10:01
2/12/2015

Jak poinformowali nas czytelnicy (dane od wiadomości red.), serwis internetowy Kolei Mazowieckich niezbyt dobrze chroni dane właścicieli tzw. Kart Mazowieckich umożliwiających łatwiejsze poruszanie się transportem publicznym.

Admin/admin

Serwis Kolei Mazowieckich umożliwia każdemu chętnemu założenie konta i złożenie wniosku online. Jeden z naszych czytelników, z ciekawości, w formularzu logowania proszącym o numer karty i jej PIN, wpisał admin/admin. Jakież było jego zdziwienie, kiedy zalogował się do… panelu pozwalającego podglądać prawie 4 000 kart.

kleje-mazowieckie-admin1

W każdym z wniosków widoczne są następujące dane:

dane-karta-mazowiecka

karta-mazowiecka-widok-wniosku

Dodatkowo, z poziomu konta można podglądać treści reklamacji, co daje dostęp do kolejnych informacji na temat użytkowników:

koleje-mazowieckie-reklamacje

Panel, wedle informacji czytelnika, nie pozwala jednak na zarządzanie kartami (ich usuwanie, unieważnianie lub podmianę danych). Domyślamy się więc, że jest to jedynie interfejs dla jakiegoś biura obsługi pasażera (na jednej ze stacji?), przy pomocy którego do systemu zarządzania dodawane są wnioski. Można natomiast podglądać treść stron serwisu, modyfikować je i dodawać własne:

koleje-mazowieckie-cms

koleje-mazowieckie-dodajnewsa

Co na to Koleje Mazowieckie?

Oto pytania, jakie skierowaliśmy do kolei mazowieckich.

    1. Kto założył i do kogo należy konto o loginie admin w serwisie karta.mazowieckie.com.pl?

    2. Do czego wykorzystywane jest konto o loginie “admin” w serwisie karta.mazowieckie.com.pl

    3. Czy Koleje Mazowieckie KM Sp. z o.o. posiadają politykę bezpieczeństwa, a jeśli tak, czy znajduje się w niej zapis dotyczący zarządzania hasłami? Jeśli tak, czy ustawienie i używanie hasła “admin” do konta “admin” jest zgodne z zapisami niniejszej polityki?

    4. Czy serwis karta.mazowieckie.com.pl przechodził audyt bezpieczeństwa / test penetracyjny zanim został dopuszczony do użytku?

    5. Jakie szkody może spowodować osoba, która uzyska dostęp do konta admin w serwisie karta.mazowieckie.com.pl? I jak ocenianie Państwo wagę pozyskanych w ten sposób danych?

    6. Ile osób na dzień dzisiejszy posiada Kartę Mazowiecką?

A oto oświadczenie, które niestety nie odpowiada na wszystkie z naszych pytań:

W odpowiedzi na pytania informuję, że spółka „Koleje Mazowieckie – KM” wprowadziła program pilotażowy Karty Mazowieckiej. Etap programu pilotażowego trwa do 31 grudnia 2015 r. i jest skierowany 
do maksymalnie 5000 użytkowników. Do 30 listopada 2015 r. wnioski o wydanie Karty Mazowieckiej złożyło – 
i tym samym przystąpiło do programu pilotażowego – prawie 4 tys. osób. Celem wprowadzenia programu pilotażowego jest dopasowanie systemu do potrzeb podróżnych oraz zidentyfikowanie i wyeliminowanie nieprawidłowości w funkcjonowaniu systemu.
Dziękujemy za przesłanie przez Państwa informacji o nieprawidłowości w funkcjonowaniu portalu pilotażowego Karty Mazowieckiej. Konto o loginie „admin” w portalu karta.mazowieckie.com.pl jest inicjującym kontem administracyjnym dla systemu testowego. Zostało użyte na potrzeby wdrożenia oraz szkoleń z zakresu administracji systemem Karty Mazowieckiej oraz portalu klienta. Ww. testowe konto zostało zablokowane 
w systemie produkcyjnym. Zaistniała sytuacja mogła pojawić się w momencie implementowania nowej szaty graficznej oraz rozwiązań w portalu klienta. Sytuacja zostanie zweryfikowana oraz poddana analizie mającej 
na celu wyeliminowanie takiej sytuacji w przyszłości.
Spółka „Koleje Mazowieckie – KM” posiada wdrożoną procedurę kontroli dostępu do zasobów informacyjnych, zgodnie z którą wszystkie konta użytkowników w systemie zakładane są jako konta indywidualne. Hasła użytkowników wymagają wprowadzenia minimum określonej liczby znaków i powinny zawierać m.in.: małe 
i wielkie litery, cyfry lub znaki specjalne, a tym samym uznane są jako hasła bezpieczne. Proces zbierania danych osobowych użytkowników Karty Mazowieckiej odbywa się pod ścisłą ochroną, a dane osobowe przetwarzane są w zbiorze danych osobowych, zgłoszonym do GIODO. Zgodnie z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne 
do przetwarzania danych osobowych (Dz. U. 2004 nr 100 poz. 1024), dane przechowywane przez spółkę mają najwyższy stopień bezpieczeństwa, są chronione fizycznie oraz przez systemy teleinformatyczne.

Zastanawiamy się, czy Koleje Mazowieckie powiadomią swoich pilotażowych pasażerów, że ich dane osobowe i teleadresowe ktoś mógł pozyskać…

Aktualizacja 3.12.2015, godz. 17:40
Koleje Mazowieckie odpowiedziały na nasze ostatnie pytanie co do tego, czy poinformują o wycieku użytkowników. Oto odpowiedź:

km-odp


Przeczytaj także:



38 komentarzy

Dodaj komentarz
  1. Bardzo uboga ta polityka bezpieczeństwa która ogranicza się do “bezpiecznego hasła”
    której nie stosowano do kont administracyjnych.
    Polityka polityką a admin adminem :)

  2. “dane przechowywane przez spółkę mają najwyższy stopień bezpieczeństwa, są chronione fizycznie oraz przez systemy teleinformatyczne.” Naprawdę? Srio?

  3. Mam kartę mazowiecką, uczestniczyłem w programie pilotażowym. Co teraz mam zrobić?

    • Jeździć koleją.

    • możesz powiadomić giodo

    • Zmień PESEL ;P

    • czekaj na komornika…

  4. A po złożeniu wniosków i odebraniu karty mieli kasować zdjęcie i sam wniosek. Sprawa jak nic do GIODO.

    • Wątpię, że po złożeniu wniosku, a raczej po zakończeniu programu pilotażowego…

  5. Ciekawa nazwa pierwszego zdjęcia “kleje-mazowieckie-admin11.jpg” ;)

    Nawet jeśli konto było tylko dla osób prowadzących szkolenia itp to nie tłumaczy tego że hasło było najprostszym z możliwych.
    Przed puszczeniu strony do obiegu, nawet jeśli są to jedynie testy (otwarte), powinni pozmieniać wszystkie hasła, ewentualnie wyczyścić bazę danych z wszelkich śmieci w tym też z kont i założyć je na nowo (tylko te które są potrzebne) i odpowiednio zabezpieczyć.

  6. Brawo niebezpiecznik!
    Numer karty nieszczęśnika: 016 012XXXXX
    Jako zadanie domowe: skąd ja to wiem….

    • dodatkowe informacje zawierały dane odtajnione :) :)

    • Znalazłeś dane z głębokiego ukrycia :)

    • Poza złośliwością – mogli by to usunąć (podpowiedź – umieszczone zdjęcia na stronie…)

  7. Swego czasu serwis był tez podatny na atak jednego z banków (por. https://niebezpiecznik.pl/post/citi-bank-zaatakowany-dane-200-000-posiadaczy-kart-wykradzione/) – wystarczyło zmienic nr wniosku w pasku adresu, aby poznać innych wnioskodawców, i to z poziomu swojego konta.
    Naprawili to dość szybko po moim zgłoszeniu, ale ciekawe ile takich bugów jest jeszcze …

    • Kiedyś do NK (dawniej nasza-klasa.pl) istniał dostęp do historii wszystkich transakcji, a wystarczyło zmienić pole id(GET) aktualnej aplikacji. Było to około 8 lat temu, kiedy jako małolat czytałem o bezpieczeństwie w aplikacji sieciowych, a do głowy przyszedł mi “bestialski” plan przewertowania ich wszystkich tych gier, itp. W pasku adresu wystarczyło wpisać (mniej więcej, już nie pamiętam dobrze) http://nasza-klasa.pl/app/36 i w ten sposób miało się dostęp do informacji o przeszłych transakcjach. Błąd w zasadzie trywialny, ale co za geniusz udostępniał takie dane pod przykrywką “gry”? Jeśli dobrze pamiętam, dostęp do niej miało wówczas około 1000 osób. Swoją drogą, wystarczyło kliknąć “Graj”.

      Mimo wszystko naprawili w ciągu 24 godzin.

  8. co za wtopa, aby w obrębie tej samej przestrzeni adresowej był dostępny portal dla userów i panel administracyjny. to powinno być wyniesione co najmniej na inny wirtualny adres serwera WEB.

  9. Z odpowiedzi KM wynika że nie posiadają ABIego (bo gdyby go mieli nie musieliby zgłaszać bazy do GIODO). A poza tym śmierdzi mi tu troche łamaniem zasady adekwatności. Administrator powinien przetwarzać tylko takie dane , które są niezbędne ze względu na cel zbierania – po co więc narodowość i PESEL?

    • Słusznie prawisz waść. Ze swojej strony podejrzewam, ze podwykonawca, który robił serwis korzystał z “studenta” (bez urazy dla wielu dobrych studentów), który to nauczył się na zajęciach robić strony internetowe w Joomli czy innym WordPressie z szablonu, a następnie tylko potrafi taki formularz zbudować – jaki jest domyślnie w danym template… Taka nasza rzeczywistość…

  10. Czy to nie Asec robił oprogramowanie i stawiał dla KM cały system
    Karty Mazowieckiej? Przetarg byl chyba ze 3 lata temu. System można więc było dopracować. Ile to lat spoznienia? 2? a tu dopiero pilotaż…

  11. Zgłoszenie bazy do GIODO jest ogólnodostępne: https://egiodo.giodo.gov.pl/form_ver4.dhtml?form_id=88689602

    • To nie ten zbiór.
      Nie znalazłem zbioru który podany jest w regulaminie.

      6. Dane osobowe zawarte we wniosku o wydanie Karty KM przetwarzane są w zbiorze „Karta Mazowiecka” zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2014r. poz.1182). Administratorem ww. danych osobowych jest Spółka „Koleje Mazowieckie – KM” sp. z o.o. z siedzibą w Warszawie przy ul. Lubelskiej 26, 03-802 Warszawa. Użytkownikowi przysługuje prawo dostępu do treści oraz poprawiania dotyczących go danych osobowych. Dane osobowe przetwarzane są w celu personalizacji Karty KM na podstawie zgody wyrażonej przez Użytkownika.

  12. Jak czytam takie odpowiedzi “poważnej firmy” to na przyszłość proponuje od razu sprzedać te ponad 4000 rekordów na czarnym rynku. Mam tylko nadzieję że wśród tych 4000 osób znajdzie się jakiś prawnik; myślę że pozew zbiorowy nie jest złym pomysłem

  13. Konto i środowisko testowe z danymi produkcyjnymi? Fuck Yeah…

    • “Konto o loginie „admin” w portalu karta.mazowieckie.com.pl jest inicjującym kontem administracyjnym dla systemu testowego. Zostało użyte na potrzeby wdrożenia oraz szkoleń z zakresu administracji systemem Karty Mazowieckiej oraz portalu klienta. Ww. testowe konto zostało zablokowane 
w systemie produkcyjnym.”

      Ten rzecznik nienormalny jest? Wystarczyło napisać tylko ostatnie zdanie. Po co ujawniać informacje do czego te konto służy. Teraz wiemy, że wydupcyli $$$ na szkolenia LOL.

      “Zaistniała sytuacja mogła pojawić się w momencie implementowania nowej szaty graficznej oraz rozwiązań w portalu klienta.”

      Szablon graficzny nadpisujący hasła? Hmmm? Wtf?

  14. Cześć, niestety miałem okazję zarejestrować się w tym portalu i korzystam z karty. Czy możliwy jest komentarz prawnika z niebezpiecznik.pl odnośnie postępowania i zgłoszenia do GIODO?

    https://karta.mazowieckie.com.pl/personal-card-application

    “Pouczenie
    W związku z obowiązkiem wynikającym z art.24 ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (tekst jedn. z 2002 r. Nr 101, poz.926 ze zm.) zwanej dalej ‘Ustawą’, informujemy co następuje: dane osobowe będą przetwarzane w celu umożliwienia identyfikacji właściciela spersonalizowanej Karty Mazowieckiej w razie wydania kolejnej nowej karty Mazowieckiej w przypadku jej utraty; dane dotyczące numeru Karty Mazowieckiej; daty i godziny sprzedaży oraz rodzaju biletu zakodowanego na Karcie Mazowieckiej; numeru punktu zakupu biletu; godziny, daty oraz pociągu, w którym aktywowano Kartę Mazowiecką; godziny i daty kontroli; zablokowanych Kart Mazowieckich, będą przetwarzane w celach windykacyjnych i reklamacyjnych. Wszystkie dane będą przetwarzane przez okres 5 lat od momentu wygaśnięcia ostatniego kontraktu zakodowanego na Karcie Mazowieckiej. Osobie, której dane dotyczą przysługuje prawo dostępu do ich treści oraz ich poprawienia w sytuacji określonej w art. 35 Ustawy. Podanie danych jest dobrowolne, jednakże jest niezbędne do otrzymania spersonalizowanej Karty Mazowieckiej. Administratorem danych osobowych jest Spółka ‘Koleje Mazowieckie – KM’ sp. z o.o. z siedzibą w Warszawie przy ul. Lubelskiej 26, 03-802 Warszawa.

    Zdjęcie zostanie usunięte po wydaniu karty.

    Zdjęcie nie zostało usunięte przez co złamano regulamin i warunki rejestracji w GIODO.

    Piotr

    • Za przechowywanie tych zdjęć, niezgodnie z (własnym) regulaminem (czy umową zawartą z klientem), należy im się proces cywilny oraz skarga do GIODO – ja bym tego nie odpuścił!

  15. Zapomnieliście zamazać numer nad reklamacją.

  16. to samo pytanie jak wyżej…

  17. Właśnie mówili o niebezpieczniku, a dokładniej o tym artykule w Teleekspresie.

  18. I byliście w dzisiejszym teleexpresie

  19. Bardzo dobry artykuł jak zwykle wiec reklama w dzisiejszym teleexpresie mnie nie dziwi.
    Powinni więcej pokazywać niebezpiecznika w TV, wreszcie byłby jakieś ciekawe tematy a nie tylko ciągle Polityka (Tusk, Duda, Szydło)

    Prawdopodobnie zapomnieli o tym koncie ale trochę wstyd.

  20. No nawet cos tam napisali
    https://www.mazowieckie.com.pl/pl/oswiadczenie

  21. I pozyskał… Ciekawe po co im te pesele i zdjęcia? Do identyfikacji wystarczy sam pesel + dowód osobisty albo samo zdjęcie bez dowodu osobistego. Znów są głodni na dane osobowe.

  22. To smutne, że jakże ważna informacja z “aktualizacji” przyszła dopiero po Teleexpressie w którym pokazano powyższy artykuł.

  23. Rekomendowałbym zmianę hasła na trudniejsze, to jest na np. admin1

    • nie, bo Pani Lusia zapomni :D

  24. GIODO się tym zajmuje zgodnie z info GP

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: