Ale wpadka Kolei Mazowieckich! Wystarczyło wpisać najprostsze hasło na świecie. Wyciekły dane klientów?

Login "admin", hasło "admin" i już można było buszować w systemie Kolei Mazowieckich. Tak zrobił jeden z internautów. Miał dostęp do danych kilku tysięcy pasażerów, którzy zakupili w ostatnich dniach Kartę Mazowiecką. - Prowadzimy postępowanie wyjaśniające - słyszymy w biurze prasowym przewoźnika.

Spodobało ci się? Polub nas

Włamywacz mógł mieć dostęp do danych nawet 4 tys. pasażerów Kolei Mazowieckich , którzy musieli założyć konto na stronie przewoźnika, by wyrobić Kartę Mazowiecką. Żeby ją otrzymać należało podać swoje imię i nazwisko, numer PESEL oraz dołączyć fotografię. Dodatkowo można było wpisać także adres zamieszkania, numer telefonu i adres mailowy.

"Admin", jakie to proste!

- Trudno jest powiedzieć, czy dane wyciekły - mówi Donata Nowakowska, rzeczniczka Kolei Mazowieckich. Przyznaje jednak, że ktoś wykorzystał lukę w zabezpieczeniach i wpisał "admin" w pole loginu i hasła. W ten sposób miał dostęp do danych pasażerów Kolei Mazowieckich, którzy zakupili nowy bilet. - Było to konto inicjujące, potrzebne do administrowania stroną na etapie testowym - tłumaczy Nowakowska.

Karta Mazowiecka Fot. materiały prasowe Tak wygląda Karta Mazowiecka, fot. materiały prasowe

Jak to się stało, że dane pasażerów nie były bezpieczne? - Prowadzimy kompleksowe działania kontrolne, które mają na celu ustalenie przyczyn nieprawidłowości - informuje rzeczniczka. - Włączył się w nie Administrator Bezpieczeństwa Informacji, który jest odpowiedzialny za zapewnienie przestrzegania przepisów o ochronie danych osobowych.

"Dobre relacje z pasażerami"

Konto testowe z prostym loginem i hasłem było założone dla administratora strony na czas szkoleń. Potem miało być zablokowane. Jak długo można było mieć dostęp do danych podróżnych Kolei Mazowieckich? - Nie potrafię powiedzieć - przyznała Donata Nowakowska. Podobnie było z odpowiedzią na pytanie, co stało się z danymi poszkodowanych. Ale w dzisiejszym oświadczeniu spółka przyznaje, że "zalogowanie się do ww. konta dało możliwość podglądu danych użytkowników korzystających z Karty Mazowieckiej".

Oświadczenie Kolei Mazowieckich Oświadczenie Kolei Mazowieckich Fragment oświadczenia Kolei Mazowieckich

W kontekście opisywanej przez nas sytuacji dziwić może jedno ze zdań kończących pismo Kolei Mazowieckich. Czytamy: "Jesteśmy przekonani, że Karta Mazowiecka to inwestycja w dobre relacje z pasażerami". Incydent z wyciekiem danych, raczej nie pozwala w to wierzyć.