Zbyt łatwy dostęp do systemu Karty Mazowieckiej naprawiony

O sprawie poinformował portal niebezpiecznik.pl tropiący potencjalne zagrożenia w sieci internetowej. Można go przeczytać tutaj.

– Jeden z naszych czytelników, z ciekawości, w formularzu logowania proszącym o numer karty i jej PIN, wpisał admin/admin. Jakież było jego zdziwienie, kiedy zalogował się do… panelu pozwalającego podglądać prawie 4 000 kart – czytamy na portalu.

Po zalogowaniu się do panelu administratora można było mieć dostęp do danych, takich jak: imię i nazwisko właściciela ze zdjęciem, numer pesel czy mail właściciela konta. Co więcej – jeśli właściciel Karty Mazowieckiej składał reklamację w czasie okresu testowego dla karty, te dane również były dostępne. 

Karta Mazowiecka jest nowym produktem skierowanym do pasażerów Kolei Mazowieckich, ale też pasażerów komunikacji miejskiej. Możliwe jest na nim kodowanie wszystkich niemal wszystkich rodzajów biletów sprzedawanych przez spółkę, a także biletów Zarządu Transportu Miejskiego w Warszawie.

Problemu już nie ma

Zalogowanie się na konto admina nie pozwalało jednak na usuwanie kart lub zmianę danych logowania. Mimo tego możliwość uzyskania dostępu do danych, które mógł uzyskać każdy użytkownik za pomocą wpisania nieskomplikowanego loginu, należy uznać za fakt niepokojący. Spółka zapewniła, że konto o loginie „admin” w portalu karta.mazowieckie.com.pl było inicjującym kontem administracyjnym dla systemu testowego i zostało użyte na potrzeby wdrożenia oraz szkoleń z zakresu administracji systemem Karty Mazowieckiej oraz portalu klienta.

- W związku z zaistniałym incydentem dotyczącym potencjalnej możliwości dostępu przez osoby nieupoważnione do danych osobowych dotyczących użytkowników Karty Mazowieckiej, przy wykorzystaniu strony internetowej https://karta.mazowieckie.com.pl, i konta administracyjnego, podjęte zostały natychmiastowe działania kontrolne i zapobiegawcze w celu wyeliminowania zaistniałych nieprawidłowości - poinformowały "Rynek Kolejowy" Koleje Mazowieckie,

Spółka zapewnia, że konto „Admin” zostało zablokowane natychmiast po otrzymaniu informacji. Tym samym logowanie się na stronie dla użytkowników Karty Mazowieckiej przy pomocy ww. konta oraz dostęp do danych nie są możliwe.

Poinformują pasażerów

– Na portalu klienta zostanie zamieszczona informacja o nieprawidłowości systemu, wskazanej przez jednego z naszych użytkowników – mówi "Rynkowi Kolejowemu" Donata Nowakowska, rzeczniczka Kolei Mazowieckich.

– Opisane przez Państwa konto zostało zablokowane w systemie produkcyjnym. Dołożymy wszelkich starań, aby uniknąć w przyszłości podobnych sytuacji, za którą serdecznie przepraszamy – dodaje Donata Nowakowska. Jak zapewnia, prowadzone są kompleksowe działania kontrolne w celu ustalenia przyczyn powstałej nieprawidłowości, jak też w celu wykrycia i wyeliminowania wszystkich możliwych nieprawidłowości i słabości w stosowanych zabezpieczeniach oraz w celu zapobieżenia wystąpieniu podobnych incydentów w przyszłości.

Jak informuje, powołany w spółce Koleje Mazowieckie Administrator Bezpieczeństwa Informacji, odpowiedzialny za zapewnienie przestrzegania przepisów o ochronie danych osobowych, podjął działania w celu dokonania sprawdzenia doraźnego przetwarzania danych osobowych w zbiorze „Karta Mazowiecka” i przywrócenia stanu zgodnego z przepisami.

Jak KM dbają o dane klientów?

Spółka Koleje Mazowieckie posiada opracowaną i wdrożoną dokumentację opisującą sposób przetwarzania danych osobowych, stosowanie do art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182).

Dodatkowo KM zapewniają, że mają wdrożony i udokumentowany zestaw procedur służących do zapewnienia bezpieczeństwa przetwarzanych danych (w tym politykę stosowania haseł) i zapewnienia prawidłowej reakcji na zaistniałe zdarzenia. - Procedury te funkcjonują w ramach wdrożonego i certyfikowanego Systemu Zarządzania Bezpieczeństwem Informacji wg normy ISO/IEC 27001:2013 - mówi Nowakowska.