Błąd w miejskiej aplikacji ujawniał dane osób zgłaszających problemy

dodał 1 lutego 2018 o 12:02 w kategorii Wpadki  z tagami:
Błąd w miejskiej aplikacji ujawniał dane osób zgłaszających problemy

W wielu miastach popularność zyskują platformy, dzięki którym mieszkańcy mogą wskazywać urzędnikom problemy takie jak popsuta infrastruktura miejska czy przewrócone drzewa. Czasem jednak system ujawnia za dużo danych.

Dzisiaj rano wystartowała platforma ZgłoszeniaBB – system umożliwiający mieszkańcom Bielska-Białej proste i wygodne zgłaszanie różnych incydentów urzędnikom i służbom miejskim. Uruchomiona została zarówno strona WWW jak i aplikacja mobilna i zaczęły napływać pierwsze zgłoszenia. Jeden z naszych Czytelników zwrócił jednak uwagę, że co innego widać na stronie, a co innego w narzędziach przeglądarki.

Zbyt dużo danych

Strona prezentuje między innymi listę już głoszonych problemów. Wygląda ona tak:

Jeśli jednak dzisiaj rano zajrzeliście, co dzieje się pod spodem, mogliście trafić na takie oto żądanie do serwera:

Rzut oka w dane przesyłane w odpowiedzi pozwolił Czytelnikowi zauważyć, że pojawiło się tam o kilka pól za dużo:

Serwer wysyłał przeglądarce także dane osobowe zgłaszającego problemy i je przeglądającego, ponieważ w komunikacji przekazywane były pola takie jak

PERSON_CREATE_NAME
PERSON_CREATE_SURNAME
PERSON_MODIFY_NAME
PERSON_MODIFY_SURNAME

Dodatkowo regulamin serwisu mówi:

Użytkownik zobowiązany jest podać i utrzymywać dane profilowe zgodne ze stanem faktycznym. Podanie nieprawdziwych danych lub posługiwanie się danymi innej osoby, podlega odpowiedzialności karnej.

Niestety kolejny punkt regulaminu

Dane profilowe nie są publikowane w ogólnodostępnej części Serwisu lub Aplikacji […]

jeszcze dzisiaj rano nie był prawdą.

Rekordowy czas reakcji

Gdy otrzymaliśmy informację o błędzie, przesłaliśmy ją do Urzędu Miejskiego oraz firmy BIT SA, która jest twórcą aplikacji. Nasza wiadomość na ogólny adres kontaktowy firmy została wysłana o godzinie 10:37, a o 11:11, zaledwie 34 minuty później, dostaliśmy informację, że błąd jest już usunięty. Trzeba przyznać, że tak jak błąd był trywialny i nie powinien się pojawić w usłudze, tak czas reakcji zasługuje na uznanie – to chyba rekord w naszej współpracy z dostawcami. Dane nie pojawiają się już gdzie nie trzeba, zatem jeśli mieszkacie w Bielsku-Białej, to możecie spokojnie wysyłać kolejne zgłoszenia.

Jeśli nie chcecie czytać o podobnych incydentach w wykonaniu Waszych programistów, to zapraszamy na nasze szkolenie z bezpieczeństwa aplikacji WWW.

Bezpieczeństwo aplikacji WWW - atak i obrona

Warsaw-center-free-license-CC0
Warszawa, 19 – 21 lutego 2018

Czas trwania: 3 dni (20h), Prowadzący: Adam z z3s, Przemysław Sierociński
Liczba uczestników: maksymalnie 12 osób, cena: 3900 PLN netto

Szczegółowy opis szkolenia