13:28
26/10/2021

Początki bywają trudne. Z ledwie co oddanego do użytku systemu poboru opłat e-TOLL można było pobrać dane użytkowników, w tym ich PESEL-e. Winne okazało się znów niezbyt dobrze zabezpieczone API. Po naszym zgłoszeniu Ministerstwo Finansów sprawnie usunęło dziurę.

e-TOLL jak Plus, nie uwierzytelniał API

Kilka dni temu opisywaliśmy fatalną wpadkę operatora Plus — poprzez dostęp do niezabezpieczonego API można było pobierać dane klientów. Problem z systemem e-TOLL był bardzo podobny — API nie posiadało poprawnie zaimplementowanego uwierzytelniania użytkownika.

Jeśli z zapytania usunęło się parametr beneficiaryId, po którym identyfikowany był aktualny użytkownik, można było zobaczyć obiekty z danymi ticketów, które zawierały informacje na temat innych użytkowników systemu, takie jak:

  • Imię i nazwisko
  • Adres e-mail
  • Numer telefonu
  • PESEL
  • NIP
  • Szczegóły dotyczące przeglądarki i systemu operacyjnego użytkownika
  • Saldo konta,
  • Historia wpłat i wypłat

Informację o błędzie przekazały nam w śnie Anonimowe Duszki. A my przekazaliśmy informację do Ministerstwa Finansów w piątek 17 października, dodając do opisu błędu nasze pytania o to czy e-TOLL przeszedł jakieś testy bezpieczeństwa, kiedy dziura mogła zostać wprowadzona oraz czy MF zgłosi sprawę do UODO.

We wtorek, 19 października, otrzymaliśmy od Ministerstwa odpowiedzi, które przeczytacie poniżej. Odpowiedzi publikujemy dopiero dzisiaj, bo Ministerstwo Finansów, choć potwierdziło usunięcie błędów już 19 października, to poprosiło nas o opóźnienie publikacji artykułu. Urzędnicy chcieli zapewnić programistom czas na przetestowanie wprowadzonych poprawek.

Dziękujemy za przekazaną informację. Bezpieczeństwo teleinformatyczne systemów Ministerstwa Finansów traktujemy priorytetowo.
System e-TOLL był audytowany pod kątem bezpieczeństwa przez podmiot zewnętrzny. Prace rozwojowe są realizowane punktowo, w II połowie października zostały zaplanowane kolejne zewnętrzne testy bezpieczeństwa, które mają zweryfikować aktualny stan bezpieczeństwa systemu. Obecnie prace skoncentrowane są nad usunięciem podatności, która mogła powstać 7.10.2021 w trakcie prac rozwojowych, m.in. związanych z uruchomieniem formularza zgłoszeniowego na stronie WWW (regresja). Obecnie podatność związana obsługą ticketów została usunięta. MF dokonało analizy skutków wystąpienia tej podatności pod kątem naruszenia praw i wolności osób, których dane potencjalnie mogły być ujawnione. Na podstawie wyników tej analizy podjęto decyzję o zgłoszeniu naruszenia do Prezesa Urzędu Ochrony Danych Osobowych, zgodnie z przepisami art. 33 Rozporządzenia PE i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Jednocześnie informujemy, że 15.10.2021 niezwłocznie, podjęliśmy analizę mającą na celu potwierdzenie istnienia zgłoszonej podatności dotyczącej nieautoryzowanego dostępu do ticketów. Po przeanalizowaniu skutków biznesowych podjęliśmy decyzję o wyłączeniu tej usługi. Użytkownik może nadal wykonywać zgłoszenia, otrzymuje informację (powiadomienie mailowe) o jego przekazaniu, natomiast na jego koncie po zalogowaniu nie są widoczne na chwilę obecną wykonane przez niego zgłoszenia. W efekcie wyłączenia usługi nie jest więc możliwe dalsze wykorzystywanie tej podatności. Zostały podjęte działania analityczne i developerskie, aby zabezpieczyć przed nieautoryzowanymi wywołaniami. Działania te będą prowadzone nieprzerwanie do momentu potwierdzenia jej usunięcia. Niezależnie od powyższych działań, zostały również podjęte prace mające na celu weryfikację, czy inne usługi nie mają podatności o podobnym charakterze. W przypadku zidentyfikowania podatności będą podejmowania działania skutkujące ich usunięciem.

