Wykorzystując lukę w zabezpieczeniach formularza na stronie ZTM można było sięgnąć po dane ponad 100 tys. osób, które przez internet zamawiały kartę miejską. ZTM Gdańsk zapewnia, że do wycieku nie doszło. Jak poinformowali specjaliści ze serwisu zaufanatrzeciastrona.pl, wystarczyło, że „włamywacz miałby podstawową wiedzę o atakach SQL injection”.
IMIĘ, NAZWISKO, PESEL…
O sprawie serwis poinformował jeden z czytelników. Jak twierdził, strona, na której można sprawdzić, czy karta miejska jest gotowa do odbioru zawierała błędy pozwalające na „wstrzyknięcie” nieautoryzowanego zapytania SQL. Umożliwiało to uzyskanie dostępu do bazy danych zawierającej: imiona, nazwiska, adresy zamieszkania, adresy e-mail i numery PESEL osób, które wnioskowały przez internet o wydanie karty miejskiej ZTM w Gdańsku od roku 2009.
INCYDENT ZOSTAŁ ZGŁOSZONY DO UODO
Redaktorzy serwisu 22 stycznia poinformowali o zagrożeniu ZTM w Gdańsku. ZTM potwierdziło istnienie błędu i odpowiedziało, że błąd został niezwłocznie usunięty. Sprawdzane jest, ile danych było zagrożonych. ZTM miało zapewnić, że „potencjalne naruszenie ochrony danych dotyczy osób, które złożyły wniosek o wydanie karty miejskiej online”, a incydent został zgłoszony do Urzędu Ochrony Danych Osobowych.
MOŻLIWA METODA ATAKU
„SQL injection to metoda ataku komputerowego wykorzystująca lukę w zabezpieczeniach aplikacji polegającą na nieodpowiednim filtrowaniu lub niedostatecznym typowaniu danych użytkownika, które to dane są później wykorzystywane przy wykonaniu zapytań (SQL) do bazy danych” (za wikipedia.org).
OŚWIADCZENIE ZTM GDAŃSK
WYCIEKU DANYCH OSOBOWYCH KLIENTÓW ZTM NIE BYŁO, BŁĄD ZOSTAŁ NAPRAWIONY
W związku z publikacją na portalu „Zaufana Trzecia Strona”, dotyczącej możliwości wycieku danych z bazy użytkowników kart miejskich (konkretnie dotyczyło to osób składających wnioski o wydanie Karty Miejskiej online), Zarząd Transportu Miejskiego oświadcza, co następuje:
1. Otrzymaliśmy informację od portalu „Zaufana Trzecia Strona” odnośnie podatności SQL injection na stronie internetowej ZTM. Dla osoby znającej się na bazach danych sytuacja ta stwarzała możliwość skonstruowania odpowiedniego zapytania SQL-owego, a w efekcie dostępu do bazy danych wniosków o wydanie karty miejskiej ZTM w Gdańsku, złożonych online.
2. Natychmiast zweryfikowaliśmy informację i w porozumieniu z firmą hostingującą naszą stronę internetową, w czasie 1,5 h od zgłoszenia usunęliśmy błąd. Firma hostingująca analizuje obecnie kwestię ewentualnych modyfikacji aktualnych zabezpieczeń. Przeprowadziliśmy wewnętrzny audyt, potwierdzający szczelność systemu. Ponadto wysłaliśmy zgłoszenie do Urzędu Ochrony Danych Osobowych.
3. Na podstawie danych otrzymanych od firmy hostingującej naszą stronę internetową włącznie z formularzem online o wydanie Karty Miejskiej informujemy, że w wyniku przeprowadzonych badań nie stwierdzono wycieku danych, czy też ich usunięcia. Za pośrednictwem wykrytej podatności nie istniała również możliwość pobrania zdjęć załączanych przez pasażerów. Reasumując: dane są bezpieczne, a firma hostingująca stronę, formularz oraz bazę danych wniosków online o wydanie karty Miejskiej ZTM stosuje zabezpieczenia uniemożliwiające nieautoryzowane wejścia do bazy.
4. Wszystkich wniosków online bazie danych jest 101,230. Wszystkie dane podlegają tym samym zasadom funkcjonowania aplikacji. Żadna grupa rekordów nie jest poddana odmiennym zabezpieczeniom.
Przepraszamy za zaistniałą sytuację. Zapewniamy Państwa, że Wasze dane są odpowiednio zabezpieczone. Ich bezpieczeństwo jest dla nas, jak i firmy hostingującej te dane, najwyższym priorytetem. Stosowane przez firmę hostingującą zabezpieczenia oraz protokoły bezpieczeństwa gwarantują pełną ochronę przechowywanych oraz przetwarzanych danych.
Piotr Puchalski