20:06
12/3/2019

Przygotujcie się na potrójne przetarcie oczu i zebranie szczęki z podłogi. Pewne nawyki developerskie nigdy się nie zmienią. Proste hasła są szybkie bo są proste. Dziennikarzom nie trzeba mówić całej prawdy, jeśli ich pytania sugerują, że całej prawdy nie znają. A incydentu w postaci nieautoryzowanego dostępu do systemu klienta nie trzeba temu klientowi zgłaszać licząc, że się o tym incydencie nigdy nie dowie, zwłaszcza jeśli i tak wewnętrznie oceniło się ten incydent jako “małe zagrożenie”. Tak, takie rzeczy wciąż się zdarzają i to nawet po RODO. Niestety…

admin/admin123 w roku 2018

Jeden z naszych Czytelników, w końcówce czerwca 2018 roku przyjrzał się bezpieczeństwu strony Karty Krakowskiej (www.kk.krakow.pl). Stoi ona na CMS Edito tworzonym przez rzeszowską firmę IDEO. A zatem każda ciekawska osoba może namierzyć panel administracyjny i sprawdzić czy przypadkiem nie uda się zalogować pod adresem https://www.kk.krakow.pl/admin.

Nasz Czytelnik twierdzi, że wystarczyło wpisać login admin i hasło… admin123 aby zalogować się do serwisu. Pewnie byśmy w to nie uwierzyli, gdybyśmy środka systemu nie zobaczyli. A zobaczyliśmy miejsce, w którym zebrano m.in. imiona, nazwiska i numery PESEL klientów:

Dane kontaktowe też były dostępne:

Do tego wyszukiwarka wniosków o kartę, gdzie mogły się znajdować także informacje o dzieciach.

Nagła zmiana hasła i ciekawa odpowiedź Urzędu Miasta

Administrator serwisu KK zmienił hasło krótko po tym jak dowiedzieliśmy się o sprawie. Nie wiemy czy miało to związek z działaniami naszego Czytelnika, informacją od kogoś innego, czy też może skrupulatną obserwacją logów systemowych przez opiekunów tego serwisu, czyli firmę IDEO — jak wiadomo w logach można przecież, za pomocą zaawansowanych narzędzi do wykrywania włamań i analizy bezpieczeństwa wykryć anomalię i nawet narzędzia, które potrafią przeoczyć hasło admin123 w panelu logowania, mogą zauważyć że ktoś nieautoryzowany buszuje po serwisie.

Postanowiliśmy więc, nie ujawniając że wiemy o haśle admin123, spytać na początku lipca Urząd Miasta, czy być może odnotował on w ostatnim czasie jakieś incydenty związane ze stroną kk.krakow.pl. Przedstawicielka urzędu — Małgorzata Tabaszewska — poinformowała nas o dwóch odnotowanych zgłoszeniach dotyczących bezpieczeństwa danych osobowych:

1. Jedna z osób składająca wniosek o Kartę Krakowską nie otrzymała linku aktywacyjnego do zakładanego konta na stronie www.kk.krakow.pl Uznała, że strona może wyłudzać dane. Po otrzymaniu tej informacji MPK S.A. wysłało niezwłocznie link aktywacyjny.

2. Jedna z osób otrzymała maila o zatwierdzeniu wniosku o Kartę Krakowską, którego nie składała. Okazało się, że podczas szkolenia z obsługi przyjmowania wniosków Karty Krakowskiej jej przyjaciel użył jej adresu mailowego dla danych testowych, nie informując jej o tym. Po wyjaśnieniu sytuacji zgłoszenie zostało wycofane.

Jak widać, żaden z przypadków o którym wspomniał nam Urząd nie dotyczy incydentu, o którym zostaliśmy poinformowani przez naszego Czytelnika. Jest kilka możliwości takiego obrotu sprawy:

  • nie powiedziano nam o tym incydencie jako dziennikarzom, bo nasze pytanie nie wskazywało, że coś o tej sprawie wiemy (zatajono tę informację w złej wierze)
  • opiekuni systemu z firmy IDEO nie poinformowali Urzędu Miasta o incydencie i sami po cichu go naprawili
  • incydent został zgłoszony do UM, ale w ogóle nie potraktowano tego jako coś co miało wpływ na bezpieczeństwo danych.

Postanowiliśmy wiec doprecyzować nasze pytania. W drugim e-mailu przyznaliśmy, że jesteśmy świadomi z jakiego hasła dostępowego korzystało konto administratora systemu KK. Zadaliśmy Urzędowi Miasta dodatkowe pytania. I co?
Dowiedzieliśmy się, że zdarzenie które wskazaliśmy “było jeszcze w fazie analizy” kiedy pisaliśmy do Urzędu za pierwszym razem.

Ale to nie koniec wyjaśnień Urzędu (wytłuszczenia nasze):

Stwierdzono, że w dniach 29 czerwca 16:28 – 2 lipca 7:34 nastąpiły udane logowania  uproszczonym hasłem do systemu Karty Krakowskiej. Dostawca systemu, firma IDEO sp. z o.o. przeprowadziła natychmiast po zgłoszeniu wewnętrzny audyt, na podstawie którego stwierdziła, że było to niskie naruszenie bezpieczeństwa i uznała, że nie ma potrzeby informowania MPK S.A. w Krakowie / użytkowników o tym epizodzie. Warto jednak zaznaczyć, że do 1 lipca 2018 r. 00:00, w systemie znajdowały się wyłącznie dane testowe.

