W razie awarii sprawdź t.me/prawda2info

 
Ku pokrzepieniu   
Znalazłeś na naszym forum temat podobny do tego? Kliknij tutaj!
Ocena: Brak ocen
Napisz nowy temat   Odpowiedz do tematu    Prawda2.Info -> Forum -> Dyskusje ogólne Odsłon: 2273
Zobacz poprzedni temat :: Zobacz następny temat  
Autor Wiadomość
7070




Dołączył: 21 Paź 2014
Posty: 154
Post zebrał 40000 sat

PostWysłany: 16:19, 30 Lis '15   Temat postu: Ku pokrzepieniu Odpowiedz z cytatem

Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
7070




Dołączył: 21 Paź 2014
Posty: 154
Post zebrał 0 sat

PostWysłany: 18:51, 02 Gru '15   Temat postu: Odpowiedz z cytatem

Cytat:
admin/admin — oto dane logowania broniące dostępu do bazy 4000 właścicieli Kart Mazowieckich kolei

Jak poinformowali nas czytelnicy (dane od wiadomości red.), serwis internetowy Kolei Mazowieckich niezbyt dobrze chroni dane właścicieli tzw. Kart Mazowieckich umożliwiających łatwiejsze poruszanie się transportem publicznym.

Admin/admin
Serwis Kolei Mazowieckich umożliwia każdemu chętnemu założenie konta i złożenie wniosku online. Jeden z naszych czytelników, z ciekawości, w formularzu logowania proszącym o numer karty i jej PIN, wpisał admin/admin. Jakież było jego zdziwienie, kiedy zalogował się do… panelu pozwalającego podglądać prawie 4 000 kart.



W każdym z wniosków widoczne są następujące dane:




Dodatkowo, z poziomu konta można podglądać treści reklamacji, co daje dostęp do kolejnych informacji na temat użytkowników:



Panel, wedle informacji czytelnika, nie pozwala jednak na zarządzanie kartami (ich usuwanie, unieważnianie lub podmianę danych). Domyślamy się więc, że jest to jedynie interfejs dla jakiegoś biura obsługi pasażera (na jednej ze stacji?), przy pomocy którego do systemu zarządzania dodawane są wnioski. Można natomiast podglądać treść stron serwisu, modyfikować je i dodawać własne:




Co na to Koleje Mazowieckie?
Oto pytania, jakie skierowaliśmy do kolei mazowieckich.

1. Kto założył i do kogo należy konto o loginie admin w serwisie karta.mazowieckie.com.pl?
2. Do czego wykorzystywane jest konto o loginie “admin” w serwisie karta.mazowieckie.com.pl

3. Czy Koleje Mazowieckie KM Sp. z o.o. posiadają politykę bezpieczeństwa, a jeśli tak, czy znajduje się w niej zapis dotyczący zarządzania hasłami? Jeśli tak, czy ustawienie i używanie hasła “admin” do konta “admin” jest zgodne z zapisami niniejszej polityki?

4. Czy serwis karta.mazowieckie.com.pl przechodził audyt bezpieczeństwa / test penetracyjny zanim został dopuszczony do użytku?

5. Jakie szkody może spowodować osoba, która uzyska dostęp do konta admin w serwisie karta.mazowieckie.com.pl? I jak ocenianie Państwo wagę pozyskanych w ten sposób danych?

6. Ile osób na dzień dzisiejszy posiada Kartę Mazowiecką?

A oto oświadczenie, które niestety nie odpowiada na wszystkie z naszych pytań:

W odpowiedzi na pytania informuję, że spółka „Koleje Mazowieckie – KM” wprowadziła program pilotażowy Karty Mazowieckiej. Etap programu pilotażowego trwa do 31 grudnia 2015 r. i jest skierowany 
do maksymalnie 5000 użytkowników. Do 30 listopada 2015 r. wnioski o wydanie Karty Mazowieckiej złożyło – 
i tym samym przystąpiło do programu pilotażowego – prawie 4 tys. osób. Celem wprowadzenia programu pilotażowego jest dopasowanie systemu do potrzeb podróżnych oraz zidentyfikowanie i wyeliminowanie nieprawidłowości w funkcjonowaniu systemu.
Dziękujemy za przesłanie przez Państwa informacji o nieprawidłowości w funkcjonowaniu portalu pilotażowego Karty Mazowieckiej. Konto o loginie „admin” w portalu karta.mazowieckie.com.pl jest inicjującym kontem administracyjnym dla systemu testowego. Zostało użyte na potrzeby wdrożenia oraz szkoleń z zakresu administracji systemem Karty Mazowieckiej oraz portalu klienta. Ww. testowe konto zostało zablokowane 
w systemie produkcyjnym. Zaistniała sytuacja mogła pojawić się w momencie implementowania nowej szaty graficznej oraz rozwiązań w portalu klienta. Sytuacja zostanie zweryfikowana oraz poddana analizie mającej 
na celu wyeliminowanie takiej sytuacji w przyszłości.
Spółka „Koleje Mazowieckie – KM” posiada wdrożoną procedurę kontroli dostępu do zasobów informacyjnych, zgodnie z którą wszystkie konta użytkowników w systemie zakładane są jako konta indywidualne. Hasła użytkowników wymagają wprowadzenia minimum określonej liczby znaków i powinny zawierać m.in.: małe 
i wielkie litery, cyfry lub znaki specjalne, a tym samym uznane są jako hasła bezpieczne. Proces zbierania danych osobowych użytkowników Karty Mazowieckiej odbywa się pod ścisłą ochroną, a dane osobowe przetwarzane są w zbiorze danych osobowych, zgłoszonym do GIODO. Zgodnie z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne 
do przetwarzania danych osobowych (Dz. U. 2004 nr 100 poz. 1024), dane przechowywane przez spółkę mają najwyższy stopień bezpieczeństwa, są chronione fizycznie oraz przez systemy teleinformatyczne.

Zastanawiamy się, czy Koleje Mazowieckie powiadomią swoich pilotażowych pasażerów, że ich dane osobowe i teleadresowe ktoś mógł pozyskać…

https://niebezpiecznik.pl/post/adminadmi.....ich-kolei/
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
7070




Dołączył: 21 Paź 2014
Posty: 154
Post zebrał 0 sat

PostWysłany: 22:52, 03 Gru '15   Temat postu: Odpowiedz z cytatem

Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
Bóg z nami




Dołączył: 27 Mar 2013
Posty: 266
Post zebrał 0 sat

PostWysłany: 03:07, 04 Gru '15   Temat postu: Odpowiedz z cytatem

Zaj* wokal ale o czym jest ten wątek? Very Happy
_________________
2 palce i 2 palce to 1-szy,2-gi... 4 palce
a^2+b^2=c^2=> trójkąt jest prostokątny

A heliocentryzm? To jeszcze wiedza, czy już wiara?
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
Goska




Dołączył: 18 Wrz 2007
Posty: 3535
Post zebrał 0 sat

PostWysłany: 10:09, 04 Gru '15   Temat postu: Odpowiedz z cytatem

Kabaret Urzad :

https://www.youtube.com/watch?v=s-tOhmpqq2U
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
Wyświetl posty z ostatnich:   
Napisz nowy temat   Odpowiedz do tematu    Prawda2.Info -> Forum -> Dyskusje ogólne Wszystkie czasy w strefie CET (Europa)
Strona 1 z 1

 
Skocz do:  
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz moderować swoich tematów


Ku pokrzepieniu
Powered by phpBB © 2001, 2005 phpBB Group.
Wymuś wyświetlanie w trybie Mobile