Karta Krakowska

i

Autor: mat. prasowe Karta Krakowska

Dane tysięcy krakowian wyciekły do sieci? System Karty Krakowskiej z hasłem "admin123" [AUDIO]

2019-03-13 18:08

Dane personalne użytkowników Karty Krakowskiej były zagrożone. By się do nich dostać wystarczyło wpisać hasło "admin123" na stronie do której każdy ma dostęp. Sprawę odkrył jeden z Internautów, który przekazał informację portalowi zajmującemu się bezpieczeństwem w sieci. Zdaniem urzędników wszystkie dane są bezpieczne i nie ma zagrożenia ich wycieku.

- Hasło do systemu Karty Krakowskiej zostało już zmienione, ale przez dwa dni wrażliwe dane Krakowian były na wyciągnięcie ręki. Trzeba poinformować mieszkańców, których dane mogły być wówczas w systemie. Nie wiadomo ile ich było, może miasto da radę przeprowadzić odpowiednią analizę - mówi Piotr Konieczny z Niebezpiecznik.pl  

Czytaj koniecznie >>> Rzuciła go dziewczyna, więc brutalnie skatował psa. "Patrz kur*o jeb**a szmato, krew tryska na wszystkie strony" [DRASTYCZNE ZDJĘCIA]

Wyjaśnień w tej sprawie chce też radny Łukasz Gibała. Złożył już interpelację do prezydenta Jacka Majchrowskiego, w której pyta czy poszkodowani zostali poinformowani o zagrożeniu. - Mieszkańców trzeba przeprosić i wyciągnąć konsekwencję wobec urzędników. Administracja gra w balona z Krakowianami, z jednej strony nie wykonali roboty, a z drugiej strony zamiast się przyznać do błędu to udają, że nic się nie stało - mówi Łukasz Gibała. 

Po nagłośnieniu sprawy miasto wydało oświadczenie. Można przeczytać w nim, że zaistniała sytuacja to niskie naruszenie bezpieczeństwa, a personalia Krakowian są obecnie doskonale chronione. Władze będą analizować sprawę w celu wyciągnięcia ewentualnych kroków prawnych. Poniżej znajduje się pełne oświadczenie miejskich władz.

Posłuchaj materiału Łukasz Miłoszewskiego:

Zobacz koniecznie:

>>> Niesamowite zdjęcia! Z Krakowa było widać Tatry [GALERIA]

>>> Skandal na meczu. Kibice Hutnika Kraków trzymani... w klatce niczym dzikie zwierzęta [ZDJĘCIA

Do naszej redakcji oświadczenie przesłała firma IDEO. Poniżej jego treść:

Informujemy, że zaistniały na przełomie czerwca i lipca 2018 roku nieautoryzowany dostęp do systemu Karty Krakowskiej, był wynikiem braku włączenia w systemie wszystkich opcji zabezpieczających. Mamy świadomość, że sytuacja taka nie powinna mieć miejsca, dlatego z całą odpowiedzialnością przepraszamy

Niezwłocznie po otrzymaniu informacji na temat zaistniałej sytuacji podjęliśmy działania, które uniemożliwiły dostęp do systemu dla osób niepożądanych. Przeprowadzony przez nas audyt bezpieczeństwa wykazał, że dane osobowe nie zostały fizycznie pobrane z baz. Następstwem zgłoszenia było natychmiastowe zablokowanie dostępu do systemu dla osób niepożądanych. Podnieśliśmy poziomy zabezpieczeń między innymi przez wdrożenie dodatkowych reguł ustawiania haseł. Pozostajemy w stałym kontakcie z Klientem i wspólnie dążymy do całkowitego wyjaśnienia sprawy, również w kontekście ewentualnego dysponowania przez osobę nieupoważnioną jakimikolwiek danymi osobowymi.

Ochrona danych naszych Klientów jest dla nas priorytetem. Na bieżąco realizujemy wymogi wynikające ze zmian prawa, ale i indywidualnych ustaleń z Klientami zarówno pod względem prawnym, jak i bezpieczeństwa. 

Zdajemy sobie sprawę z powagi tej sytuacji, dlatego niezwłocznie po uzyskaniu informacji uruchomione zostały dodatkowe procedury wewnętrzne. Pracownicy przechodzą dodatkowe szkolenia w zakresie zabezpieczenia danych naszych klientów. Aktualizujemy procedury i wprowadzamy bardziej restrykcyjne stosowanie się do nich. W realizowanych przez nas systemach ponownie sprawdziliśmy mechanizmy odpowiadające za bezpieczeństwo kont użytkowników oraz danych przechowywanych w systemach. Rozbudowaliśmy mechanizmy, które wymuszają stosowanie skomplikowanych haseł i okresową ich zmianę. Na życzenie Klienta ograniczamy możliwości logowania do systemów jedynie ze wskazanych adresów IP, by uniemożliwić zewnętrzny dostęp do danego systemu. Włączamy także uwierzytelnianie dwustopniowe 2FA. 

OŚWIADCZENIE WŁADZ MIASTA: Dane mieszkańców w systemie Karty Krakowskiej są bezpieczne

Informujemy, że wszystkie dane, które mieszkańcy udostępniają, składając wniosek o Kartę Krakowską, są odpowiednio zabezpieczone i nie ma żadnego zagrożenia ich wycieku. Dostawcą wszystkich systemów bezpieczeństwa jest firma IDEO sp. z o.o., która jednoznacznie potwierdziła odpowiedni, wysoki poziom ochrony wszystkich danych mieszkańców.

Jedyne zgłoszenie związane z możliwym wyciekiem danych z systemu Karty Krakowskiej Urząd Miasta Krakowa otrzymał 29 czerwca 2018 r. (zgłoszenie dotyczyło zastosowania uproszczonego hasła administratorskiego do serwisu kk.krakow.pl). 2 lipca 2018 roku to zgłoszenie zostało przekazane do MPK SA w Krakowie, które natychmiast skierowało je do dostawcy systemu, firmy IDEO sp. z o.o., zobowiązując ją do podjęcia natychmiastowych działań w celu wyjaśnienia zaistniałej sytuacji.

W wyniku analizy stwierdzono, że hasło nie spełniało wymogów bezpieczeństwa i natychmiast, tj. 2 lipca, zostało zmienione. Stwierdzono także, że w dniach 29 czerwca (godz. 16.28) – 2 lipca (godz. 7.34) nastąpiły udane logowania uproszczonym hasłem do systemu Karty Krakowskiej (do 1 lipca do godz. 00.00, w systemie znajdowały się wyłącznie dane testowe).

Dostawca systemu, firma IDEO sp. z o.o. przeprowadziła natychmiast po zgłoszeniu wewnętrzny audyt, na podstawie którego stwierdziła, że było to niskie naruszenie bezpieczeństwa i uznała, że nie ma potrzeby informowania MPK SA w Krakowie i użytkowników o tym epizodzie.

Zastosowanie uproszczonego hasła administratorskiego do systemu, w połączeniu z informacją od jego dostawcy o możliwych logowaniach do systemu Karta Krakowska, pozwoliła określić wtedy to zdarzenie jako małe zagrożenie dla bezpieczeństwa informacji.

Jednak w związku z opublikowaniem w dniu 12 marca 2019 r. na portalu niebezpiecznik.pl informacji o możliwym wycieku danych z systemu Karty Krakowskiej w dniach 1 i 2 lipca 2018 r., analizowane są kroki prawne w związku z potencjalnym zagrożeniem kradzieży danych.

Oświadczenie pochodzi z oficjalnej miejskiej strony internetowej krakow.pl.

Player otwiera się w nowej karcie przeglądarki