Zastosowanie uproszczonego hasła adminstratorskiego do systemu, w połączeniu z informacją od dostawcy o logowaniach, których konsekwencją nie był wyciek danych z systemu Karta Krakowska, pozwoliła określić ważność zdarzenia na poziomie 1 (małe zagrożenie dla bezpieczeństwa informacji).

Napisalibyśmy, że nie mamy powodów, aby nie wierzyć Urzędowi Miasta, ale poprzednia “niekompletna” odpowiedź trochę jednak nasze zaufanie nadwyrężyła…

Sami co prawda danych nie pobraliśmy, przez co nie jesteśmy w stanie zweryfikować czy faktycznie były one testowe. Serwis KK wedle prasy faktycznie oficjalnie ruszył od 1 lipca, a jak wspomina urząd, incydent miał miejsce 2 lipca, a więc ponad dobę od produkcyjnego otworzenia serwisu. Spójrzcie też na daty założenia kont z pierwszego zrzutu ekranu, który umieściliśmy w tym artykule, a na którym znajduje się panel admina. Dodajcie do tego poniższą informację jaką przekazało nam nasze źródło:

[O] ile dobrze pamiętam to grubo ponad 1000 [rekodów było w tej bazie]. Miały pełne dane pesele, zdjęcia ludzi, konkretne, krakowskie adresy itd.

…i wyciągnijcie wnioski sami. Ale nawet jeśli przyjąć, że z systemu wyciekły tylko dane testowe, jak twierdzi UM, to pracownikom firmy IDEO i tak należy pogratulować odwagi. I to podwójnie! Po pierwsze za dobór tak “uproszczonego” hasła administratora (ciekawe czy coś jeszcze i w jakim zakresie jest w tym systemie “upraszczane”?). Po drugie za podjęcie dość odważnej decyzji, że nie ma co raportować klientowi “nieautoryzowanego” dostępu do systemu testowego. Ciekawe, czy ten incydent, został zgłoszony do UODO? Jeśli w systemie znajdowały się dane prawdziwych Krakowian i było ich ponad tysiąc, to nawet wierząc w dobre intencje osoby, która uzyskała nieautoryzowany dostęp do tego systemu, sprawa powinna naszym zdaniem zostać zgłoszona do UODO.

Pomimo tego, że Urząd Miasta wraz z firmą IDEO postanowili nie informować użytkowników o tym incydencie, to jeśli posiadasz Kartę Krakowską i rejestrowałeś się w pierwszych 2 dniach od startu serwisu kk.krakow.pl, proponujemy

  1. założyć że Twoje dane były w systemie, kiedy nastąpił do nich nieautoryzowany dostęp
  2. wysłać do Urzędu Miasta pismo z prośbą o wyjaśnienia, czy Twoje dane były w systemie w momencie nieautoryzowanego dostępu do systemu i jakie wtedy było hasło administratora. Być może to skłoni Urząd do skrupulatniejszego zbadania tej sprawy.

Wiemy, że firma IDEO ma także innych klientów — na Edito CSM stoi m.in. serwis prezydent.pl, z którym swoją drogą też związana jest ciekawa historia i może kiedyś opiszemy ją na łamach Niebezpiecznika. Wiemy też, że nie tylko firma IDEO tworzy i opiekuje się serwisami na czyjeś zlecenie. Takich firm jest wiele. Dlatego mamy kilka porad, jak powinny — pod kątem bezpieczeństwa — wyglądać relacje klientów z takimi podwykonawcami.

Outsourcujesz opiekę nad serwisem firmie trzeciej?

Wszystkim firmom, które outsourcują tworzenie serwisu internetowego lub “nadzór” nad nim zewnętrznym podmiotom radzimy zawrzeć w umowach takie zapisy, które wymuszą na dostawcach informowanie o każdym naruszeniu bezpieczeństwa, a także regularne raporty o próbach dokonania takich naruszeń. Naszym zdaniem to klient końcowy powinien decydować — jeśli nie sam, to wspólnie z podwykonawcą — które z incydentów faktycznie stanowią “małe” zagrożenie i można je spokojnie zignorować, a którymi może jednak warto byłoby się zająć.

To ważne, nie tylko dlatego, że bez pełnej wiedzy w tym zakresie dział PR takiej firmy może świecić oczami przed dziennikarzami, bo nie ma wszystkich informacji. Pełna wiedza w zakresie historycznych incydentów, a także samych prób ataków (nieudanych) jest kluczowa, aby poprawnie zbudować swoje mechanizmy bezpieczeństwa i móc lepiej reagować na kolejne incydenty (wiązać fakty, TTP i wyciągać wnioski).

Dane Polaków wyciekają niemalże codziennie. I to nie jest najgorsza rzecz, jaka może Ci się przydarzyć w internecie. Gdybyś chciał poznać kilkadziesiąt praktycznych porad odnośnie tego jak pozostać bezpiecznym w internecie m.in podczas korzystania z bankowości internetowej czy robienia zakupów on-line, to wpadnij na nasz wykład “Jak nie dać się zhackować?“. Przez ponad 3 godziny przystępnym językiem pokazujemy jak za darmo możesz ochronić Twoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wykład przeplatamy widowiskowymi demonstracjami ataków na żywo; wykradamy dane z sieci Wi-Fi, łamiemy hasła, podglądamy przez kamerkę, inwigilujemy i włamujemy się na telefony komórkowe. Niebawem będziemy w tych miastach (alfabetycznie):

Wejściówki szybko znikają, więc już teraz zarezerwuj miejsce dla siebie.

Déjà vu

Jeśli macie wrażenie, ze podobna sytuacja już się kiedyś wydarzyła, to nie wzięło się ono znikąd. W roku 2017 okazało się, że wnioski o Poznańską Kartę Aglomeracyjną znajdowały się w tzw. głębokim ukryciu. Tam również były adresy, PESELe i zdjęcia.

