Jak ujawnił portal Niebezpiecznik, dane użytkowników Karty Krakowskiej mogły nie być należycie zabezpieczone. Dostęp do panelu administratorskiego w pierwszych dniach funkcjonowania karty był możliwy za pomocą hasła… „admin123”. MPK Kraków przekonuje, że dane mieszkańców są „odpowiednio zabezpieczone i nie ma żadnego zagrożenie ich wycieku”, natomiast dostawca systemu zaklasyfikował zdarzenie jako „małe zagrożenie dla bezpieczeństwa informacji”.
Do
Niebezpiecznika zgłosił się jeden z czytelników, który pod koniec czerwca 2018 r. postanowił przyjrzeć się bezpieczeństwu strony Karty Krakowskiej. Stoi ona na systemie CMS Edito tworzonym przez rzeszowską firmę Ideo. Jak twierdzi czytelnik, aby zalogować się do serwisu, wystarczyło wpisać login admin i hasło… admin123. Tam dostępne były dane klientów, m.in. pesel.
Po kolejnych pytaniach portalu o bezpieczeństwo danych do sprawy odniósł się krakowski MPK. Jak stwierdził, wszystkie dane mieszkańców są „odpowiednio zabezpieczone i nie ma żadnego zagrożenia ich wycieku”, a wykonawca – firma Ideo – potwierdził „odpowiedni, wysoki poziom ochrony wszystkich danych mieszkańców”.
Jak informuje MPK, zgłoszenie – jak dotąd jedyne – o możliwym wycieku danych, związane z zastosowaniem uproszczonego hasła administratorskiego, wpłynęło 29 czerwca 2018 r. „W dniu 2 lipca 2018 roku to zgłoszenie zostało przekazane do MPK SA w Krakowie, które natychmiast skierowało je do dostawcy systemu, firmy Ideo, zobowiązując ją do podjęcia natychmiastowych działań w celu wyjaśnienia zaistniałej sytuacji. W wyniku analizy stwierdzono, że hasło nie spełniało wymogów bezpieczeństwa i natychmiast (2 lipca) zostało zmienione” – podaje MPK.
Jednocześnie w dniach 29 czerwca – 2 lipca nastąpiły udane próby logowania uproszczonym hasłem do systemu Karty Krakowskiej (do 1 lipca w systemie znajdowały się wyłącznie dane testowe). „Dostawca systemu, firma Ideo przeprowadziła natychmiast po zgłoszeniu wewnętrzny audyt, na podstawie którego stwierdziła, że było to niskie naruszenie bezpieczeństwa i uznała, że nie ma potrzeby informowania MPK SA w Krakowie i użytkowników o tym epizodzie” – przekonuje przewoźnik. Jak informuje MPK, „zastosowanie uproszczonego hasła administratorskiego do systemu, w połączeniu z informacją od jego dostawcy o możliwych logowaniach do systemu Karta Krakowska, pozwoliło określić wtedy to zdarzenie jako małe zagrożenie dla bezpieczeństwa informacji”.
MPK podało też, że w związku z artykułem opublikowanym na Niebezpieczniku, wskazującym na ryzyko wycieku danych, „analizowane są kroki prawne w związku z potencjalnym zagrożeniem kradzieży danych”.
Oświadczenie wydała też firma Ideo, która przeprosiła za całe zajście. Spowodowane było ono, jak przekonuje firma, brakiem włączenia w systemie wszystkich opcji zabezpieczających. „Niezwłocznie po otrzymaniu informacji na temat zaistniałej sytuacji podjęliśmy działania, które uniemożliwiły dostęp do systemu dla osób niepożądanych. Przeprowadzony przez nas audyt bezpieczeństwa wykazał, że dane osobowe nie zostały fizycznie pobrane z baz. Następstwem zgłoszenia było natychmiastowe zablokowanie dostępu do systemu dla osób niepożądanych. Podnieśliśmy poziomy zabezpieczeń między innymi przez wdrożenie dodatkowych reguł ustawiania haseł” – twierdzi firma. Ideo podaje też, że zostały uruchomione dodatkowe procedury wewnętrzne. Wprowadzono m.in. dodatkowe szkolenia oraz bardziej rozbudowane mechanizmy, które wymuszają stosowanie skomplikowanych haseł i okresową ich zmianę.
Zapisz się do newslettera:
