24.01.2019 | 18:14

Anna Wasilewska-Śpioch

Dane ponad 100 000 posiadaczy karty miejskiej ZTM Gdańsk mogły wyciec

Imię, nazwisko, adres zamieszkania, adres e-mail i PESEL ponad stu tysięcy osób, które wnioskowały od roku 2009 przez internet o kartę miejską ZTM w Gdańsku mogły zostać wykradzione przez włamywacza z podstawową wiedzą o atakach typu SQL injection.

Jeden z Czytelników poinformował nas o błędzie odkrytym na stronie http://www.ztm.gda.pl/hmvc/index.php/test/karta_wyszukiwarka, która pozwala sprawdzić, czy zamówiona karta miejska jest już do odbioru. Wystarczy podać w formularzu numer otrzymany w trakcie składania zamówienia:

Formularz, używając metody POST, wysyła żądanie zawierające 4 parametry, w tym 3 istotne, składające się na numer karty miejskiej. Jeśli (tak jak Czytelnikowi) omsknie nam się palec na klawiaturze i przypadkiem wpiszemy np. 02-03-199’ – strona wyświetli stosowny komunikat błędu, który komuś, kto się zna na bazach danych, może pomóc kontruować odpowiednie zapytania SQL.

„Nie tylko ostatni parametr jest podatny – drugi jest wklejany do tego samego zapytania, a pierwszy, jak się okazuje, jest identyfikatorem… punktu odbioru” – zauważył Czytelnik. To z kolei oznacza, że wpisując w formularzu np. aa-00-00000, otrzymamy komunikat:

Mamy więc do czynienia z podatnością SQL injection, która – zgodnie ze swoją nazwą – umożliwia wstrzyknięcie do aplikacji nieautoryzowanego fragmentu zapytania SQL (co wynika z niewłaściwej walidacji wpisanych do formularza danych wejściowych). Czym to może grozić? W większości przypadków uzyskaniem dostępu do zgromadzonych w bazie informacji. Czytelnik postanowił zweryfikować swoje znalezisko i stworzył następujące zapytanie:

numer_karty1=02&numer_karty2=02&numer_karty3=022222' union select (select group_concat(table_name) from INFORMATION_SCHEMA.tables ), '1&SZUKAJ=SZUKAJ

Czy odpowiedź odbiła się w treści strony? I owszem.

Chodźmy dalej. Co się znajduje w tabeli karta…?

Według opisu pól powinniśmy tam znaleźć pełne dane osobowe użytkowników karty ZTM – imię, nazwisko, deklarowany adres zamieszkania, adres e-mail oraz PESEL. Sprawdźmy, może to pusta tabela.

Albo może te pola to tylko podpucha?

„Zatem można dostać się do bazy zawierającej 101 143 rekordy posiadaczy kart miejskich ZTM Gdańsk, pobierając ich dane osobowe” – podsumował Czytelnik, dodając, że nie przeszukiwał całej bazy, ale na pierwszy rzut oka wygląda, że takie dane zawiera tylko tabela z kartami. Znajdziemy w niej:

  • imiona,
  • nazwiska,
  • PESEL-e,
  • adresy e-mail,
  • adresy zamieszkania.

Czytelnik poprosił nas o pośrednictwo w przekazaniu ZTM w Gdańsku informacji o znalezionej podatności. Przy okazji okazało się, że rekordy w bazie sięgają roku 2009.

O błędzie poinformowaliśmy firmę we wtorek 22 stycznia.

Poprawna reakcja ZTM w Gdańsku

Na odpowiedź nie musieliśmy długo czekać. Skontaktował się z nami Zygmunt Gołąb, rzecznik prasowy Zarządu Transportu Miejskiego w Gdańsku, który potwierdził istnienie błędu, podziękował za zwrócenie na niego uwagi i poinformował, że podatność została usunięta w ciągu 1,5 godziny od otrzymania zgłoszenia.

Zapytaliśmy go, jakie dane zawarte są w bazie, do której można było dostać się w podany wyżej sposób. „Baza danych wniosków o wydanie Karty Miejskiej online zarządzana jest przez zewnętrzny podmiot, firmę hostingującą naszą stronę internetową. Aktualnie czekamy na potwierdzenie zakresu danych. Najprawdopodobniej znajdują się tam imiona, nazwiska, nr PESEL oraz adresy e-mail i zamieszkania” – poinformował przedstawiciel firmy.

Na pytanie o liczbę użytkowników, których dane były zagrożone wyciekiem, otrzymaliśmy następującą odpowiedź: „Aktualnie czekamy na potwierdzenie zakresu ilości danych. Pragnę zaznaczyć, że potencjalna możliwość naruszenia ochrony danych dotyczy jedynie osób, które złożyły wniosek o wydanie Karty Miejskiej online. Stanowi to ok. ¼ liczby wszystkich kart miejskich w systemie. Cała baza systemu zarządzana przez ZTM (dane posiadaczy kart wydanych na podstawie wniosków online oraz wniosków w wersji papierowej) znajduje się w innej lokalizacji, na serwerze nieposiadającym dostępu do sieci internetowej”.

Chcieliśmy także wiedzieć, czy ZTM zamierza poinformować użytkowników o potencjalnym wycieku ich danych. „Zgodnie z możliwościami, jakie daje nam zgłoszenie naruszenia ochrony danych osobowych oraz w związku z tym, że zbieramy informacje na temat tego incydentu, nie oceniliśmy jeszcze, czy zawiadomimy osoby, których dane dotyczą” – odpowiedział Zygmunt Gołąb.

Czy wobec tego o incydencie zostanie powiadomiony UODO? Z przekazanych przez rzecznika informacji wynika, że stosowne zgłoszenie zostało wysłane we środę 23 stycznia. Ma ono zostać uzupełnione „w terminie przewidzianym przepisami UODO” o dane dostarczone przez firmę hostingową.

Podsumowanie

Przed publikacją tego artykułu zweryfikowaliśmy, czy podatność została naprawiona. Błąd odnaleziony przez Czytelnika został usunięty, jednak sposób jego naprawy jest daleki od idealnego. Pozostaje nam mieć nadzieję, że nikt przed naszym Czytelnikiem nie natrafił na ten błąd i że w serwisie ZTM inne, podobne luki nie występują.

Jeśli podczas wędrówek w sieci natraficie na takie lub inne ciekawe błędy, to możecie nam je zgłosić – postaramy się, by problem został sprawnie rozwiązany.

Aktualizacja 2019-01-25 18:25

Zygmunt Gołąb, rzecznik prasowy ZTM w Gdańsku, przesłał nam oficjalne oświadczenie firmy. Można w nim m.in. przeczytać:

Na podstawie danych otrzymanych od firmy hostingującej naszą stronę internetową włącznie z formularzem online o wydanie Karty Miejskiej informujemy, że w wyniku przeprowadzonych badań nie stwierdzono wycieku danych, czy też ich usunięcia. Za pośrednictwem wykrytej podatności nie istniała również możliwość pobrania zdjęć załączanych przez pasażerów. Reasumując: dane są bezpieczne, a firma hostingująca stronę, formularz oraz bazę danych wniosków online o wydanie karty Miejskiej ZTM stosuje zabezpieczenia uniemożliwiające nieautoryzowane wejścia do bazy.

Z pełną treścią oświadczenia można się zapoznać na stronie ZTM w Gdańsku.

Powrót

Komentarze

  • 2019.01.24 19:10 Andrzej z Gorzowa

    Wicyj danych! Wincyj imion, nazwisk, PESEL-ów!

    Wicyj przechowywania w sytemach! Wincyj!

    Najlepiej jeszcze, by każdy podbijał to w kasowniku przy wejściu, a potem podbicia zbierał zewnętrzny serwer. A czemu nie? Trzeba wiedzieć, kto, z kim, kiedy i gdzie jedzie.

    Albo może zintegrować bilety z komórką. Wielu lubi konta Google, Facebooka. Może uczynić obowiązkowym?

    Niedawno próbuję zamówić sobie dysk twardy w sklepie internetowym. Chcę odebrać osobiście. Chcę rachunke (nie fakturę!). I co? Podaj imię, naziwsko, adres…

    A kij im w…

    Odpowiedz
    • 2019.01.24 20:26 DejoL

      Pocieszyć można się, że to nie obowiązkowe (jeszcze) w przeciwieństwie do Chin. Bo to co tam się wyrabia jest przerażające, choć nie mniej jak ignorancja społeczeństwa w krajach białego człowieka, który ładuje się w to dobrowolnie. Narazie wystarczy trochę wiedzy i zdrowego rozsądku, aby wielkiemu bratu zalepić oczy.
      Jakby przeszkolić i uświadomić społeczeństwo część dało by się „uratować” a co za tym idzie przedłużylibyśmy czas względnej wolności. Niestety w czasach gdzie szczyt marzeń to praca w korpo, a nie własny biznes to wolne społeczeństwa zamieniają się w chłopów pańszczyźnianych na naszych oczach. Smutne to jest.

      Odpowiedz
      • 2019.01.24 21:34 mifi

        Jest obowiązkowe – od 3 marca startuje e-Dowód, czyli nie będziesz mógł otrzymać dowodu bez chipa. Zobaczymy czy np. dane z dowodu będzie się dało skopiować zbliżeniowo, np. w tłoku w autobusie.
        No ale przecież to problem obywatela jak mu coś się stanie, najwyżej będzie próbował udowodnić że jest niewinny.

        Odpowiedz
        • 2019.01.24 22:44 Duży Pies

          Są etui ekranujące, działające jak klatka Faradaya. Pojawiły się dobrych parę lat temu gdy pojawiła się bezprzewodowa metoda zgrywania zbliżeniowych kart bankomatowych. Takie etui kosztuje parę złotych. Niektóre są wykonane jako kompozyt: metalizowana jakaś odmiana polietylenu. Problem rozwiązany.

          Odpowiedz
          • 2019.01.24 23:17 Irek

            Porządne, koniecznie nieprzezroczyste, ekranujące RFID etui powinno być wręczane razem z dowodem osobistym każdemu obywatelowi przy odbiorze tego dokumentu.

            Ale tak naprawdę dowody z czipem powinny być:
            a) tylko stykowe, bez RFID,
            b) dobrowolne, jak w Czechach gdzie można sobie wybrać czy chce się dowód z czipem czy bez czipu.

            Ja na przykład nie życzę sobie skanowania mojej twarzy na lotnisku i porównywania z zapisem w czipie. Wolę tradycyjną kontrolę paszportową przez funkcjonariusza.

            A poza tym dowody osobiste powinny być nieobowiązkowe. Kary za brak dowodu to relikt komuny.

          • 2019.01.24 23:34 Duży Pies

            @Irek

            Na Ali kupisz takie etui za kilka centów, wysyłka za free. Sam je mam i używam od lat.
            .
            O skan twarzy już się nie martw, bo rozwijające się gwałtownie IoT i Smart City oraz inwigilacja, sprawią że Twoja facjata będzie zeskanowana kilkadziesiąt razy dziennie gdy będziesz szedł do i wracał z pracy. To już nieuniknione. Od tego świata już nie uciekniemy.
            .
            „dowody osobiste powinny być nieobowiązkowe”
            To idiotyczne stwierdzenie, bo jakoś trzeba Cię identyfikować.
            Jakaś forma identyfikacji musi być o zawsze będzie. Jeśli nie plastik, to biometria albo czip.

          • 2019.01.25 02:48 Zosia

            Do Dużego Psa:

            Można na przykład rozważyć wprowadzenie zakazu automatycznego rozpoznawania twarzy. To nie zlikwiduje tej patologii, ale przecież materiały pedofilskie czy pirackie kopie oprogramowania też są zakazane (samo ich posiadanie jest przestępstwem), mimo że istnieją i to dość powszechnie. W jakiś sposób ograniczyłoby to inwigilację, bo skanujący nasze twarze zawsze musiałby pamiętać, że kiedyś może pójść za to siedzieć. Co do dowodów osobistych – chyba sobie kpisz. Niejeden kraj (UK, Australia, Kanada) bez nich funkcjonuje. Ba – są kraje w ogóle bez centralnych baz danych adresowych mieszkańców, np. Portugalia. Identyfikować moża się dowolnym dokumentem ze zdjęciem – bez żadnych peseli, meldunków i innych bolszewickich wynalazków. W Polsce musisz oddać biometryczne zdjęcie do centralnej bazy danych i zostanie tam ono do końca Twego życia. Za ile lat te bazy zasilą systemy automatycznego rozpoznawania twarzy? Poza tym – co to znaczy „trzeba się czymś identyfikować”? Jest jak jest, ale przecież tak naprawdę nie zawsze jest to konieczne. Należy zmniejszyć do minimum liczbę sytuacji, gdy pytają nas o nasze dane.

          • 2019.01.25 09:52 Duży Pies

            Do Zosi
            Wydoroślej dziewucho! Nie jesteś na Przystanku Woodstock, gdzie w oparach zielska i przy głośnej muzyce możesz snuć wizje o fajnym świecie bez kontroli, gdzie wszyscy się kochamy.
            Przykłady Australii, Kanady i UK to już w ogóle pomyłka, bo są to kraje bardzo inwigilujące i mocno powiązane z NSA poprzez członkostwo w Sojusz Pięciorga Oczu.

          • 2019.01.25 15:29 Zosia

            Do Dużego Psa:

            Nie jestem żadną dziewuchą z Woodstocka. Narkotyków nigdy nie brałam, hippiską nie jestem i nigdy nie twierdziłam, że chcę świata bez kontroli. Pohamuj swoje belferskie zapędy i skup się na temacie dyskusji. Doskonale wiem jak inwigilują kraje typu UK czy Australia. Nie zmienia to faktu, że tam państwo interesuje się Tobą o wiele mniej niż w postkomunistycznej europie wschodniej. To się niestety zmienia (na gorsze). Nadal jednak możliwe jest życie bez dowodów osobistych, meldunków i innych niepotrzebnych rzeczy. W Polsce też by się dało. Twierdzenia władz że to dla bezpieczeństwa obywateli są bez sensu, bo przestępcy nie mieszkają tam gdzie są zameldowani.

          • 2019.01.25 17:24 Duży Pies

            Do Zosi (again):
            Ludzi trzeba kontrolować i inwigilować.
            Każdy dojrzały funkcjonariusz dbający o bezpieczeństwo państwa, przyzna mi rację!
            Gdy ludziom da się zbyt wiele wolności, zrobią sobie i/lub innym krzywdę.
            Bo gorzka prawda jest taka, że ludzie z natury nie są zbyt mądrzy i gdy tylko mogą, myślą i działają jak małpy i dają się manipulować. Jest to szczególnie widoczne w niedojrzałych demokracjach, np. takich jak współczesna Polska.

          • 2019.01.25 18:14 Staly czytasz

            „To idiotyczne stwierdzenie, bo jakoś trzeba Cię identyfikować.”

            A patrz Pan, ze w USA nie ma obowiazku posiadania dokumentu tozsamosci czy meldunku.

          • 2019.01.26 08:52 sandźaja

            „Są etui ekranujące”
            ktoś niezły byznes na tym robi, wystarczy kawałek folii aluminiowej i osiągniesz to samo :)

        • 2019.01.24 23:36 Krzysztof Bryk

          czy to ma sens jeżeli możesz w telefonie w mObywatel masz dowód? gdzie to ze sobą brać ten czip, do podróży w strefie schengen? to w kopertę i przed siebie. jeżeli ktoś biega z kartami zbliżeniowymi to tylko sobie może pluć w brodę :) ale faktycznie jakąś broszurkę, najlepiej wielofunkcyjną mogliby rozdawać do tego dowodu.

          Odpowiedz
          • 2019.01.25 10:06 Felek

            Co z tego, że z poziomu mObywatel masz, skoro nikt tego nie respektuje?

        • 2019.01.25 15:18 Narodowe Centrum Cyber

          pamiętam jak powstawało Ministerstwo Cyfryzacji w obecnej formie i wszyscy komputerowcy się cieszyli że nowe technologie, Anna Streżyńska jedyna uczciwa minister z rządu PiS ;)
          zostaliście zrobieni w balona.
          jakby chodziło o cyfryzację to taki urząd miałby miejsce bytu 25 lat temu, w 2019 roku to nieśmieszny żart.
          tutaj chodzi o znacznie bardziej poważną kwestię. urządzenie Polakom totalnej inwigilacji we współpracy z Google i Facebook w zamian za obronę ich interesów na arenie Unii Europejskiej. stosowne umowy zostały już podpisane, jak nie wierzycie to trudno, zorientujecie się kiedy będzie za późno.

          Odpowiedz
          • 2019.01.29 23:14 Tobiasz

            > chodzi o znacznie bardziej poważną kwestię.
            > urządzenie Polakom totalnej inwigilacji
            > we współpracy z Google i Facebook
            > w zamian za obronę ich interesów
            > na arenie Unii Europejskiej.
            > stosowne umowy zostały już podpisane,

            Na pewno jest umowa Ministerstwa Cyfryzacji z Facebookiem wprowadzająca możliwość odwołania się od blokady.

            Czy są jakieś inne umowy? Jakie? Gdzie się można zapoznać z ich treścią?

            > jak nie wierzycie to trudno, zorientujecie
            > się kiedy będzie za późno.

            To kwestia faktów. Podaj konkrety.

      • 2019.01.26 08:16 marianZ

        Akurat niewiele się różnimy od Chińczyków, tylko mentalność powoduje, że tego nie widać. U nich zawsze było posłuszeństwo wobec Cesarza, stąd oni nie widzą nic zdrożnego w kontroli. My tymczasem mamy identyczny niemal system „kredytu społecznego” pod nazwą „systemu monetarnego” zgodny z naszą mentalnością i też jest OK.

        Odpowiedz
  • 2019.01.24 19:31 zakius

    nie, poprawną reakcją jest nie wystawianie czegoś takiego na świat, nigdy pod żadnym pozorem
    SQL injection to jest tak podstawowy błąd i tak bardzo prosty do zapobieżenia, że to… no nie! nie, nie, nie, nie, nie

    Odpowiedz
  • 2019.01.24 20:33 Rona

    I pomyśleć, że ludzie, z natury, o tak słabych kompetencjach, czyli po prostu urzędnicy, często indywidualnie decydują o jakości życia wielu, wielu obywateli. Chcą tony danych od petenta, ale sami zapytani o coś więcej niż imię i nazwisko z tabliczki, obruszają się. Ponieważ tylko to, że siedzą w tej chwili na krześle urzędowym, powinno wywołać u każdego nieprzerwany strumień zaufania.

    Spróbujcie zapytać urzędnika o jego kompetencje. Z doświadczenia powiem, że jako obywatele nie jesteście w ogóle stroną. To nie u obywateli urzędnicy się zatrudnili, tylko u kierowników wydziałów, rodziców, szwagrów.

    I nie zmieni się to, do momentu, gdy urzędnicy nie zaczną faktycznie odpowiadać za swoje czyny i zaniechania. Nie mam na myśli braku premii „w tym miesiącu”.

    Już po 20:00. Zatem za niespełna 12 godzin każdy urzędnik, na początek nużącego dnia, napije się darmowej kawki opłaconej z podatków.

    PS
    Przepraszam tych kilka procent chcących wykonywać swoje urzędnicze zadania jak najlepiej. Jest Was zbyt mało.

    Odpowiedz
    • 2019.01.24 23:05 DejoL

      Akurat wśród urzędników to jest za mało ludzi po prostu.Nadgorliwość jest gorsza od faszyzmu… Urzędnicy wysokiego i średniego stopnia odpowiadają za wdrażanie systemowego fiskalnego (nie tylko) terroru.
      Za zwykłe gapiostwo grozi czasami kara 0,5 mln euro i więcej.
      Przez to mądrzy ludzie z umiejętnościami i z głową na karku wolą zatrudnić się w korpo i mieć „święty spokój”, albo założyć firmę w U.K. Podczas gdy oni za uśmiercenie polskich firm dostają jeszcze premie pod stołem od oficera prowadzącego (chociażby z BND itp) za wykolegowanie konkurencji z Polski. Mówię tu o firmach które faktycznie coś produkują, tworzą a nie prowadzą salon play albo wulkanizacje.

      Odpowiedz
  • 2019.01.24 20:39 Janusz

    Poziom zabezpieczeń karygodny, właściwie to brak zabezpieczeń. A zbieranie informacji o adresie już w ogóle jest kuriozalne.

    Ale nawet gdyby baza danych była bardzo dobrze zabezpieczona, to po co ona w ogóle jest? Wystarczy karta miejska ze zdjęciem – po co kontroler ma wiedzieć jak się nazywam? Po co trzymać jakiekolwiek dane osobowe w bazie? Przecież jeżeli na karcie nie ma zakodowanego biletu to i tak muszę albo uiścić karę na miejscu, albo okazać kontrolerowi dokument tożsamości…

    Uważam, że każdy powinien mieć możliwość wyrobienia sobie karty miejskiej bez umieszczania jakichkolwiek swoich danych w bazie. Oczywiście w ten sposób zrzeka się możliwości duplikatu biletu miesięcznego, ale coś za coś.

    Swego czasu Panoptykon walczył o taką możliwość w Warszawie
    https://panoptykon.org/wiadomosc/co-kryje-karta-miejska-czyli-zagrozenia-zwiazane-z-personalizacja
    ale to było jak grochem o ścianę – oficjalnie wszystko „dla wygody mieszkańców”, a nieoficjalnie – by wiedzieć kto, co, gdzie i jak. Obrzydliwe!

    Odpowiedz
    • 2019.01.25 08:11 Felek

      Nie wiem czy wiesz, ale w każdym mieście (w Gdańsku też, sprawdziłem) istnieje coś takiego jak „karta miejska na okaziciela”, gdzie nie ma żadnych danych. Ale po co sprawdzać informacje nim się coś napisze, prawda?

      Odpowiedz
      • 2019.01.28 15:36 Miki

        Czy wiesz jak działa karta na okaziciela?!? Nadal musisz podać imię, nazwisko adres itp. do wyrobienia karty. Płacisz około dwukrotnie więcej miesięcznie nie za wolność a możliwość używania kart przez kilka osób np. co tydzień przyjmujesz innych zagranicznych gości i nie chcesz za każdym razem im wyrabiać karty albo kupowac kolejnych biletów długoterminowych.

        Odpowiedz
        • 2019.01.28 17:09 vv

          przy wyrabianiu „karty na okaziciela” można podać fałszywe dane bo kontroler tego nie sprawdzi

          Odpowiedz
  • 2019.01.24 21:35 Michal

    Naprawienie błędu w 1.5h świadczy o tym, że ktoś na szybko stworzył konfigurację jeśli token = cośtam to 404. Zupełnie jak w bankach, gdzie jest lista niedozwolonych znaków.
    Nawet automat to obejdzie.

    Odpowiedz
    • 2019.01.29 11:26 imię

      nah, wystarczy zcastować na inta

      Odpowiedz
  • 2019.01.24 22:52 Gutek

    Zawsze mnie zastanawiało, po co są zbierane te dane? To jakaś archaiczna zaszłość z państwa policyjnego.

    W Paryżu dostaje się „w okienku” zaklejaną kartę z wydrukowanym unikalnym numerem. Jedyne co trzeba zrobić, to przykleić swoje zdjęcie, wpisać imię i nazwisko (pewnie nie musi być prawdziwe) i zakleić całość przezroczystą, nieodklejalna folią. Co miesiąc/tydzień na każdym zakupionym bilecie (takim samym jak w Wawie) wpisuje się numer tej karty ze swoim zdjęciem i „voila” (BTW, bilet wkłada się do specjalnej kieszonki w etui od karty). Nie trzeba zbierać ani przetwarzać ŻADNYCH danych osobowych, zaś każdy kanar może zweryfikować poprawność biletu oraz to, że korzysta z niego osoba uprawniona.

    Odpowiedz
    • 2019.01.24 23:58 Duży Pies

      Słaby przykład z Francją, która właśnie jest państwem policyjnym, podobnie jak Niemcy i UK.
      To właśnie Francja wymusiła w Europie osłabienie szyfrowania w telefonii GSM. Jak sądzisz, po co?

      Odpowiedz
    • 2019.01.25 00:36 hahaha

      Gutek, ty paryz to chyba na zdjeciach tylko widziales…
      Karta Navigo Decouverte, o ktorej mowisz, owszem – nie wymaga rejestracji w zadnym systemie elektronicznym, ale wymaga dokumentu tozsamosci. W razie jej zgubienia zaladowany bilet idzie na wczasy… 75 eur w przypadku miesiecznego biletu… oprocz karty z czipem nalezy miec przy sobie osobny kartonik ze zdjeciem, o ktorym piszesz. na szczescie co tydzien/miesiac nic nie trzeba nigdzie pisac.

      Jest to tylko jedna wersja tej karty – druga, normalna, wymaga calej masy danych, dajac jednak pewne benefity – np. odzyskanie zaladowanego biletu w przypadku zgubienia karty.

      cos za cos.

      Odpowiedz
      • 2019.01.25 13:33 Gutek

        To co napisałeś, potwierdza to co napisałem na początku: nie potrzeba zbierać danych osobowych, aby mieć długookresowy bilet imienny na komunikację miejską :-) W opisanej opcji dokument tożsamości okazujesz do kontroli – czyli te dane nie sa przechowane w żadnym systemie IT komunikacji miejskiej – i to tylko sporadycznie, w sytuacji, gdy kontrolerowi nie spodoba się twoja „wkładka” ;-)

        Odpowiedz
        • 2019.01.28 15:55 Miki

          Jako student mogłem w Warszawie załadować bilet na legintymacji. W razie zgubienia otrzymywałem w dziekanacie numer karty ID i z nim udawałem się do ZTM w celu wgrania pozostałego okresu ważności na nową kartę. Oni przechowywali ID i datę do kiedy ważny jest bilet. Więc nie potrzebowali moich danych. Tak samo z biletami na karcie płatniczej. Musi być potwierdzenie że tylko jedna osoba korzystam z karty.

          Odpowiedz
  • 2019.01.24 23:31 ew

    Jeżeli te dane faktycznie wyciekły, co ofiara może zrobić? W sensie jakie ryzyko stoi za tym konkretnym pakietem danych w niepowołanych rękach?

    Odpowiedz
    • 2019.01.24 23:54 Duży Pies

      Mając taką kolekcję danych (imię, nazwisko, PESEL, adres zamieszkania), można zamówić sobie dowód osobisty „kolekcjonerski”. Są firmy które to wytwarzają i nie jest to ewidencjonowane. Ten dowód jest wykonany tak że dość wiernie przypomina ten prawdziwy dowód którym się na co dzień posługujemy i większość ludzi poprawnie nie rozpozna go. Mając tak spreparowany dowód na czyjeś prawdziwe dane, można bezkarnie pozaciągać kredyty i zadłużyć nieszczęśnika którego PESEL będzie na takim dowodzie. Można też pójść do salonu GSM, okazać taki dowód i zamówić duplikat karty SIM która bierze udział w procesach autoryzacji/uwierzytelniania poprzez SMSy. To dość świeża metoda bankowych złodziei, można człowieka okraść z oszczędności życia.
      To chory kraj że można takie trefne dowodziki wytwarzać…

      Odpowiedz
      • 2019.01.25 15:39 Zosia

        Takie fałszywe dokumenty zawsze bedą dostępne jak nie w tym to w innym kraju. Żadne przepisy zabraniające ich wytwarzania czy nawet posiadania nic nie zmienią. Problem jest w wymaganiu prawie wszędzie podawania kompletu danych (a przecież wystarczy imię nazwisko i numer dokumentu) i w tym, że dane są przechowywane zbyt długo i w niezabezpieczonych bazach, przez co niewinni ludzi są wrabiani w pożyczki i inne podobne rzeczy.
        Powtórzę raz jeszcze: problem jest w tym, że dane przeciętnego człowieka leżą dziś na ulicy. To co z nimi można zrobić jest tak naprawdę drugorzędne. Przecież dowód „kolekcjonerski” można wyrobić na dane nieistniejącej osoby. Ba, nawet pożyczek można nabrać: https://sekurak.pl/okradla-banki-na-400-000-pln-korzystajac-z-generatora-numerow-pesel/

        Odpowiedz
    • 2019.01.25 07:37 Emanuel Nwude

      1000 kart sim zarejestrowanych na Twoje dane :-)

      Odpowiedz
  • 2019.01.25 09:36 Miłosz

    Ciekawe, czy będą musieli powiadomić wszystkich posiadaczy karty miejskiej?

    Odpowiedz
  • 2019.01.25 10:49 wyszukiwacz

    Interesujące.
    ztm.gda.pl -> 195.85.230.26

    organisation: ORG-NP7-RIPE
    org-name: NET P.C. MACIEJ CZAPLUK
    org-type: OTHER
    address: ul. Na Stoku 49
    address: 80-874 Gdansk

    Zarząd Transportu Miejskiego w Gdańsku
    ul. Na Stoku 49 80-874 Gdańsk, tel/fax: 58 520-57-00

    Przypadek?

    Odpowiedz
  • 2019.01.25 11:01 ciekawy

    To ten sam wykonawca, który chciał tylko 30 000 zł za wykonanie serwisu dla Policji?
    „Budowa portalu internetowego zawierającego wykaz osób poszukiwanych na podstawie listu gończego oraz wykaz osób poszukiwanych na podstawie zawiadomienia o zaginięciu osoby”

    Cena wybranej oferty: 35 450 PLN

    http://www.przetargi.egospodarka.pl/272534_Budowa-portalu-internetowego-zawierajacego-wykaz-osob-poszukiwanych-na-podstawie-listu-gonczego-oraz-wykaz-osob-poszukiwanych-na-podstawie-zawiadomienia-o-zaginieciu-osoby-nr-sprawy-77-BLiI-09-MT_2009_2.html

    Odpowiedz
  • 2019.01.25 14:58 jasc

    Jest w Gdańsku kolejna, duża baza danych – w ramach programu Gdańska Karta Mieszkańca (https://www.jestemzgdanska.pl/), prowadzona na zlecenie miasta przez podmiot zewnętrzny – Stowarzyszenie Gdańska Organizacja Turystyczna. Chcesz iść raz w roku za darmo np. do ZOO – podaj imię, nazwisko, adres, telefon, PESEL, mail… Pomijając szereg zastrzeżeń merytorycznych, związanych choćby z zakresem przetwarzania danych osobowych (m.in. profilowanie w standardzie) – wykonanie systemu zlecono zapewne firmie która była najtańsza. Ciekaw jestem jak w tym wypadku jest z bezpieczeństwem tej aplikacji.

    Nawiasem, śmieszą mnie za każdym razem deklaracje administratora DO że „nie ma zamiaru” przekazywać danych osobowych do państwa trzeciego lub organizacji międzynarodowej – a w kodzie strony skrypty GA, googletagmanager, googleadservice, gstatic, cloudflare, getresponse, yandex.ru i Bóg wie co jeszcze…

    Odpowiedz
  • 2019.01.28 11:07 Ad

    I jako użytkownik tej karty co powinienem teraz zrobić? Zarejestrowałem się już w BIK.

    Odpowiedz
    • 2019.01.28 12:27 Duży Pies

      Profilaktycznie zastrzec dowód osobisty + wyrobić nowy

      Odpowiedz
      • 2019.01.28 16:06 Miki

        Zastrzec Pesel i poprosić o nowe mieszkanie/adres bo jako osoba publiczna moge teraz być prześlodowany przez moich oponentów. Albo przemianować wszystkie ulice w mieście.

        Odpowiedz
    • 2019.01.29 11:29 im

      LOL

      BIK to prywatna firma! Która wymaga „skanu dowodu” podczas rejestracji!

      EPIC FAIL

      Odpowiedz
  • 2019.01.28 16:23 Miki

    Ciekawe kiedy wycieknie jakaś większa baza ogólno-państwowa. Nagłówki gazet – „Wyciekły dane 38 mil Polaków. Od dzisiaj wszyscy wiemy kto gdzie mieszka i ile ma lat. Każdy ma już zacjągnięte 100tyś kredytu. Ciekawe czemu Polacy tak nagle rzucili się na chwilówki i z czego spłacą te długi.”

    Odpowiedz
  • 2019.01.29 11:19 imię

    „omsknie nam się palec na klawiaturze”

    *pacza na klawiaturę*

    *pacza na 9*

    *pacza na '*

    :D:D

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Dane ponad 100 000 posiadaczy karty miejskiej ZTM Gdańsk mogły wyciec

Komentarze