Uczucie déjà vu możecie mieć także z innego powodu. Serwis Kolei Mazowieckich umożliwia każdemu chętnemu założenie konta i złożenie wniosku online. Jeden z naszych czytelników zalogował się do niego kiedyś na dane admin/admin i jakież było jego zdziwienie, gdy nagle mógł zajrzeć do danych z prawie 4 tysięcy kart. Jak widać, dodanie 123 do hasła admin wcale nie wyklucza takich ataków…


Aktualizacja 13.03.2019, 13:15
Urząd Miasta po publikacja naszego artykułu wystosował oświadczenie, że “dane mieszkańców w systemie Karty Krakowskiej” są bezpieczne. Też mamy nadzieje, że teraz już są… Choć panel logowania do serwisu wciąż jest dostępny publicznie.

Informujemy, że wszystkie dane, które mieszkańcy udostępniają, składając wniosek o Kartę Krakowską, są odpowiednio zabezpieczone i nie ma żadnego zagrożenia ich wycieku. Dostawcą wszystkich systemów bezpieczeństwa jest firma IDEO sp. z o.o., która jednoznacznie potwierdziła odpowiedni, wysoki poziom ochrony wszystkich danych mieszkańców.

Jedyne zgłoszenie związane z możliwym wyciekiem danych z systemu Karty Krakowskiej Urząd Miasta Krakowa otrzymał 29 czerwca 2018 r. (zgłoszenie dotyczyło zastosowania uproszczonego hasła administratorskiego do serwisu kk.krakow.pl). 2 lipca 2018 roku to zgłoszenie zostało przekazane do MPK SA w Krakowie, które natychmiast skierowało je do dostawcy systemu, firmy IDEO sp. z o.o., zobowiązując ją do podjęcia natychmiastowych działań w celu wyjaśnienia zaistniałej sytuacji.
W wyniku analizy stwierdzono, że hasło nie spełniało wymogów bezpieczeństwa i natychmiast, tj. 2 lipca, zostało zmienione. Stwierdzono także, że w dniach 29 czerwca (godz. 16.28) – 2 lipca (godz. 7.34) nastąpiły udane logowania uproszczonym hasłem do systemu Karty Krakowskiej (do 1 lipca do godz. 00.00, w systemie znajdowały się wyłącznie dane testowe). Dostawca systemu, firma IDEO sp. z o.o. przeprowadziła natychmiast po zgłoszeniu wewnętrzny audyt, na podstawie którego stwierdziła, że było to niskie naruszenie bezpieczeństwa i uznała, że nie ma potrzeby informowania MPK SA w Krakowie i użytkowników o tym epizodzie. Zastosowanie uproszczonego hasła administratorskiego do systemu, w połączeniu z informacją od jego dostawcy o możliwych logowaniach do systemu Karta Krakowska, pozwoliła określić wtedy to zdarzenie jako małe zagrożenie dla bezpieczeństwa informacji.
Jednak w związku z opublikowaniem w dniu 12 marca 2019 r. na portalu niebezpiecznik.pl informacji o możliwym wycieku danych z systemu Karty Krakowskiej w dniach 1 i 2 lipca 2018 r., analizowane są kroki prawne w związku z potencjalnym zagrożeniem kradzieży danych.

Cieszymy się, że UMK zdecydowało się ponownie przyjrzeć się sprawie. To dobra reakcja. Spóźniona o ponad pół roku, ale dobra.

Bardzo jesteśmy ciekawi, dlaczego choć zgłoszenie dotarło do UMK 29 czerwca, to dopiero 2 lipca zostało przekazane do MPK. Ciekawi też jesteśmy, czy teraz nastąpi zgłoszenie do UODO (na które zgodnie z ustawą są 72 godziny) i jaka duża była liczba prawdziwych Krakowian zarejestrowanych w systemie do dnia 2 lipca, czyli dnia w którym zmieniono hasło na inne. Interesuje nas również, czy UMK zdecyduje się ich poinformować, że ktoś mógł mieć dostęp do ich danych? I ile tych ktosiów było, którzy z hasła “admin123” skorzystali? Panel administracyjny był dostępny publicznie (i wciaż jest…), a hasło admin123 niektórzy wręcz wpisują odruchowo

UMK pisze też, że “nie ma żadnego zagrożenia”. Odważne to stwierdzenie, oby ktoś nie powiedział “sprawdzam!”…

Wpadki zdarzają się każdemu. Musimy się jako dostawcy usług w internecie nauczyć na nie poprawnie reagować. To reakcja pokazuje dojrzałość. I to po reakcji klienci (obywatele) oceniają dostawcę usług.


Aktualizacja 13.03.2019, 15:56
Oświadczenie w tej sprawie przesłał nam też Łukasz Szymański, kierownik marketingu w firmie Ideo:

