Jak podaje serwis niebezpiecznik.pl bezpieczeństwo danych użytkowników upoważniającej do zniżek w komunikacji miejskiej Karty Krakowskiej stoi pod znakiem zapytania. "Nasz Czytelnik twierdzi, że wystarczyło wpisać login admin i hasło… admin123 aby zalogować się do serwisu. Pewnie byśmy w to nie uwierzyli, gdybyśmy środka systemu nie zobaczyli. A zobaczyliśmy miejsce, w którym zebrano m.in. imiona, nazwiska i numery PESEL klientów" - informuje portal.
Hasło miało zostać zmienione przez administratora KK krótko po tym, jak informacja ukazała się na stronie niebezpiecznik.pl.
Urząd Miasta Krakowa przedstawił swoje stanowisko w tej sprawie:
"Informujemy, że wszystkie dane, które mieszkańcy udostępniają, składając wniosek o Kartę Krakowską, są odpowiednio zabezpieczone i nie ma żadnego zagrożenia ich wycieku. Dostawcą wszystkich systemów bezpieczeństwa jest firma IDEO sp. z o.o., która jednoznacznie potwierdziła odpowiedni, wysoki poziom ochrony wszystkich danych mieszkańców. Jedyne zgłoszenie związane z możliwym wyciekiem danych z systemu Karty Krakowskiej Urząd Miasta Krakowa otrzymał 29 czerwca 2018 r. (zgłoszenie dotyczyło zastosowania uproszczonego hasła administratorskiego do serwisu kk.krakow.pl). 2 lipca 2018 roku to zgłoszenie zostało przekazane do MPK SA w Krakowie, które natychmiast skierowało je do dostawcy systemu, firmy IDEO sp. z o.o., zobowiązując ją do podjęcia natychmiastowych działań w celu wyjaśnienia zaistniałej sytuacji.
W wyniku analizy stwierdzono, że hasło nie spełniało wymogów bezpieczeństwa i natychmiast, tj. 2 lipca, zostało zmienione. Stwierdzono także, że w dniach 29 czerwca (godz. 16.28) – 2 lipca (godz. 7.34) nastąpiły udane logowania uproszczonym hasłem do systemu Karty Krakowskiej (do 1 lipca do godz. 00.00, w systemie znajdowały się wyłącznie dane testowe).
Dostawca systemu, firma IDEO sp. z o.o. przeprowadziła natychmiast po zgłoszeniu wewnętrzny audyt, na podstawie którego stwierdziła, że było to niskie naruszenie bezpieczeństwa i uznała, że nie ma potrzeby informowania MPK SA w Krakowie i użytkowników o tym epizodzie.
Zastosowanie uproszczonego hasła administratorskiego do systemu, w połączeniu z informacją od jego dostawcy o możliwych logowaniach do systemu Karta Krakowska, pozwoliła określić wtedy to zdarzenie jako małe zagrożenie dla bezpieczeństwa informacji.
Jednak w związku z opublikowaniem w dniu 12 marca 2019 r. na portalu niebezpiecznik.pl informacji o możliwym wycieku danych z systemu Karty Krakowskiej w dniach 1 i 2 lipca 2018 r., analizowane są kroki prawne w związku z potencjalnym zagrożeniem kradzieży danych." - podaje Urząd Miasta Krakowa.
Info: niebezpiecznik.pl / Urząd Miasta Krakowa