Wygląda na to, że w tym przypadku przyczyną dziury mogła okazać się pilna konieczność dopisania do systemu formularza …zgłaszania błędów, który obsługiwał system ticketów plus to, że błędów i problemów po starcie systemu e-TOLL użytkownicy mieli naprawdę sporo.

Oto historia jednego z naszych Czytelników, który miał spore problemy z aplikacją mobilną e-TOLL:

Aplikacja chce ciagly dostep do lokalizacji, autostartu, informacji o aplikacjach i dostep do schowka. Po co jej to? Do zalozenia konta wymagane sa wszystkie dane – nr dowodu, pesel, adres, nr telefonu, e mail, vin pojazdu itd. Po co az tyle danych? Aplikacja przez caly czas dzialania pobiera dane o lokalizacji. Po co? Czy pobiera i zapisuje dane o predkosci? Do obslugi aplikacji potrzebna jest jeszcze jedna osoba, szczegolnie przy pierwszym uruchomieniu, gdy trzeba nadac wszystko uprawnienia. Obsluga jest bez sensu, aplikacja chce aby wlaczyc i zakonczyc podroz podczas wjazdu na autostrade. W moim przypadku wygladalo to tak, ze pobralem bilet przy wjezdzie na A4, zona w tym czasie wlaczala aplikacje, ktora nie ottworzyla nam bramki. Potem w czasie jazdy autostrada aplikacja zaczela dzialac. Byl olbrzymi korek na zjezdzie na Bielany. Pojechalem pasem dla e-toll ktory byl pusty. Przed bramka stalem okolo 2 minuty, juz chcialem wycofywac gdy nagle bramka sie otworzyla i moglem przejechac. Ostatecznie aplikacja sciagnela poprawna kwote z konta. Niemniej jestem niezadowolony z jej dzialania.

Rzut oka na sklep Google pokazuje, że opinia tego Czytelnika nie jest odosobniona:

Jeśli zaobserwowaliście inne błędy w działaniu systemu e-TOLL, dajcie znać. Ścieżkę do supportu mamy już przetartą, a ekipa naprawcza jest na szczęście responsywna.

Groźne API

Na koniec jeszcze raz zwróćmy uwagę na to, że posiadanie API to nie tylko wygoda, ale i ryzyko. Dlatego warto poświęcić chwilę i API wdrożyć poprawnie, bo inaczej może się stać źródłem danych dla osób, które będą chciały je wykorzystać w niezbyt etyczny sposób.

Tematyce pozyskiwania informacji przez różnego rodzaju API poświęciliśmy osobną lekcję w naszym kursie OSINT-u, którego — przypomnijmy — lada chwila nie będziemy już oferować z opcją wieczystego dostępu do aktualizacji materiałów i grupy skupiającej OSINT-owych ekspertów z różnych dziedzin. Kto planował zakup, niech się pośpieszy, bo niebawem takiej okazji już nie będzie.

Przeczytaj także:

38 komentarzy

Dodaj komentarz
  1. Niestety aplikacja średnio sobie radzi z podzielonym ekranem – wywala ją przy dzieleniu, a jednak nawigacja też się przydaje.

    • A to od kiedy apka musi działać na pierwszym ekranie? Nie wystarczy jak jest w tle aktywna? Włączyć ją można przed wjazdem na autostradę a kasę pobierze tylko za płatny odcinek za bramką.

    • @Paweł: Jakby ją dobrze napisać, to nie musi, ale pisali ją zapewne mityczni “studenci w ramach zaliczenia”. Oceny jasno sugerują, że autorzy nie mieli bladego pojęcia o pisaniu aplikacji na Adroida, nie mówiąc o testowaniu na różnych urządzeniach.
      O ile ja sam sobie pisząc (dla siebie), mogę przyjąć taki sposób produkcji oprogramowania, to nigdy w życiu bym nie dał takiego “wytworu” innym ludziom, a już w ogóle, gdy łączy to się z poborem kasy z konta.

