Dane krakowian podane jak na tacy

fot. Krzysztof Kalinowski/LoveKraków.pl

Wrażliwe dane krakowian zostały wystawione na tacy potencjalnym przestępcom. Wszystko przez banalne hasło do panelu administracyjnego, z którego zarządza się systemem. O tym problemie napisał portal Niebezpiecznik.pl.

Do specjalistów zajmujących się bezpieczeństwem w sieci w czerwcu zeszłego roku napisał jeden z czytelników. Stwierdził, że zna login i hasło do panelu administracyjnego systemu Krakowskiej Karty. Okazało się, że było ono banalnie proste – użytkownik: admin, hasło: admin123. Redaktorzy portalu postanowili sprawdzić, czy to prawda. Zalogowali się i mieli dostęp do wszystkich danych osób, które złożyły wnioski.

Reakcja miasta

Miejskie Przedsiębiorstwo Komunikacyjne, które jest operatorem systemu, odniosło się dzisiaj do publikacji. W komunikacie czytamy, że jedyne zgłoszenie związane z możliwym wyciekiem danych dotyczyło logowania 29 czerwca 2018 roku.

– 2 lipca to zgłoszenie zostało przekazane do MPK, które natychmiast skierowało je do dostawcy systemu, firmy IDEO, zobowiązując ją do podjęcia natychmiastowych działań w celu wyjaśnienia zaistniałej sytuacji. W wyniku analizy stwierdzono, że hasło nie spełniało wymogów bezpieczeństwa i natychmiast zostało zmienione – przekonuje miejska spółka i dodaje, że w systemie były wówczas dane testowe.

W IDEO miał zostać przeprowadzony audyt, z którego wyniknęło, że nieautoryzowane logowania były jedynie „niskimi naruszeniami bezpieczeństwa”. W związku z tym nie poinformowano MPK o tych incydentach.

– Jednak w związku z opublikowaniem na portalu niebezpiecznik.pl informacji o możliwym wycieku danych z systemu Karty Krakowskiej w dniach 1 i 2 lipca 2018 roku, analizowane są kroki prawne w związku z potencjalnym zagrożeniem kradzieży danych – informuje MPK.

Specjaliści z niebezpiecznika.pl pogratulowali firmie IDEO „odwagi” za stworzenie tego typu uproszonych haseł oraz za niezgłoszenie tego incydentu klientowi. – Ciekawe, czy ten incydent został zgłoszony do UODO? Jeśli w systemie znajdowały się dane prawdziwych krakowian i było ich ponad tysiąc, to nawet wierząc w dobre intencje osoby, która uzyskała nieautoryzowany dostęp do tego systemu, sprawa powinna naszym zdaniem zostać zgłoszona do UODO – czytamy w artykule.

Gibała interpeluje

– Jeśli te informacje się potwierdzą, będzie to oznaczało skandal – komentuje Łukasz Gibała. Radny już złożył w tej sprawie interpelację do prezydenta Krakowa, w której pyta o to, jak to możliwe, że dane były tak słabo chronione, ilu mieszkańców może dotyczyć wyciek, czy zostały wyciągnięte jakiekolwiek konsekwencje wobec osób za to odpowiedzialnych. – W tle pozostaje jednak kluczowe pytanie: czy dzisiaj nasze dane, które gromadzi urząd miasta, są bezpieczne? – stwierdza Gibała.