Ku pokrzepieniu

7070

7070

Cytat:

admin/admin — oto dane logowania broniące dostępu do bazy 4000 właścicieli Kart Mazowieckich kolei

Jak poinformowali nas czytelnicy (dane od wiadomości red.), serwis internetowy Kolei Mazowieckich niezbyt dobrze chroni dane właścicieli tzw. Kart Mazowieckich umożliwiających łatwiejsze poruszanie się transportem publicznym.

Admin/admin
Serwis Kolei Mazowieckich umożliwia każdemu chętnemu założenie konta i złożenie wniosku online. Jeden z naszych czytelników, z ciekawości, w formularzu logowania proszącym o numer karty i jej PIN, wpisał admin/admin. Jakież było jego zdziwienie, kiedy zalogował się do… panelu pozwalającego podglądać prawie 4 000 kart.

W każdym z wniosków widoczne są następujące dane:

Dodatkowo, z poziomu konta można podglądać treści reklamacji, co daje dostęp do kolejnych informacji na temat użytkowników:

Panel, wedle informacji czytelnika, nie pozwala jednak na zarządzanie kartami (ich usuwanie, unieważnianie lub podmianę danych). Domyślamy się więc, że jest to jedynie interfejs dla jakiegoś biura obsługi pasażera (na jednej ze stacji?), przy pomocy którego do systemu zarządzania dodawane są wnioski. Można natomiast podglądać treść stron serwisu, modyfikować je i dodawać własne:

Co na to Koleje Mazowieckie?
Oto pytania, jakie skierowaliśmy do kolei mazowieckich.

1. Kto założył i do kogo należy konto o loginie admin w serwisie karta.mazowieckie.com.pl?
2. Do czego wykorzystywane jest konto o loginie “admin” w serwisie karta.mazowieckie.com.pl

3. Czy Koleje Mazowieckie KM Sp. z o.o. posiadają politykę bezpieczeństwa, a jeśli tak, czy znajduje się w niej zapis dotyczący zarządzania hasłami? Jeśli tak, czy ustawienie i używanie hasła “admin” do konta “admin” jest zgodne z zapisami niniejszej polityki?

4. Czy serwis karta.mazowieckie.com.pl przechodził audyt bezpieczeństwa / test penetracyjny zanim został dopuszczony do użytku?

5. Jakie szkody może spowodować osoba, która uzyska dostęp do konta admin w serwisie karta.mazowieckie.com.pl? I jak ocenianie Państwo wagę pozyskanych w ten sposób danych?

6. Ile osób na dzień dzisiejszy posiada Kartę Mazowiecką?

A oto oświadczenie, które niestety nie odpowiada na wszystkie z naszych pytań:

W odpowiedzi na pytania informuję, że spółka „Koleje Mazowieckie – KM” wprowadziła program pilotażowy Karty Mazowieckiej. Etap programu pilotażowego trwa do 31 grudnia 2015 r. i jest skierowany  do maksymalnie 5000 użytkowników. Do 30 listopada 2015 r. wnioski o wydanie Karty Mazowieckiej złożyło –  i tym samym przystąpiło do programu pilotażowego – prawie 4 tys. osób. Celem wprowadzenia programu pilotażowego jest dopasowanie systemu do potrzeb podróżnych oraz zidentyfikowanie i wyeliminowanie nieprawidłowości w funkcjonowaniu systemu.
Dziękujemy za przesłanie przez Państwa informacji o nieprawidłowości w funkcjonowaniu portalu pilotażowego Karty Mazowieckiej. Konto o loginie „admin” w portalu karta.mazowieckie.com.pl jest inicjującym kontem administracyjnym dla systemu testowego. Zostało użyte na potrzeby wdrożenia oraz szkoleń z zakresu administracji systemem Karty Mazowieckiej oraz portalu klienta. Ww. testowe konto zostało zablokowane  w systemie produkcyjnym. Zaistniała sytuacja mogła pojawić się w momencie implementowania nowej szaty graficznej oraz rozwiązań w portalu klienta. Sytuacja zostanie zweryfikowana oraz poddana analizie mającej  na celu wyeliminowanie takiej sytuacji w przyszłości.
Spółka „Koleje Mazowieckie – KM” posiada wdrożoną procedurę kontroli dostępu do zasobów informacyjnych, zgodnie z którą wszystkie konta użytkowników w systemie zakładane są jako konta indywidualne. Hasła użytkowników wymagają wprowadzenia minimum określonej liczby znaków i powinny zawierać m.in.: małe  i wielkie litery, cyfry lub znaki specjalne, a tym samym uznane są jako hasła bezpieczne. Proces zbierania danych osobowych użytkowników Karty Mazowieckiej odbywa się pod ścisłą ochroną, a dane osobowe przetwarzane są w zbiorze danych osobowych, zgłoszonym do GIODO. Zgodnie z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne  do przetwarzania danych osobowych (Dz. U. 2004 nr 100 poz. 1024), dane przechowywane przez spółkę mają najwyższy stopień bezpieczeństwa, są chronione fizycznie oraz przez systemy teleinformatyczne.

Zastanawiamy się, czy Koleje Mazowieckie powiadomią swoich pilotażowych pasażerów, że ich dane osobowe i teleadresowe ktoś mógł pozyskać…

https://niebezpiecznik.pl/post/adminadmi.....ich-kolei/

7070

Bóg z nami

Zaj* wokal ale o czym jest ten wątek? Very Happy

_________________
2 palce i 2 palce to 1-szy,2-gi... 4 palce
a^2+b^2=c^2=> trójkąt jest prostokątny

A heliocentryzm? To jeszcze wiedza, czy już wiara?

Goska

Kabaret Urzad :

https://www.youtube.com/watch?v=s-tOhmpqq2U