Dane posiadaczy karty PEKA były ogólnodostępne. Przez błąd systemu

Dane osobowe, adresy zamieszkania, numery PESEL, daty urodzenia czy zdjęcia – dane posiadaczy karty PEKA pojawiły się online. Zdaniem ZTM, do wycieku doszło z powodu błędu przy ostatniej aktualizacji systemu.

O sprawie doniósł portal niebezpiecznik.pl, do którego zgłosił się czytelnik twierdzący, że dane nawet 300 tysięcy użytkowników kart PEKA są dostępne online. Według portalu, aby pobrać dokumenty wystarczyło zmanipulować odpowiedni link, zmieniając liczby na kolejne.

Portal zgłosił sprawę poznańskiemu Zarządowi Transportu Miejskiego, który natychmiast przystąpił do usunięcia błędu i zabezpieczenia dostępu do danych. To właśnie kryło się pod „nieplanowanymi pracami modernizacyjnymi”, do których doszło w piątek, 3 lutego.

ZTM poprosił portal o niepublikowanie materiału do czasu usunięcia awarii. Jeszcze tego samego dnia, niebezpiecznik otrzymał zgodę na poinformowanie czytelników o problemie. Portal o sprawie napisał w poniedziałek, 6 lutego, cytując w artykule także wiadomość, jaką otrzymał od Zarządu Transportu Miejskiego.

“Problem został zidentyfikowany – błąd kodu w systemie obsługi wniosków pojawił się wraz ze styczniową aktualizacją systemu centralnego.

Natychmiast po otrzymaniu od Państwa zgłoszenia (za które jeszcze raz dziękujemy), w trosce o bezpieczeństwo danych Klientów podjęte zostały działania zapobiegawcze. Dodatkowo – aby wykluczyć jakiekolwiek ryzyko – wyłączona została zagrożona strefa systemu.

We współpracy z wykonawcą systemu problem został zidentyfikowany i usunięty. ZTM zażądał również wprowadzenia dodatkowych zabezpieczeń danych. Prace zostały przeprowadzone niezwłocznie.

Ze wstępnej analizy wynika, że – poza próbami ze strony portalu niebezpiecznik.pl – nie odnotowano prób nieautoryzowanego dostępu do danych systemu PEKA. ZTM zażądał szczegółowej analizy ruchu sieciowego oraz oficjalnego stanowiska w tej sprawie od wykonawcy systemu. Zlecony zostanie również dodatkowy kierunkowy audyt bezpieczeństwa mający na celu sprawdzenie wprowadzonej poprawki oraz innych potencjalnych możliwości ataków na system PEKA z sieci zewnętrznej.”

ZTM Poznań