Jak informuje serwis niebezpiecznik.pl wystarczyło wpisać login „admin” i hasło „admin123” by dostać się do zawierającego dane mieszkańców serwisu Karty Krakowskiej. Magistrat uspokaja: dane są bezpieczne i nie ma zagrożenia wyciekiem.
Portal podał, że w ubiegłym roku zgłosił się do niego jeden z czytelników, który bez trudu uzyskał dostęp do serwisu, w którym zestawione były dane posiadaczy Karty Krakowskiej, w tym adresy i numery PESEL. Redaktorzy Niebezpiecznik.pl postanowili zweryfikować informację i na własną rękę sprawdzić czy taka luka w systemie rzeczywiście istnieje. Ku ich zaskoczeniu wystarczyła banalna kombinacja loginu i hasła, by uzyskać pełny dostęp do danych wrażliwych krakowian.
Magistrat uspokaja
Urząd Miasta Krakowa wydał w tej sprawie oświadczenie, w którym zapewnia, że dane w serwisie Karty Krakowskiej są właściwie zabezpieczone i nie ma ryzyka ich wycieku.
„Informujemy, że wszystkie dane, które mieszkańcy udostępniają, składając wniosek o Kartę Krakowską, są odpowiednio zabezpieczone i nie ma żadnego zagrożenia ich wycieku. Dostawcą wszystkich systemów bezpieczeństwa jest firma IDEO sp. z o.o., która jednoznacznie potwierdziła odpowiedni, wysoki poziom ochrony wszystkich danych mieszkańców” – czytamy w opublikowanym na stronie krakow.pl i facebookowym profilu MPK, nadzorującego system.
Urzędnicy przekonują, że zgłoszenie o możliwym wycieku danych z systemu Karty Krakowskiej Urząd Miasta Krakowa otrzymał 29 czerwca 2018 i dotyczyło zastosowania uproszczonego hasła administratorskiego do serwisu Karty Krakowskiej.
„2 lipca 2018 roku to zgłoszenie zostało przekazane do MPK SA w Krakowie, które natychmiast skierowało je do dostawcy systemu, firmy IDEO sp. z o.o., zobowiązując ją do podjęcia natychmiastowych działań w celu wyjaśnienia zaistniałej sytuacji” – podaje magistrat.
Urząd informuje, że analiza wykazała, że hasło nie spełniało wymogów bezpieczeństwa i zostało niezwłocznie – już 2 lipca zmienione. Zapewnia, że w czasie udanych prób logowania do serwisu Karty Krakowskiej za pomocą uproszczonego loginu i hasła, w bazie danych znajdowały się jedynie dane testowe.
Niskie naruszenie?
Wspomniana wyżej firma IDEO na podstawie wewnętrznego audytu stwierdziła, że miało miejsce „niskie naruszenie bezpieczeństwa”, stąd nie było podstaw do informowania użytkowników o tym „epizodzie”.
Radny interpeluje
Głos w tej bulwersującej sprawie zabrał szef klubu radnych Kraków dla Mieszkańców Łukasz Gibała, który stwierdza, że jeśli informacje o ryzyku wycieku się potwierdzą, będzie to oznaczało niebywały skandal. Złożył też w tej sprawie interpelację do prezydenta, w której pyta ilu mieszkańców mógł dotyczyć wyciek i czy wobec odpowiedzialnych za zaistniałą sytuację zostaną wyciągnięte konsekwencje.
KRA
