Problem zbyt łatwego dostępu do danych pasażerów regionalnego
przewoźnika ujawniono kilka dni temu. Jak się okazało wystarczyło
zalogowanie się do panelu administratora za pomocą prostego hasła aby
uzyskać dostęp do danych, takich jak: imię i nazwisko właściciela Karty
Mazowieckiej ze zdjęciem, numer pesel czy mail właściciela konta. Kontrolerzy GIODO zbadają, czy nie doszło do ujawnienia i nieodpowiedniego przechowywania danych pasażerów.
O sprawie poinformował portal niebezpiecznik.pl tropiący potencjalne zagrożenia w sieci internetowej.
W każdym z wniosków widoczne są następujące dane:Admin/adminSerwis Kolei Mazowieckich umożliwia każdemu chętnemu założenie konta i złożenie wniosku online. Jeden z naszych czytelników, z ciekawości, w formularzu logowania proszącym o numer karty i jej PIN, wpisał admin/admin. Jakież było jego zdziwienie, kiedy zalogował się do… panelu pozwalającego podglądać prawie 4 000 kart.
- Imię
- Nazwisko
- Narodowość
- Pesel
- Adres e-mail
- Adres zamieszkania
- Kraj
- Lokalizacja odbioru Karty Mazowieckiej
- Zdjęcie
- złożone wnioski reklamacyjne
Można też modyfikować strony i dodawać nowe. Rewelacja. Nawet nie trzeba być hakerem, wystarczy z nudów wpisać admin/ admin.
Komentarz internauty po odpowiedzi przesłanej przez kochane KM, dość trafny:
Bardzo uboga ta polityka bezpieczeństwa która ogranicza się do “bezpiecznego hasła”
której nie stosowano do kont administracyjnych.
Polityka polityką a admin adminem :)
Brak komentarzy:
Prześlij komentarz