[Z]aistniały na przełomie czerwca i lipca 2018 roku nieautoryzowany dostęp do systemu Karty Krakowskiej, był wynikiem braku włączenia w systemie wszystkich opcji zabezpieczających. Mamy świadomość, że sytuacja taka nie powinna mieć miejsca, dlatego z całą odpowiedzialnością przepraszamy.
Niezwłocznie po otrzymaniu informacji na temat zaistniałej sytuacji podjęliśmy działania, które uniemożliwiły dostęp do systemu dla osób niepożądanych. Przeprowadzony przez nas audyt bezpieczeństwa wykazał, że dane osobowe nie zostały fizycznie pobrane z baz. Następstwem zgłoszenia było natychmiastowe zablokowanie dostępu do systemu dla osób niepożądanych. Podnieśliśmy poziomy zabezpieczeń między innymi przez wdrożenie dodatkowych reguł ustawiania haseł. Pozostajemy w stałym kontakcie z Klientem i wspólnie dążymy do całkowitego wyjaśnienia sprawy, również w kontekście ewentualnego dysponowania przez osobę nieupoważnioną jakimikolwiek danymi osobowymi.
Ochrona danych naszych Klientów jest dla nas priorytetem. Na bieżąco realizujemy wymogi wynikające ze zmian prawa, ale i indywidualnych ustaleń z Klientami zarówno pod względem prawnym, jak i bezpieczeństwa.
Zdajemy sobie sprawę z powagi tej sytuacji, dlatego niezwłocznie po uzyskaniu informacji uruchomione zostały dodatkowe procedury wewnętrzne. Pracownicy przechodzą dodatkowe szkolenia w zakresie zabezpieczenia danych naszych klientów. Aktualizujemy procedury i wprowadzamy bardziej restrykcyjne stosowanie się do nich. W realizowanych przez nas systemach ponownie sprawdziliśmy mechanizmy odpowiadające za bezpieczeństwo kont użytkowników oraz danych przechowywanych w systemach. Rozbudowaliśmy mechanizmy, które wymuszają stosowanie skomplikowanych haseł i okresową ich zmianę. Na życzenie Klienta ograniczamy możliwości logowania do systemów jedynie ze wskazanych adresów IP, by uniemożliwić zewnętrzny dostęp do danego systemu. Włączamy także uwierzytelnianie dwustopniowe 2FA.


Aktualizacja 15.03.2019, 22:02
Urząd Miasta Krakowa zaczął prężnie działać i dążyć do wyjaśnienia incydentu. UMK wczoraj zapowiedział, że zgłosi incydent do UODO oraz do prokuratury. Miasto rozważało też podjęcie kroków prawnych wobec dostawcy systemu Karty Krakowskiej (co rozumiemy jako firmę Ideo). Na stronach Urzędu 14 marca pojawił się taki komunikat:

W związku z publikacją 12 marca 2019 r. artykułu, który wskazywał na możliwość kradzieży danych osobowych użytkowników Karty Krakowskiej w dniach 1 i 2 lipca 2018 r., Urząd Miasta Krakowa jeszcze w tym tygodniu zgłosi do Urzędu Ochrony Danych Osobowych naruszenie bezpieczeństwa danych osobowych części mieszkańców Krakowa. Taką decyzję podjęto 14 marca podczas spotkania przedstawicieli Urzędu Miasta Krakowa oraz MPK SA w Krakowie. Liczba osób narażonych na możliwość kradzieży danych jest w trakcie weryfikacji i obejmuje tylko dwa dni – 1 i 2 lipca 2018 r. 2 lipca 2018 r. hasło zostało zmienione, a samo konto zablokowane. Zostało wprowadzone ograniczone logowanie do panelu administracyjnego do wybranych adresacji IP. Po tej dacie nie odnotowano nieautoryzowanego dostępu.
Firma Ideo sp. z o.o. zapewniła, że będzie wspierać Urząd Miasta Krakowa i MPK SA zarówno w zebraniu wszystkich niezbędnych informacji w celu poinformowania UODO o tym incydencie, jak i osób fizycznych, w stosunku do których potwierdzi się wystąpienie ujawnienia danych.
Jednocześnie, zgodnie z informacją przekazaną przez firmę Ideo sp. z o.o., ustalono prawdopodobny adres IP, z którego mogło dojść do nieautoryzowanego dostępu. Ustalono również, że nie było to logowanie przypadkowe, a próba podjęta kilka razy, wskazująca na działanie umyślne. W związku z tym Urząd Miasta Krakowa, jako administrator danych osobowych mieszkańców, podjął decyzję o wniesieniu do prokuratury zgłoszenia w sprawie nieautoryzowanego dostępu do danych osobowych użytkowników Karty Krakowskiej.
Analizowana jest również kwestia podjęcia kroków prawnych wobec dostawcy systemu Karty Krakowskiej.

Natomiast dziś UMK wydał następujący komunikat:

Dzisiaj, 15 marca 2019 roku, Urząd Miasta Krakowa zgłosił do Urzędu Ochrony Danych Osobowych naruszenie bezpieczeństwa danych osobowych mieszkańców, którzy złożyli wnioski o wydanie Karty Krakowskiej w dniach 1 i 2 lipca 2018 roku. Jest to efekt pozyskanej przez nas 12 marca 2019 roku wiedzy, wskazującej na możliwość nieuprawnionego dostępu do danych osobowych użytkowników Karty Krakowskiej.
Z otrzymanych informacji wynika, że w dniach 1 i 2 lipca 2018 roku, nieuprawniona osoba przeglądała 77 wniosków o wydanie Karty Krakowskiej, w tym jeden dwukrotnie – co obejmuje dane osobowe 91 osób. Do czasu ostatniego nieautoryzowanego logowania w dniu 2 lipca 2018 roku, wszystkich wniosków o wydanie Karty Krakowskiej, złożonych drogą elektroniczną było 5663 (dotyczy to danych osobowych 6532 osób).
Urząd Miasta Krakowa – jako administrator danych osobowych mieszkańców – w możliwie najkrótszym czasie poinformuje każdą z tych osób o nieuprawnionym dostępie do danych osobowych.
Jak poinformował dostawca systemu informatycznego – firma IDEO sp. z o.o. – na przełomie czerwca i lipca 2018 roku nieautoryzowany dostęp do systemu Karty Krakowskiej był wynikiem braku włączenia wszystkich opcji zabezpieczających. Taka sytuacja nie powinna mieć miejsca, dlatego przepraszamy wszystkich mieszkańców, których dane osobowe zostały narażone na nieuprawniony dostęp. Jednocześnie zapewniamy, że dostawca systemu Karty Krakowskiej – IDEO sp. z o.o., niezwłocznie po otrzymaniu informacji na temat zaistniałej sytuacji podjęła działania, które uniemożliwiły dostęp do systemu osobom niepożądanym.

