwestiami bezpieczeństwa IT, jest to dość prosty do przeprowadzenia atak. Efekt był taki, że osoba z podstawową wiedzą na temat przeprowadzenia tego typu ataku mogła zyskać dostęp do bazy danych zawierającej 101 143 rekordy posiadaczy kart miejskich ZTM Gdańsk, pobierając ich dane osobowe.
Jakie dane zawierała baza danych? Imiona, nazwiska, numery PESEL, adresy e-mail, oraz adresy zamieszkania. Dokładnie to, co trzeba do kradzieży tożsamości, która może posłużyć, chociażby do wyłudzenia kredytu. Wystarczy w zasadzie na te dane wyrobić kolekcjonerski dowód osobisty, a łatwe pieniądze wręcz leżą na ulicy. Ostatecznie to ofiara tego procederu będzie miała problem odkręceniem całej sprawy. Niestety nasze prawo oraz państwo nie są w ogóle przygotowane na walkę z tym rodzajem przestępczości. Niestety skutki tego będą dotykały coraz większą ilość osób. Sprzyja temu z jednej strony absolutny brak świadomości tych zagrożeń. Wiele osób zwyczajnie nie przejmuje się na wieści o kolejnym wielkim wycieku haseł z dowolnego portalu. Kwitowane to jest z rozbrajającym „no ale co oni mi tam mogą zrobić, przecież ja nic nie mam”. Z drugiej strony nasza rzeczywistość wymusza podawanie naszych danych osobowych niemal na każdym kroku.
Wyciek danych ZTM Gdańsk – czy kupując bilet miesięczny naprawdę numer PESEL jest niezbędny?
Dowód osobisty jako zabezpieczenie w wypożyczalni sprzętu wodnego, chociaż brzmi absurdalnie, niewielu jeszcze dziwi. Pełne dane oraz adres zamieszkania przy zamówieniu dowolnej przesyłki z odbiorem osobistym w sklepie? Zostawianie kserokopii dokumentów w hotelach czy pensjonatach pod zastaw tak naprawdę niczego? To codzienność. Kolejnym przykładem tej nadgorliwości są karty miejskie nie tylko ZTM Gdańsk, ale i dowolnego miasta w Polsce. Zupełnie nie wiem, po co kupując bilet miesięczny, przewoźnikowi jest potrzebny mój numer PESEL. W końcu po to za taki bilet płacę, żeby nie dostać żadnego mandatu (a więc nie zachodzi konieczność ewentualnego pozywania mnie za jazdę na gapę). Dokładnie to samo dotyczy adresu zamieszkania. W zupełności wystarczyłoby zwykłe imię i nazwisko. W końcu to tak naprawdę sprowadza się do tego, czy ten konkretny bilet jest ważny w chwili przejazdu.
Kontrolerzy biletów w całym kraju nie weryfikują tożsamości osoby, która pokazuje im bilet miesięczny z jej dowodem osobistym. Dopóki bilet jest ważny, to kontroler nigdy nie dowie się, czy pasażer faktycznie nazywa się Tomasz Laba, a może jednak Jakub Kralka, który akurat pożyczył kartę miejską od kolegi. Nawet jeżeli złośliwy Tomek zrobi swojego kolegę Kubę w konia i użyczy mu nieważny bilet, kontrolerzy wypiszą mandat korzystając z jego dowodu osobistego. Przecież kupując bilet papierowy w kiosku nikomu nie przychodzi do głowy (przynajmniej jeszcze) spisywać jego numer PESEL.
Prawdopodobny wyciek danych ZTM Gdańsk
Serwis Zaufana Trzecia Strona informuje, że rzecznik ZTM Gdańsk poinformował o usunięciu luki w 1,5 godziny od chwili jej zgłoszenia.
Baza danych wniosków o wydanie Karty Miejskiej online zarządzana jest przez zewnętrzny podmiot, firmę hostingującą naszą stronę internetową. Aktualnie czekamy na potwierdzenie zakresu danych. Najprawdopodobniej znajdują się tam imiona, nazwiska, nr PESEL oraz adresy e-mail i zamieszkania.
Aktualnie czekamy na potwierdzenie zakresu ilości danych. Pragnę zaznaczyć, że potencjalna możliwość naruszenia ochrony danych dotyczy jedynie osób, które złożyły wniosek o wydanie Karty Miejskiej online. Stanowi to ok. ¼ liczby wszystkich kart miejskich w systemie. Cała baza systemu zarządzana przez ZTM (dane posiadaczy kart wydanych na podstawie wniosków online oraz wniosków w wersji papierowej) znajduje się w innej lokalizacji, na serwerze nieposiadającym dostępu do sieci internetowej.
Wychodzi na to, że luka w zabezpieczeniach ZTM Gdańsk została niezwłocznie usunięta. Niestety nie wiadomo przez jaki czas ta furtka była otwarta. Tym bardziej nie wiadomo, czy ktokolwiek zdołał te dane pobrać z serwera firmy. W końcu lukę ujawnił jeden z internautów, którego uczciwość nakazywała zwrócenie uwagi odpowiedzialnym za to podmiotom. Pewnie prędko nie dowiemy się, ilu internautów zauważyło lukę wcześniej i postanowiło wykorzystać ją do innych, niekoniecznie uczciwych celów.