  2. Najgorsze jest to ze ci ludzie jakby nie rozumieli, ze co rusz wyplywajace i naprawiane dziury nie oznaczaja ze ich systemy sa bezpieczniejsze (łatkowane w kierunku doskonałosci) a wrecz przeciwnie, bo to jak z budowaniem drogi – jesli potrzeba latania pojawia sie po zrobieniu kazdego kilometra to z czasem bedzie tylko gorzej bo podatnosci w oprogramowaniu i “wyciekniete” dane beda sie kumulowac…

    • @WkurzonyBialyMis90210

      Ogólnie obecna moda na oddawanie niedorobionych systemów klientom jest jednym wielkim nieporozumieniem. Byle sprzedać, później się poprawi. O ile można tak się bawić w przypadku apki rozrywkowej bez uprawnień (choć też niekoniecznie się opłaca), to w przypadku apki której użycie jest wymagane przez władze, jest to skandal. Ale czegóż chcieć, skoro rozumienie “informatyki” przez wielu ludzi władzy zatrzymało się na poziomie aktualnym ze 20 lat temu.

  3. Ta aplikacja to dramat. Zmusza do klikania (w tym wpisanie pinu) w czasie jazdy… Dodatkowo jeśli ktoś by chciał korzystać z etoll i android auto/carplay jednocześnie to się nie da.

    • Da się, bo korzystam. Nawigację mam z AndroidAuto, a eToll działa w tle na telefonie.

  4. Nie napisaliście najważniejszego – od 1.12.2021 nasze Czempiony planują zlikwidować ręczne kasy na bramkach i używanie tego e-gówna będzie obowiązkowe.

    • Początki bywają trudne ale już załatali. Jeśli znajdziesz jakiś błąd to go zgłoś.

    • @Imię

      Zwłaszcza podczas jazdy niech zgłasza XD
      I nie – początki nie muszą być trudne, jeśli poprawnie się wytworzy aplikację i dobrze ją przetestuje. Jeśli natomiast nie umie się zorganizować procesu wytwarzania, tylko polega na “jakoś to będzie”, to trudne są i początki i środek i koniec. A potem procesy o odszkodowania. Powodzenia :D

  5. Ludzie nie rozumieją jednej rzeczy w działaniu e-tolla (co widać też po opinii w artykule) – e-tolla nie włącza się tuż przed autostradą i wyłącza po bramce. Nie wiem skąd ludzie tak to widzą, nigdzie nikt nie napisał że tak się obsługuje aplikacje, zostało to zaprojektowane tak,że włączasz e-tolla przy uruchomieniu samochodu i wyłączasz na koniec trasy. To byłby nonsens kiedy oficjalna aplikacja rządowa kazała łamać prawo – czyli używać telefonu w trakcie jazdy. Nie przeczę że to jest głupie ze system bazuje na bazie danych GPS zamiast po prostu kamery na wjeździe i zjeździe z autostrady ale fakt jest taki że ludzie używają tej aplikacji źle – czy to przez brak tutorialami dobrego, czy przez to że są obawy o prywatność lub transfer danych.

    • Dokładnie!!!

    • Dokładnie tak. Naród jest nadal cyfrowo ciemny :)

    • Kwestią jest czy nie rozumieją, czy nie chcą? Właśnie z powodów ochrony prywatności. Jeśli aplikacja od włączenia zbiera dane lokalizacyjne, przywiązane do osoby i numeru VIN pojazdu, to część osób (całkiem słusznie w mojej opinii) nie chce tych danych ujawniać za każdym razem kiedy korzysta z samochodu. Uruchomienie na czas przejazdu autostradą jest tu więc swego rodzaju świadomym kompromisem prywatności. Pytanie na podstawie jakiej umowy z użytkownikiem i w jakim celu aplikacja cały czas zbiera dane lokalizacyjne? Może tak było “wygodniej” programistom? Czy nie prościej jednak byłoby wprowadzić w e-toll (przynajmniej jako opcję) płątności NFC telefonem na bramkach. Całość wygląda raczej jako kolejny krok na drodze do totalnej inwigilacji obywateli, niż jako “ułatwiająca” im życie aplikacja.

