01.02.2018 | 12:02

Adam Haertle

Błąd w miejskiej aplikacji ujawniał dane osób zgłaszających problemy

W wielu miastach popularność zyskują platformy, dzięki którym mieszkańcy mogą wskazywać urzędnikom problemy takie jak popsuta infrastruktura miejska czy przewrócone drzewa. Czasem jednak system ujawnia za dużo danych.

Dzisiaj rano wystartowała platforma ZgłoszeniaBB – system umożliwiający mieszkańcom Bielska-Białej proste i wygodne zgłaszanie różnych incydentów urzędnikom i służbom miejskim. Uruchomiona została zarówno strona WWW jak i aplikacja mobilna i zaczęły napływać pierwsze zgłoszenia. Jeden z naszych Czytelników zwrócił jednak uwagę, że co innego widać na stronie, a co innego w narzędziach przeglądarki.

Zbyt dużo danych

Strona prezentuje między innymi listę już głoszonych problemów. Wygląda ona tak:

Jeśli jednak dzisiaj rano zajrzeliście, co dzieje się pod spodem, mogliście trafić na takie oto żądanie do serwera:

Rzut oka w dane przesyłane w odpowiedzi pozwolił Czytelnikowi zauważyć, że pojawiło się tam o kilka pól za dużo:

Serwer wysyłał przeglądarce także dane osobowe zgłaszającego problemy i je przeglądającego, ponieważ w komunikacji przekazywane były pola takie jak

PERSON_CREATE_NAME
PERSON_CREATE_SURNAME
PERSON_MODIFY_NAME
PERSON_MODIFY_SURNAME

Dodatkowo regulamin serwisu mówi:

Użytkownik zobowiązany jest podać i utrzymywać dane profilowe zgodne ze stanem faktycznym. Podanie nieprawdziwych danych lub posługiwanie się danymi innej osoby, podlega odpowiedzialności karnej.

Niestety kolejny punkt regulaminu

Dane profilowe nie są publikowane w ogólnodostępnej części Serwisu lub Aplikacji […]

jeszcze dzisiaj rano nie był prawdą.

Rekordowy czas reakcji

Gdy otrzymaliśmy informację o błędzie, przesłaliśmy ją do Urzędu Miejskiego oraz firmy BIT SA, która jest twórcą aplikacji. Nasza wiadomość na ogólny adres kontaktowy firmy została wysłana o godzinie 10:37, a o 11:11, zaledwie 34 minuty później, dostaliśmy informację, że błąd jest już usunięty. Trzeba przyznać, że tak jak błąd był trywialny i nie powinien się pojawić w usłudze, tak czas reakcji zasługuje na uznanie – to chyba rekord w naszej współpracy z dostawcami. Dane nie pojawiają się już gdzie nie trzeba, zatem jeśli mieszkacie w Bielsku-Białej, to możecie spokojnie wysyłać kolejne zgłoszenia.

Jeśli nie chcecie czytać o podobnych incydentach w wykonaniu Waszych programistów, to zapraszamy na nasze szkolenie z bezpieczeństwa aplikacji WWW.

Bezpieczeństwo aplikacji WWW - atak i obrona

Warsaw-center-free-license-CC0
Warszawa, 19 – 21 lutego 2018

Czas trwania: 3 dni (20h), Prowadzący: Adam z z3s, Przemysław Sierociński
Liczba uczestników: maksymalnie 12 osób, cena: 3900 PLN netto

Szczegółowy opis szkolenia
Powrót

Komentarze

  • 2018.02.01 13:42 MatM

    Jest jeszcze jedna głupota, którą mogliby poprawić. Serwer wysyła całkiem sporo informacji o zainstalowanym oprogramowaniu. Oczywiście może to być ściema ale jak znam życie to jednak autentyczne info jest. Nie będę się czepiał, że wystawili Apache-a bezpośrednio do sieci ale zapewne obsługuje on back-end (PHP) i przy większym ruchu padnie jak objedzona maciora. Pliki statyczne: css, js i obrazki lepiej serwować z osobnego serwera.

    Odpowiedz
  • 2018.02.01 18:10 Marek

    Dlaczego ZaufanaStronaTrzecia używa Canvas Fingerprint???

    Odpowiedz
    • 2018.02.01 18:20 Adam

      Nie używa.

      Odpowiedz
      • 2018.02.03 21:31 Kot Rademenes

        ŻEBY CIĘ WYŚLEDZIĆ I ZAŁOŻYĆ CI HASŁO NA BIOSA.

        Odpowiedz
      • 2018.02.04 00:57 e

        Odpaliłem na próbę torbrowser i jest alarm.
        This website (zaufanatrzeciastrona.pl) attempted to extract HTML5 canvas image data, which may be used to uniquely identify your computer.

        Odpowiedz

Zostaw odpowiedź do Marek

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Błąd w miejskiej aplikacji ujawniał dane osób zgłaszających problemy

Komentarze