e-TOLL dopiero wszedł na rynek, a już powinęła mu się noga. Można było z jego systemu pobrać dane użytkowników, w tym PESEL. Winne okazało się znów… słabo zabezpieczone API.

Niedawno podobną wpadkę zaliczył operator komórkowy PLUS. Ten przez dostęp do niezabezpieczonego API. Okazuje się, że problem z systemem e-TOLL był bardzo podobny – otóż API nie posiadało odpowiednich zabezpieczeń jeśli chodzi o uwierzytelnianie użytkownika.

e-TOLL dopiero wszedł na rynek, a już powinęła mu się noga. Można było z jego systemu pobrać dane użytkowników, w tym PESEL. Winne okazało się znów… słabo zabezpieczone API.

W efekcie, jeśli z zapytania usunęło się jeden parametr: beneficiaryID, po którym identyfikowany był aktualny użytkownik, można było więc zobaczyć… Obiekty z danymi, które zawierały poważne informacje pokroju… Imię i nazwisko, adres e-mail, numer telefonu, pesel czy NIP i saldo konta, a także historia wpłat i wypłat.

Tymczasem, co ciekawe, o sprawie pisze sam Niebezpiecznik, który zgłosił sprawę do Ministerstwa Finansów. Zobaczcie, co na zgłoszenie sami zainteresowani.

Czytaj też: UWAGA na oszustwo ING – bank prosi Cię o numer telefonu?

Dziura w e-TOLL. Sprawdź, czy wyciekły Twoje dane!

Dziękujemy za przekazaną informację. Bezpieczeństwo teleinformatyczne systemów Ministerstwa Finansów traktujemy priorytetowo.

System e-TOLL był audytowany pod kątem bezpieczeństwa przez podmiot zewnętrzny. Prace rozwojowe są realizowane punktowo, w II połowie października zostały zaplanowane kolejne zewnętrzne testy bezpieczeństwa, które mają zweryfikować aktualny stan bezpieczeństwa systemu. Obecnie prace skoncentrowane są nad usunięciem podatności, która mogła powstać 7.10.2021 w trakcie prac rozwojowych, m.in. związanych z uruchomieniem formularza zgłoszeniowego na stronie WWW (regresja).

Obecnie podatność związana obsługą ticketów została usunięta. MF dokonało analizy skutków wystąpienia tej podatności pod kątem naruszenia praw i wolności osób, których dane potencjalnie mogły być ujawnione. Na podstawie wyników tej analizy podjęto decyzję o zgłoszeniu naruszenia do Prezesa Urzędu Ochrony Danych Osobowych, zgodnie z przepisami art. 33 Rozporządzenia PE i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Jednocześnie informujemy, że 15.10.2021 niezwłocznie, podjęliśmy analizę mającą na celu potwierdzenie istnienia zgłoszonej podatności dotyczącej nieautoryzowanego dostępu do ticketów.

Po przeanalizowaniu skutków biznesowych podjęliśmy decyzję o wyłączeniu tej usługi. Użytkownik może nadal wykonywać zgłoszenia, otrzymuje informację (powiadomienie mailowe) o jego przekazaniu, natomiast na jego koncie po zalogowaniu nie są widoczne na chwilę obecną wykonane przez niego zgłoszenia. W efekcie wyłączenia usługi nie jest więc możliwe dalsze wykorzystywanie tej podatności. Zostały podjęte działania analityczne i developerskie, aby zabezpieczyć przed nieautoryzowanymi wywołaniami.(…)

Czy Twoje dane wyciekły?

Aplikacja chce ciagly dostep do lokalizacji, autostartu, informacji o aplikacjach i dostep do schowka. Po co jej to? Do zalozenia konta wymagane sa wszystkie dane – nr dowodu, pesel, adres, nr telefonu, e mail, vin pojazdu itd. Po co az tyle danych?

Aplikacja przez caly czas dzialania pobiera dane o lokalizacji. Po co? Czy pobiera i zapisuje dane o predkosci? Do obslugi aplikacji potrzebna jest jeszcze jedna osoba, szczegolnie przy pierwszym uruchomieniu, gdy trzeba nadac wszystko uprawnienia. Obsluga jest bez sensu, aplikacja chce aby wlaczyc i zakonczyc podroz podczas wjazdu na autostrade. W moim przypadku wygladalo to tak, ze pobralem bilet przy wjezdzie na A4, zona w tym czasie wlaczala aplikacje, ktora nie ottworzyla nam bramki. Potem w czasie jazdy autostrada aplikacja zaczela dzialac. Byl olbrzymi korek na zjezdzie na Bielany. Pojechalem pasem dla e-toll ktory byl pusty. Przed bramka stalem okolo 2 minuty, juz chcialem wycofywac gdy nagle bramka sie otworzyla i moglem przejechac. Ostatecznie aplikacja sciagnela poprawna kwote z konta. Niemniej jestem niezadowolony z jej dzialania.

Czytaj też: UWAGA: nawet najwięksi mają wpadki… Plus zdradził dane klientów

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *