Spodobało ci się? Polub nas
Włamywacz mógł mieć dostęp do danych nawet 4 tys. pasażerów Kolei Mazowieckich , którzy musieli założyć konto na stronie przewoźnika, by wyrobić Kartę Mazowiecką. Żeby ją otrzymać należało podać swoje imię i nazwisko, numer PESEL oraz dołączyć fotografię. Dodatkowo można było wpisać także adres zamieszkania, numer telefonu i adres mailowy.
"Admin", jakie to proste!
- Trudno jest powiedzieć, czy dane wyciekły - mówi Donata Nowakowska, rzeczniczka Kolei Mazowieckich. Przyznaje jednak, że ktoś wykorzystał lukę w zabezpieczeniach i wpisał "admin" w pole loginu i hasła. W ten sposób miał dostęp do danych pasażerów Kolei Mazowieckich, którzy zakupili nowy bilet. - Było to konto inicjujące, potrzebne do administrowania stroną na etapie testowym - tłumaczy Nowakowska.
Karta Mazowiecka Fot. materiały prasowe Tak wygląda Karta Mazowiecka, fot. materiały prasowe
Jak to się stało, że dane pasażerów nie były bezpieczne? - Prowadzimy kompleksowe działania kontrolne, które mają na celu ustalenie przyczyn nieprawidłowości - informuje rzeczniczka. - Włączył się w nie Administrator Bezpieczeństwa Informacji, który jest odpowiedzialny za zapewnienie przestrzegania przepisów o ochronie danych osobowych.
"Dobre relacje z pasażerami"
Konto testowe z prostym loginem i hasłem było założone dla administratora strony na czas szkoleń. Potem miało być zablokowane. Jak długo można było mieć dostęp do danych podróżnych Kolei Mazowieckich? - Nie potrafię powiedzieć - przyznała Donata Nowakowska. Podobnie było z odpowiedzią na pytanie, co stało się z danymi poszkodowanych. Ale w dzisiejszym oświadczeniu spółka przyznaje, że "zalogowanie się do ww. konta dało możliwość podglądu danych użytkowników korzystających z Karty Mazowieckiej".
Oświadczenie Kolei Mazowieckich Oświadczenie Kolei Mazowieckich Fragment oświadczenia Kolei Mazowieckich
W kontekście opisywanej przez nas sytuacji dziwić może jedno ze zdań kończących pismo Kolei Mazowieckich. Czytamy: "Jesteśmy przekonani, że Karta Mazowiecka to inwestycja w dobre relacje z pasażerami". Incydent z wyciekiem danych, raczej nie pozwala w to wierzyć.