Dane posiadaczy karty PEKA były ogólnodostępne. Każdy mógł je pobrać z internetu
W ubiegłym tygodniu Zarząd Transportu Miejskiego poinformował nagle o konieczności przeprowadzenia prac modernizacyjnych i problemach, które mogą w związku z tym występować.
Okazuje się, że nie były to wcześniej planowane prace. Ich przeprowadzenie wymusiło zgłoszenie od portalu niebezpiecznik.pl dotyczące danych osobowych posiadaczy kart PEKA, które były dostępne w internecie. Portal otrzymał informację na ten temat od czytelnika. Ten zauważył, że do sieci wyciekły dane być może nawet 300 tysięcy osób. Wystarczyło mieć link, który po odpowiedniej modyfikacji (zmienianie w nim cyfr) umożliwiał nam podejrzenie wniosków o kartę PEKA czy potwierdzeń odbiorów kart. W dokumentach pojawiały się zdjęcia, imiona, nazwiska, numery PESEL i adresy posiadaczy kart.
Niebezpiecznik.pl poinformował o sprawie ZTM w Poznaniu. Zarząd natychmiast zareagował i postanowił przeprowadzić "prace modernizacyjne", o których informował w ubiegłym tygodniu. Poprosił też zgłaszających dziennikarzy, by nie publikowali informacji na ten temat przed uporaniem się z tym problemem. Zgoda na publikację wpłynęła do portalu w poniedziałek wraz z oświadczeniem od ZTM o takiej treści:
"Problem został zidentyfikowany - błąd kodu w systemie obsługi wniosków pojawił się wraz ze styczniową aktualizacją systemu centralnego. Natychmiast po otrzymaniu od Państwa zgłoszenia (za które jeszcze raz dziękujemy), w trosce o bezpieczeństwo danych Klientów podjęte zostały działania zapobiegawcze. Dodatkowo - aby wykluczyć jakiekolwiek ryzyko - wyłączona została zagrożona strefa systemu. We współpracy z wykonawcą systemu problem został zidentyfikowany i usunięty. ZTM zażądał również wprowadzenia dodatkowych zabezpieczeń danych. Prace zostały przeprowadzone niezwłocznie. Ze wstępnej analizy wynika, że - poza próbami ze strony portalu niebezpiecznik.pl - nie odnotowano prób nieautoryzowanego dostępu do danych systemu PEKA. ZTM zażądał szczegółowej analizy ruchu sieciowego oraz oficjalnego stanowiska w tej sprawie od wykonawcy systemu. Zlecony zostanie również dodatkowy kierunkowy audyt bezpieczeństwa mający na celu sprawdzenie wprowadzonej poprawki oraz innych potencjalnych możliwości ataków na system PEKA z sieci zewnętrznej".
Niebezpiecznik.pl podaje, że zawiadomienie w tej sprawie wpłynęło już do prokuratury.
Najpopularniejsze komentarze