Wygląda na to, że przeanalizowano logi i ustalono iż nieautoryzowany dostęp dotyczył zaledwie 91 osób, spośród 6532 jakie były w systemie do momentu zmiany hasła z admin123 na inne. UMK zapowiedział też, że osoby, których dane były “przeglądane” otrzymają od UMK informacje w tej sprawie. Brawo!

Zastanawia nas tylko, dlaczego w komunikacje pada informacja o “wiedzy pozyskanej 12 marca 2019”, skoro z wcześniejszych komunikatów wynikało, że UMK i MPK (oraz firma Ideo) miały wiedzę o tym incydencie już w lipcu 2018. Tak czy inaczej, cieszymy się, że sprawa została od strony technicznej wyjaśniona. Cieszy nas również, że w końcu (bo dopiero wczoraj) z publicznego internetu zniknął dostęp do panelu logowania spod podstrony /admin. Jak ten rzekomo “ograniczony do wybranych adresacji IP” od lipca 2018 panel wyglądał do wczoraj, prezentujemy poniżej:

Dane Polaków wyciekają niemalże codziennie. I to nie jest najgorsza rzecz, jaka może Ci się przydarzyć w internecie. Gdybyś chciał poznać kilkadziesiąt praktycznych porad odnośnie tego jak pozostać bezpiecznym w internecie m.in podczas korzystania z bankowości internetowej czy robienia zakupów on-line, to wpadnij na nasz wykład “Jak nie dać się zhackować?“. Przez ponad 3 godziny przystępnym językiem pokazujemy jak za darmo możesz ochronić Twoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wykład przeplatamy widowiskowymi demonstracjami ataków na żywo; wykradamy dane z sieci Wi-Fi, łamiemy hasła, podglądamy przez kamerkę, inwigilujemy i włamujemy się na telefony komórkowe. Niebawem będziemy w tych miastach (alfabetycznie):

Wejściówki szybko znikają, więc już teraz zarezerwuj miejsce dla siebie.

Przeczytaj także:

57 komentarzy

Dodaj komentarz
  1. A co z osobą która użyła tego hasła? Zgodnie z prawem nie powinna zostać zatrzymana za “włamanie” do systemu? Pytam z czystej ciekawości, bo brakuje mi tego w artykule.

    • Podbijam, jak to wygląda w świetle prawa, zakładając, że atakujący miał “dobre intencje”?? Co robić gdy trafie na taką lukę w systemie i jak wyjść z tego na czysto?

    • Jeżeli uzyskujesz nieautoryzowany dostęp do systemu teleinformatycznego – uwaga – w celu załatania podatności, która była jego podstawą, to łapiesz się w kontratyp.

    • jak nikomu nic nie powiesz, to wystarczy :)

    • Skoro podała właściwe hasło to o WŁAMANIU nie może być mowy :)

    • @Lukasz032 w celu załatania podatności, czyli co, jeśli znajdę jakąś stronę logowania i wbiję tam na dane admin / admin to w ramach załatania podatności powinienem zmienić hasło? :P Czy w ramach załatania podatności wystarczy, że skontaktuję się z administratorem i z nbzp i jestem czysty? ;)

    • https://www.lexlege.pl/kk/art-269c/

      Wydaje mi się, że zgodnie z art. 269c KK nie powinna jeśli spełni wymienione w tym art. warunki.

      PS
      Prawnikiem nie jestem :D

    • Taki czyn może stanowić podstawę odpowiedzialności karnej z art. 267 § 2 KK (dokonanie czynu zabronionego na podstawie § 2 nastąpi, gdy sprawca uzyska dostęp do całości lub części systemu informatycznego nawet bez jakiegokolwiek zabezpieczenia – za kom. pod red. Królikowskiego)
      Przy czym stosownie do § 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.
      Kwestią ustalenia w toku postępowania jest m.in. czy czyn taki z uwagi na okoliczności jego popełnienia nie jest społecznie szkodliwy w stopniu znikomym co wyłączałoby jego przestępność art. 1 § 2 KK i czy sprawca działał z zamiarem bezpośrednim.

    • Jeżeli osoba po “włamaniu” poinformowała o tym serwis, to wtedy jest to hakowanie ( pozytywne określenie, testowania systemów bezpieczeństwa, w celu wykrycia błędów i ich późniejszej poprawy). Jeżeli “włamała” się po to by ukraść dane to jest to cracking ( cyber przestępstwo).

    • Jeżeli zrobił to w dobrej wierze (a nie ujawniając danych i zgłaszając lukę tak się zachował) to może spać spokojnie dzięki ustawie wprowadzonej w kwietniu 2017: https://niebezpiecznik.pl/post/od-27-kwietnia-nie-musisz-zakladac-kominiarki-do-komputera

      Wszystko dzięki byłej p. minister Streżyńskiej która była chyba najbardziej kompetentnym ministrem jakiego znałem.

    • “Zgodnie z prawem nie powinna zostać zatrzymana za “włamanie” do systemu?”

      Kwestie prawne sa jak widze wyjasnione – wiec pod tym wzgledem nic nie bede dodawal.

