Inwestycja dla Poznania: PEKA ma dziury związane z bezpieczeństwem!

Autor: IdP, ZTM, el, fot. archiwum
REKLAMA

Jak doszukali się działacze stowarzyszenia, programiści są zdania, że strona PEKA została zbudowana z wykorzystaniem przestarzałych i dziurawych technologii, umożliwiających łatwe jej wykorzystanie do przejęcia kont użytkowników. O kwestii braku wersji mobilnej strony czy aplikacji mobilnych nie wspominając.

System Liferay 6.1.0 CE, na którym, jak to odkryli, pracuje system PEKA, to CMS, który nie tylko jest przestarzały, ale i dziurawy jak szwajcarski ser. W dodatku bardzo słabo zabezpieczony przed ewentualnymi kradzieżami danych - jak twierdzą programiści, dysponując odpowiednio sformatowanym linkiem można bez problemu pozyskać dostęp do dowolnego konta bez znajomości loginu i hasła.

Programiści powiadomili o sprawie Zarząd Transportu Miejskiego na początku sierpnia, wskazując, gdzie jest dziura i w czym tkwi niebezpieczeństwo. Niestety, nie doczekali się ani odpowiedzi, ani reakcji.
"Projekt za ponad 30 milionów złotych nie działa w pierwszych tygodniach wprowadzenia, paraliżuje ruch w mieście, nie przewiduje awarii tramwajów, zmusza ludzi do korzystania z kart bankomatowych w roli sieciówki (fixed) i opiera się na Liferay'u" - podsumowują.

A co na to Zarząd Transportu Miejskiego? Firma przekazała oświadczenie przygotowane przez Marcina Woźnego, dyrektora projektu PEKA w firmie Bull Polska na ten temat. Oto ono:

"W związku z opinią, która pojawiła się ostatnio na jednym z blogów, dotyczącą wykorzystanej w systemie PEKA platformy Liferay, uprzejmie informujemy, że zauważona przez autora wpisu usterka została już całkowicie zneutralizowana. Usterka jest wadą w oprogramowaniu dostarczonym przez producenta aplikacji Liferay, co nie zmienia faktu, że Liferay.com to według firmy Gartner jeden z wiodących dostawców oprogramowania typu CMS na świecie (Gartner Magic Quadrant for Horyzontal Portals). Tego typu błędy posiadają wszystkie wypuszczane na rynek aplikacje, a dopiero z czasem producenci dostarczają nakładki eliminujące te błędy. Wyżej wymieniona usterka występuje również w Liferay Enterprise Edition, co podważa zarzut autora, że wybrano niedostateczny rozwój wersji - funkcjonalności wersji zwykłej w zupełności wystarczają w kontekście zakresu wykorzystania ich do pracy w systemie PEKA.

Usterka, która została już naprawiona, mogła w najgorszym razie zmienić wygląd elementu na stronie lub przejąć kontrolę nad momentem logowania do profilu, czyli w ostateczności ewentualnie doładować nieswoje konto. Obsługa całego systemu PEKA, jak i poszczególnych transakcji nie została w żaden sposób narażona, jako że odbywa się poza aplikacją opartą na Liferay - ta ostatnia odpowiada jedynie za zarządzanie treścią portalu."

- Dbamy o bezpieczeństwo całego systemu i mamy zapewnienie, że jest on bezpieczny - podsumowuje Bogusław Bajoński, dyrektor ZTM. - Dane naszych pasażerów również.

Komentarz został wysłany. Dziękujemy!
 Błąd: {{error}}
{{ comment.disabled == 1 ? '[Treść usunięta przez Administratora]' : comment.content}}
{{ comment.author}}, {{ comment.createdDate}}
{{comment.error}}
  • 1

Najpopularniejsze

REKLAMA
REKLAMA
REKLAMA

Ruch drogowy

REKLAMA
REKLAMA