    • Obawy o prywatność są wystarczające, żeby nie chcieć uruchamiać e-Toll od razu. Pomijam fakt, że można zapomnieć.

    • Kolejną rzeczą jest prądożerność aplikacji – jadąc długą trasę, z której tylko część przebiega przez odcinki objęte e-tollem (powiedzmy ze Szczecina do Zakopanego) aplikacja jest nam w stanie zjeść całą baterię.

  6. Pomocy – zamówiłem karte graficzną za 4tyś zł na jakiejś lewej stronie która sprzedwawała ją za 300zł. Jutro mam dostać paczkę DPD – za pobraniem 324zł – zastanawiam się co mogę zrobić jak spodziewam się, że w środku jest cegła?

    Przyszła mi do głowa opcja przekierowania do DPD pickup i zgłoszenia w prokuraturze – prokurator może przejąć paczkę. Pytanie czy będzie im się chciało, czy zareagują szybko?

    Druga opcja to odesłać do nadawcy – mogę ze strony DPD.

    Jakieś pomysły?

    • To nie odbieraj. “prokurator może przejąć paczkę” – no ja myślę, że o niczym innym nie marzy, nie ma nic pilniejszego do roboty niż iść po Twoją paczkę do punktu odbioru. “Pytanie czy będzie im się chciało, czy zareagują szybko?” – nie tylko nie będzie im się chciało, ale i nie będą mieli podstaw.

    • ależ ma podstawy – jak zgłosze podejrzenie przestępstwa to może przejąć przesyłke. Oszustwo to przestępstwo ścigane na wniosek pokrzywdzonego. Przesłanie komuś cegły zamiast karty graficznej jest oszustwem.

      Po zastanowieniu też dochodzę do wniosku, że nie będzie im się chciało. Anuluje przesyłke ze strony DPD – troche szkoda mi kuriera, żeby się tutaj fatygował.

      Dzięki za szybką odpowiedź.

    • Rzeczywiście, prokuratura jest od tego by sprawdzać w DPD pickup, czy jakiś lewy sklep oszukał cię na karcie graficznej :D Serio, myślałeś, że sprzedali ci kartę wartą 4000 za 300zł? A teraz nagle otrzeźwiałeś? Nawet pokoparkowy, przegrzany złom chodzi za więcej. Nie odbieraj paczki a na przyszłość myśl. Albo odbierz paczkę, zgłoś oszustwo na policję i dostań pismo o umorzeniu postępowania z powodu niewykrycia sprawcy. Twój wybór. Tylko tym razem dokonaj go na trzeźwo.

    • Zajanuszowałeś i teraz wołasz o pomoc…

    • Odpowiadałem, ale niebezpiecznik usunął moją odpowiedź – spróbujmy jeszcze raz.

      Więc tak, po zastanowieniu anulowałem przesyłke na stronie DPD. Dzikękuję za szybką odpowiedź.

      Dzisiaj kurier jednak przyjechał. Tu dziwna sprawa – mieszkam na wsi i znam swojego kuriera DPD, przyjechał ktoś inny, auto bez oznakowania DPD, w zasadzie było ich dwóch. Mój kurier przyjeżdza tak po 17 oni byli po 10. A sama paczka malutka – ta karta powinna być dosyć duża wiec zdecydowanie nie była to karta – no chyba, że ktoś nadal wierząc, że w paczce jest to co ma być pomyślałby, że wysłali bez opakowania oryginalnego?

      Sama strona sklepu zwinęła się całkiem niedawno co pewnie też jest sugestią.

    • Odpowiadałem, ale niebezpiecznik usunął moją odpowiedź – spróbujmy po raz czwarty.

      Więc tak, po zastanowieniu anulowałem przesyłke na stronie DPD. Dzikękuję za szybką odpowiedź.

      Dzisiaj kurier jednak przyjechał. Tu dziwna sprawa – mieszkam na wsi i znam swojego kuriera DPD, przyjechał ktoś inny, auto bez oznakowania DPD, w zasadzie było ich dwóch. Mój kurier przyjeżdza tak po 17 oni byli po 10. A sama paczka malutka – ta karta powinna być dosyć duża wiec zdecydowanie nie była to karta – no chyba, że ktoś nadal wierząc, że w paczce jest to co ma być pomyślałby, że wysłali bez opakowania oryginalnego?