      Natomiast: papierowe prawo prawem, moralnosc moralnoscia ~ za hitlera prawo scigalo pomagajacym zydom a tym ktorzy ich okradali/zdradzali nagradzalo. Administracja strony zlamala prawo nie zabezpieczajac danych ktore nie sa ich wlasnoscia na szkode ich klientow i ZASLANIA SIE NIEKOMPETENCJA* (bo przeciez nikt nie schowal do kieszeni tego co udalo zaoszczedzic sie na adminie…)
      Pie-d–e(łbym ale niemusze) kazde prawo scigajace ludzi za bronienie ofiar czy usilowanie niedopuszczenia do przestepstwa (czesto gesto z niego oplacone)…

      *bo to jest dokladny/rzeczywisty opis tego co powszechnie nazywamy “wyciekiem”, raczej rzadko mamy doczynienia z sytuacjami ktore dalo by sie usprawiedliwic (czyt. gdzie zabezpieczenia zdolne odeprzec przynajmniej seniora po 5h kursie “uzytkowania komputera” zostaly przelamane)

    • Według dwóch krakowskich portali, sprawa “nieautoryzowanego dostępu do bazy danych” jest badana przez prokuraturę.

      https://krknews.pl/prokuratura-i-uodo-zajma-sie-wyciekiem-danych-z-karty-krakowskiej/
      http://lovekrakow.pl/aktualnosci/wyciek-danych-uzytkownikow-karty-krakowskiej-trafi-do-prokuratury_29623.html

  2. i co, za darmo pomogliście?
    trzeba było dać nauczkę. edukacyjną

  3. “opiekuni systemu z firmy IDEO”
    Chyba sprawdzanie pisowni Wam nie działa ;)

    • Jeśli masz na myśli słowo “opiekun”, to w mianowniku i wołaczu liczby mnogiej zarówno “opiekunowie”, jak i “opiekuni” to poprawna forma. ;)

  4. Akurat znam parę osób z Ideo i są raczej mocno profesjonalni. Zanim za,wpis ie ich o cokolwiek oskarża przydało by się z nimi skontaktować i potwierdzić słowa Pani Urzędniczki, że to oni coś sugerował.

    • Ja też znam kilka osób od nich. I wiem że byliby zdolni do zostawienia admin123 na prodzie. W każdej firmie są lebiegi i wymiatacze. Może tylko do obsługi projektów z przetargu oddelegowywani są ci pierwsi?

  5. Czy próbę zalogowania się przy użyciu takiego hasła można w ogóle nazwać “atakiem” ?

  6. Otóż krakowskie rozwiązania są unikalne w skali światowej – ostatnio chciałem skorzystać z możliwości zakupu biletu semestralnego, zrobiłem to przez Internet, użyłem do tego danych z legitymacji, cała transakcja 3 min z wykorzystaniem BLIK – super. Jakie było moje zdziwienie, kiedy zauważyłem, że zakupiony bilet nie istnieje. Należy go “nanieść” na legitymacje studencką. Na szczęście można skorzystać z automatu MPK. Nazajutrz udałem się do automatu i tam dowiedziałem się, że moja legitymacja jest… nieaktywna! :) Tak! Ta sama na którą kupiłem bilet, który nie istnieje! Pojechałem więc do punktu, żeby ją aktywować, stałem 40 min w kolejce, przy okazji pomogłem obsłużyć klientkę obcojęzyczną, bo żadna z dwóch pań z okienek nie potrafiła angielskiego (chyba nie muszę dodawać, że pozostałe dwa stanowiska były nieczynne, a kolejka do okienek na 50 osób). Po aktywacji mojej legitymacji poprosiłem Panią w okienku, aby naniosła na nią bilet, ale usłyszałem, że mogę to zrobić tylko w automacie. Na szczęście automat był blisko. Poszedłem do automatu, przede mną ktoś również “nanosi” bilet na swoją legitymacje. Niestety transakcja przerosła możliwości systemu, gdyż, kiedy przyszła moja kolej, moim oczom ukazał się napis “awaria, automat nieczynny”. I tak z transakcji internetowej zrobiła się transakcja mieszana, na którą straciłem ponad dwie godziny i przy której musiałem kupić dwa jednorazowe bilety MPK :)

    • Dobrze, że Ty potrafiłeś angielski :)

      A tak bardziej do Twojego postu: tak, niestety ten internetowy bilet to porażka. Wielki krok naprzód ale i tak musisz go “nabić” w stacjonarnym KKM (chyba nie ma w pojazdach (czy to tramwaj czy autobus) maszynek by je nabijać “przy okazji”).

      Najlepsze jest to, że podczas kontroli, gdy nie masz nabitego biletu (mimo, że jest kupiony) to jesteś traktowany jakbyś nie miał go wcale i nie ma opcji by pokazać e-maila o kupnie itp. Ponoć (zasłyszane od “kanara”) w momencie odczytu karty, urządzenie kontrolerów wysyła info, że XYZ nie ma biletu (rozumiem, takie anty-łapówkowe zagranie). Karę możesz zapłacić na miejscu bo mają terminal :D
      Czyli nie są to już czasy, że pomykają z papierowymi bloczkami, bo mają (w większości momentów) pełne podłączenie do Internetu itp. Niestety wciąż nie są w stanie sprawdzić czy jednak tą kartę masz kupioną byś nie tracił pół dnia na wycieczkę do ich placówki…
      System ma potencjał, ale jeszcze za mało było implementacji (widzieliście bilet okresowy na telefonie, gdzie nie wolno czyścić ciasteczek? :D ) i wydanych na to pieniędzy znajomym znajomych, by można było w końcu zrobić coś działającego. Mam wrażenie, że te projekty odbierają osoby, które ostatni raz z komunikacji zbiorowej korzystały .. nigdy :)
      Pozdrawiam!

    • @ asdf
      Z biletami jest ten problem, że trzeba je aktywować. Zakupienie biletu nie jest jednoznaczne z aktywowaniem. Możesz kupić bilet, ale aktywować go po np. 2 tygodniach, tym samym jego ważność przesuwa się o 2 tygodnie od zakupu.
      Jedynym sensownym rozwiązaniem byłaby opcja aktywacji przy zakupie, wtedy faktycznie kanar mógłby sprawdzić on-line czy ktoś ma aktywny bilet, nawet jak nie jest wgrany na kartę.

    • Niestety, Kraków to nie jest unikat. W Lublinie też osobno kupuje się bilet przez internet (via mennica), a osobno nabija go na legitymację/kartę miejską. Karta oczywiście po 10 latach traci ważność i trzeba sobie ją przedłużyć – stojąc w kolejce w jednym z dwóch punktów w mieście. Teoretycznie jest możliwość sprawdzenia online czy wszystko działa – w praktyce serwis ma permanentną awarię.

    • @asdf Bilet “online w komórce” w postaci logowania się na stronie to jest całkowita porażka.
      Zwłaszcza, że jest aplikacja iMKA która:
      A) jest aplikacją, a nie stroną możliwą do otwarcia w przeglądarce;
      B) w której można nabyć bilet okresowy na komunikację miejską w Krakowie
      C) nie trzeba nigdzie chodzić.
      I chyba tylko upór na tworzenie swoich gorszych rozwiązań w MPK powoduje, że nie promują aplikacji województwa.

    • Dziwne rozwiązanie. W Bydgoszczy jest podobnie, ale nie tak samo. Bilet miesięczny kupuję online i też nie jest on “nabity” na kartę. Jednak różnica jest taka, że kanar może mi go aktywować nawet w ostatni dzień (oczywiście może to być zrobione także w biletomatach). Zdarza się, że miesiącami jeżdżę z zakupionym biletem, ale nigdy nie był on nabity na kartę.

    • Czyli zapłaciłeś max 10 zł ekstra. Ja kupiłem bilet miesięczny, który się nie zapisał na karcie (ale płatność przeszła i MPK w mailu potwierdziło zapis w ich bazie), i teraz, gdy komornik się do tego dobierze, wyjdzie jakieś 1000 zł do zapłaty, które mi zedrą z pensji.

  7. Coś czuję, że kolejne hasło do konta admina to będzie admin123456 :)

    • No co Ty, teraz będzie Admin!23 :)

    • A sprawdzaliście po zmianie, czy pasuje:
      dupa.8

  8. Prawdopodobnie naleze do 1000 szczesliwcow zarejestrowanych 1-2 dnia lipca… co sugerujecie powinienem zrobic?

    • Doczytać artykuł do końca. :)

  9. W to, co przeczytałem, aż ciężko uwierzyć… Bez względu na to, czy środowisko testowe, czy użytkowe, to takich haseł i loginów nie powinno się w ogóle używać.

  10. Zarejestrowałem się 2 lipca.. Czyli mówicie że o co zapytać UM? :P I jeżeli moje dane tam były – panikować czy nie bardzo?

    • ..ja bym Ci radził profilaktycznie zgłosić do prokuratury zawiadomienie o podejrzeniu popełnienia przestępstwa.
      Chyba że jesteś hardcorem

  11. tylko 1000 osób się zarejestrowało 1.07??? nie daję w to wiary!
    system wtedy się wieszał, padał, bo nastąpił istny szturm chętnych (naród czekał od wielu dni na tę chwilę), więc 1000 to liczba zdecydowanie mocno zaniżona.

  12. A dlaczego MPK w ogóle zajmuje się nadal tymi kartami i bajerami za które powinien odpowiadać ZTP i jego chmara urzędników ??

    • Ten wysoki poziom ochrony krzyczący z podanej strony przypomina ochroniarza stojacego nad trupem i wołającego, że trup jest teraz dobrze chroniony – nikt go już teraz nie skrzywdzi.

  13. Funkcjonowanie konta administratorskiego z takim hasłem to dziecinada i nie ma na to żadnego wytłumaczenia, to tak jakby zbudować zamek z potrójnymi murami na skale, ale zapomnieć o zamknięciu drzwi.
    Zawsze zwracam uwagę na rzetelność dziennikarska i w tym artykule trochę mi jej brakuje, bo tylko zamieszczone są wypowiedzi kogoś z Urzędu Miasta, natomiast nikogo z firmy IDEO, chociaż sam artykuł wprost wskazuje na ich nieudolność i nieprofesjonalizm w temacie bezpieczeństwa.
    @Marcin Maj jestem ciekawy czy próbowałeś skontaktować się z kimś od nich, a może ich odpowiedź była w podobnym tonie jak ta z urzędu?

  14. Takie proste hasło w tak dużej firmie? ŻENADA.

  15. Widac, ich srodowisko produkcyjne bylo zawsze srodowiskiem testowym. Chyba nie pojeli, ze kazde srodowisko powinno miec osobny config. Pomijam fakt, ze nie poznali jeszcze 2FA. Moze wystarczylo przepuscic /admin tylko do intranetu.

    Jezeli “baze danych” chroni tylko haslo do serwisu dostepnego z zewnatrz to mozna przepuscic jakis phising. Ciekawe czy na bruteforce to jest odporne?

  16. Jak wygląda kwestia odszkodowania?

  17. “znajdowały się dane prawdziwych Krakowian”,
    “i jaka duża była liczba prawdziwych Krakowian zarejestrowanych”.

    Bardzo lubię Was czytać, ale na przyszłość mieszkańców miast piszcie małą literką.
    Jak tu:
    https://pl.wiktionary.org/wiki/krakowianin

    Bądźcie profesjonalistami!
    :)

  18. “Dostawcą wszystkich systemów bezpieczeństwa jest firma IDEO sp. z o.o., która jednoznacznie potwierdziła odpowiedni, wysoki poziom ochrony wszystkich danych mieszkańców”

    Acha. No to super, że potwierdzili. I to jeszcze jednoznacznie!
    Może coś przespałem, ale czy to nie jest tak, że sprawdzać i potwierdzać powinien odbiorca albo jeszcze lepiej jakiś niezależny podmiot?

    Kanar w autobusie: Czy ma pan ważny bilet?
    Pasażer: Tak, mam.
    Kanar: Dziękuję serdecznie, w takim razie wszystko w porządku. Miłego dnia życzę.

    • Mandat karny! Bo nie potwierdził jednoznacznie! :-)

  19. A bracia ze wschodu zablokowali Protonmaila :)
    Ops, sorki -> )))

  20. Czy tylko według mnie ostatnia aktualizacja, a jednocześnie oświadczenie brzmi jak wyzwanie? Bo coś za dużo lania wody w mojej opinii

  21. aktualizacja: ja was wszystkich, k… do sądu!!! :D
    http://lovekrakow.pl/aktualnosci/wyciek-danych-uzytkownikow-karty-krakowskiej-trafi-do-prokuratury_29623.html

  22. …no żesz ku…..a ! jaja i cycki opadają jak się coś takiego czyta !
    Od zawsze powtarzam – żeby – może nie wyeliminować, ale znacznie ograniczyć tego typu ewidentne przypadki jak hasło admin123, pomogą jedynie absolutnie drakońskie kary finansowe, takie aby zniszczyć osobnika który ustawił tego typu hasło.
    Ku…. ! przecież wyciekły wrażliwe dane !
    Wszystkie osoby których dane wyciekły powinny złożyć do dobrej kancelarii pozew zbiorowy z naruszenia KK i do tego pozwy cywilne na grube miliony $ .
    Tego sku….la który ustawił hasło admin123, trzeba udupić do parteru tak aby już nigdy nie dotknął żadnej klawiatury

  23. Zabrakło mi artykule odpowiedzi czemy była taka zwłoka w przekazaniu informacji o incydencie. Prawdopodobnie znalazłem odpowiedź.

    W artykule jest informacja, że pierwsze logowanie miało miejsce w piątek po godzinie 16 więc zgłoszenie zostało wysłane odpowiednio później. Stawiam dobrą kawę no to, że pracownik do poniedzialu rano (kiedy została przekazana informacja) nie pracował i nie odbierał wiadomości służbowych. Taka natura pracy urzędników :)

    • Coś w tym jest co piszesz.
      Ktoś próbuje “nakręcić Małysza” tylko nie do końca rozumiem dlaczego. Autor artykułu dwukrotnie popełnia banalny (jak na bezpiecznika) bład – jeden – nie zauważa wskazanego przez Ciebie weekendu. Dwa – w najnowszej aktualizacji pyta dlaczego dopiero teraz UMK/MPK zgłasza to do UODO/prokuratury (etc). Przecież to jest dosyc oczywiste że do publikacji tego artykułu mieli wiedzę, że ktoś się zalogował 2018 bo zostali o tym poinformowani, dostawca powiedział im, że były to jednostkowe próby – które zresztą zostały zablokowane. Po czym 12 marca na portalu niebezpiecznik widzą zrzuty ekranów które ten – który ich poinformował wykonał, doprowadzając tym samym do upublicznienia wrażliwych danych.

  24. Zakładanie Karty Krakowskiej przez Internet posiadając KKM to jest cyrk. Ogólnie lepiej mi było to zrobić “ręcznie” w pobliskiej placówce, bowiem gdy to robiłem miałem taką oto wspaniałą sytuację:
    1. ID karty a nr karty to coś innego.
    2. Chcą na stronie ID karty.
    3. Regex na stronie waliduje jednak nr karty…
    4. …Który potem nie przechodzi przez serwer,
    5. Po “poprawieniu” regeksa przechodzi, ale później kończy się Internal Server Error.
    Nie wiem czy to naprawili. Następnie:
    – Muszę w automacie “zakupić” za 0 PLN “uprawnienia karty krakowskiej”. Na to drukowany jest druczek. Tak bardzo ochrona środowiska…
    – Przy zakupie miesięcznego czasami nie naliczy zniżki – wówczas należy oczywiście “zakupić” uprawnienia ponownie klikając, jakie to logiczne, symbol operatora przystawania przy uprawnieniu. Z jakiegoś całkowicie nieznanego mi powodu uprawnienia karty krakowskiej przystają do przycisku przedłużania biletu miesięcznego (???), a poprzedni, nieaktualny bilet do anulowania (to już bardziej zrozumiałe, poprzedni jest anulowany). Może jakieś lekcje matematyki dla Krakowian?

  25. Abstrahując od kwestii formalnoprawnych, firma IDEO chyba powinna się z troską przyjrzeć swojemu procesowi deploymentu. Bo mam przypuszczenie graniczące z pewnością, że “deployment” polegał na wzięciu bazy developerskiej/testowej, wycięciu ewentualnych śmieci i umieszczeniu na produkcji :/. Tylko “się zapomniało” zmienić hasła, które na bazie developerskiej jak najbardziej miało rację bytu.

    • Coś mi się wydaje, że trafiłeś w sedno…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: