System Liferay 6.1.0 CE, na którym, jak to odkryli, pracuje system PEKA, to CMS, który nie tylko jest przestarzały, ale i dziurawy jak szwajcarski ser. W dodatku bardzo słabo zabezpieczony przed ewentualnymi kradzieżami danych – jak twierdzą programiści, dysponując odpowiednio sformatowanym linkiem można bez problemu pozyskać dostęp do dowolnego konta bez znajomości loginu i hasła.
Programiści powiadomili o sprawie Zarząd Transportu Miejskiego na początku sierpnia, wskazując, gdzie jest dziura i w czym tkwi niebezpieczeństwo. Niestety, nie doczekali się ani odpowiedzi, ani reakcji.
“Projekt za ponad 30 milionów złotych nie działa w pierwszych tygodniach wprowadzenia, paraliżuje ruch w mieście, nie przewiduje awarii tramwajów, zmusza ludzi do korzystania z kart bankomatowych w roli sieciówki (fixed) i opiera się na Liferay’u” – podsumowują.
A co na to Zarząd Transportu Miejskiego? Firma przekazała oświadczenie przygotowane przez Marcina Woźnego, dyrektora projektu PEKA w firmie Bull Polska na ten temat. Oto ono:
“W związku z opinią, która pojawiła się ostatnio na jednym z blogów, dotyczącą wykorzystanej w systemie PEKA platformy Liferay, uprzejmie informujemy, że zauważona przez autora wpisu usterka została już całkowicie zneutralizowana. Usterka jest wadą w oprogramowaniu dostarczonym przez producenta aplikacji Liferay, co nie zmienia faktu, że Liferay.com to według firmy Gartner jeden z wiodących dostawców oprogramowania typu CMS na świecie (Gartner Magic Quadrant for Horyzontal Portals). Tego typu błędy posiadają wszystkie wypuszczane na rynek aplikacje, a dopiero z czasem producenci dostarczają nakładki eliminujące te błędy. Wyżej wymieniona usterka występuje również w Liferay Enterprise Edition, co podważa zarzut autora, że wybrano niedostateczny rozwój wersji – funkcjonalności wersji zwykłej w zupełności wystarczają w kontekście zakresu wykorzystania ich do pracy w systemie PEKA.
Usterka, która została już naprawiona, mogła w najgorszym razie zmienić wygląd elementu na stronie lub przejąć kontrolę nad momentem logowania do profilu, czyli w ostateczności ewentualnie doładować nieswoje konto. Obsługa całego systemu PEKA, jak i poszczególnych transakcji nie została w żaden sposób narażona, jako że odbywa się poza aplikacją opartą na Liferay – ta ostatnia odpowiada jedynie za zarządzanie treścią portalu.”
– Dbamy o bezpieczeństwo całego systemu i mamy zapewnienie, że jest on bezpieczny – podsumowuje Bogusław Bajoński, dyrektor ZTM. – Dane naszych pasażerów również.