      Sama strona sklepu zwinęła się całkiem niedawno co pewnie też jest sugestią.

    • > Serio, myślałeś, że sprzedali ci kartę wartą 4000 za 300zł?

      Nie, nie czytasz ze zrozumieniem. Taką mam pracę, że chodzę po różnych lewych stronach i czasami zdarzy mi się coś przeklikać. Wpisuje prawidłowy adres, aby wyłapać własnie takie sytuacje, ale do tej pory nie zdarzyło się, żeby coś przyszło.

      Prokurator jest jak najbardziej do ochrony osób oszukanych jeżeli mówimy o przestępstwie – a oszustwo jest przestępstwem. Nie rozumiem, czemu tutaj tyle osób jest tak negatywnie nastawiona.

      Ostatecznie link, na którym kupiłem te karte przesłał mi ktoś zaintersowany jej zakupem – miałem sprawdzić jej parametry bo osoba która mi ją przesyłała była już gotowa ją kupić – ba, ten ktoś zapłaciłby kurierowi jakby przyszła paczka nie patrząc na jej wymiar. Jest pełno osób, które kupiły sobie kosztowne cegły.

      W innych krajach działa się nie tylko już po oszustwie, ale także i w przód. Wyobrażam sobie, że kiedyś u nas to też się zmieni. Stąd też pomysł z namierzeniem nadawcy. Nie mnie jednak jak ludzie nie spodziewają się, że policja czy prokurator będzie działać to czemu mieli by działać? Zapewne maja ważniejsze rzeczy do roboty jak ściganie twórców portretów z tęczową aureolą.

    • > Zajanuszowałeś i teraz wołasz o pomoc…

      Nie zupełnie – nic nie zapłaciłem i nie zamierzałem płacić, dobrze wiem, że w środku jest cegła. Nie czytasz ze zrozumieniem.

    • Nie wieże co czytam

    • > Nie wieże co czytam

      Ale co tutaj ma wiara do rzeczy? Pełno w internecie jest stron, na których sprzedawane jest coś typu ‘super okazja’. W tym przypadku przebitka 4tyś na 300zł zapewne znajduje wielu nabywców skoro ktoś zgłosił się do mnie chcąc te karte realnie kupić. Internet jest pełen historii jak ludzie kupili sobie kosztowną cegłe. Ludzie są naiwni i chytrzy i wykorzystują to oszuści ot cała tajemnica.

  7. Odpowiadałem, ale niebezpiecznik usunął moją odpowiedź – spróbujmy po raz trzeci.

    Więc tak, po zastanowieniu anulowałem przesyłke na stronie DPD. Dzikękuję za szybką odpowiedź.

    Dzisiaj kurier jednak przyjechał. Tu dziwna sprawa – mieszkam na wsi i znam swojego kuriera DPD, przyjechał ktoś inny, auto bez oznakowania DPD, w zasadzie było ich dwóch. Mój kurier przyjeżdza tak po 17 oni byli po 10. A sama paczka malutka – ta karta powinna być dosyć duża wiec zdecydowanie nie była to karta – no chyba, że ktoś nadal wierząc, że w paczce jest to co ma być pomyślałby, że wysłali bez opakowania oryginalnego?

    Sama strona sklepu zwinęła się całkiem niedawno co pewnie też jest sugestią.

    • @Sebastian

      Niebezpiecznik nie usunął Ci odpowiedzi, tylko każdy komentarz pojawia się na ich stronie dopiero po zatwierdzeniu przez moderatora. Jeśli masz taką pracę że “chodzisz po różnych stronach i czasem zdarza Ci się coś przeklikać”, to żeby nie zrobić sobie prędzej czy później krzywdy, doucz się jak strony działają. Najłatwiej się tego nauczyć, prowadząc własną stronę i oglądając ją “od kuchni”.

  8. Haker ukradł mój PESEL!!!

    • A ja znalazłem swój PIN do karty w internecie!!!!1jeden

  9. W systemie e-toll są również inne błędy. Można na przykład dodać do konta obce urządzenie, bo system w ogóle nie sprawdza czy mam prawo do danego urządzenia (biznes id) czy nie. Pomimo wygenerowanych PIN-ów nie są one używane. Co gorsza, gdy ktoś przez pomyłkę doda cudze urządzenie do swojego konta to nie można go usunąć z puli urządzeń. Co rusz strona komunikuje błąd serwera 500. Na odpowiedź na jakiekolwiek zgłoszenia nie ma co liczyć. Czekam już 2 miesiące i odpowiedzi brak. Nie działa automatyczne doładowywanie poprzez kartę płatniczą. Nie można poprawnie usunąć danych karty płatniczej z systemu, itd, etc. Dykta i tektura jak mówili “klasycy”.

  10. Jako ze miałem urodziny 17 to podpowiem ze to była niedziela a nie piątek :P

  11. Ja mam z aplikacją taki problem, że opłaty które pobiera kompletnie nie zgadzają się z tabelą opłat. I co ciekawsze za przejazd tymi samymi odcinkami potrafi pobrać różne kwoty.

  12. To jest kpina..

    Sprzedawcy urządzeń nie wyrobili się na czas z dostarczeniem sprzętu, przez co firma w której pracuje była zmuszona zapłacić o 400 zł więcej za 1 urządzenie. To jak wygląda to urządzenie pozostawia Wiele do życzenia. Klejone klejem na gorąco… Z plusów jest to, że ma dużo funkcji które można rozbudować. Urządzenie to fmb920 Tektoniki. Producent udostępnia za darmo oprogramowanie, którym można włączać pożądane funkcję. Niestety rejestracja na ich stronie działa średnio. Po zalogowaniu na free server, urządzenie nie reaguję. Domyślam się że to Dlatego iż aby zarejestrować urządzenie trzeba się zalogować na stronie sprzedawcy, i kolejne”sparowanie ” tego samego urządzenia nie jest możliwe.

    Operator ” szybkich” przelewów nawalił, przez co wpłata na konto trwała 2 tygodnie! Obecnie można doładować konto jedynie blikiem lub kartą płatniczą.

    Formularze do zgłaszania reklamacji nie działala.
    Nie da się wysłać zgłoszenia. Strona się nie odświeża przy próbie wysłania reklamacji/komunikatu/zgłoszenia.

    W ciągu 2 tygodni nie udało mi się dodzwonić ani razu na infolinię. Pierwszy numer dostępny na ich stronie po zalogowaniu nawet nie prowadził na infolinię etolla tylko bodajże do KAS. Za każdym razem było ponad 100 osób przede mną w oczekiwaniu na rozmowe.

    System działa od początku miesiąca a oni 19.10.2021 testują czy wszystko działa poprawnie, czy nie ma naruszeń? Niebezpiecznik pomocy! Ta branża naprawdę was potrzebuje

  13. Ps. Każdy kierowca musi znać numer biznesowy urządzenia które ma w pojeździe. Oczywiście na stronie e toll tego nie znajdziecie.

    Pierwsze informacje na ten temat zostały opublikowane na grupach FB.

    Od wczoraj operator wyświetla popup przy logowaniu z treścią:

    Szanowni państwo,

    Przypominamy o potrzebie poinformowania o znajomości numeru biznesowego przypisanego urządzeniu, w czasach w prowadzonych czynności kontrolnych na drodze….. Bla bla bla

    W przypadku niedopełnienia obowiązku- kierujący pojazdem samochodowym podlega karze grzywny w wysokości 1500 zł.

  14. […] Finansów ma ostatnio pełne ręce roboty z łataniem swoich systemów. Tydzień temu informowaliśmy o wycieku danych z platformy e-TOLL. Przypomnijmy też, że w kwietniu wyciekły dane 200 000 fukcjonariuszy różnych formacji, w tym […]

  15. wierzcie lub
    teoria spiskowa: dwa dni po – mam na prv kamerze “weryfikację” kto wykupił usługę

Odpowiadasz na komentarz Reepo

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: