Hlavní navigace

E-shop na dálniční známky měl bezpečnostní problémy, unikly osobní údaje [AKTUALIZOVÁNO]

Sdílet

Jan Sedlák

Přes víkend naprogramovaný e-shop na elektronické dálniční známky, který na hackathonu vytvořili dobrovolníci, má bezpečnostní nedostatky. Kvůli nim se lze dostat k osobním údajům lidí, kteří si testovací známky za symbolické ceny zakoupili. Přečíst lze SPZ vozů, e-maily a telefonní čísla. Správcem osobních údajů je společnost Actum, která hackathon pořádala.

Na problémy upozornil například Ondřej Bárta. „API vystavené na http only! Jakákoliv absence validace zadaných hodnot na serverové části, po proklikání API zjištěno, že valná většina metod není implementovaná,“ uvádí Barta a přikládá k tomu obrazové přílohy. JSON se získanými daty byl chvilku k dispozici, odkaz ale později smazal. Náhled je k dispozici zde.

AKTUALIZACE 27. 1. 23:00: „Existenci problému potvrzuji. Krátkou dobu po spuštění existovala možnost dostat se k datům využitím části jednoho front-endu v druhém front-endu. Dejte nám prosím trochu času to dořešit,“ napsal k chybě Jan Havel z firmy Actum.

„Moc všechny prosím o fér hodnocení situace. Bavíme se tu o lidech, kteří dvě noci nespali, aby ukázali, že jim záleží na používání našich společných peněz. Ti samí lidé do tří ráno jeden druhého budili, aby kontrolovali, že data jsou již v bezpečí,“ dodal.

AKTUALIZACE 28. 1. 10:02: K incidentu se v diskusi pod touto zprávou vyjádřil také šéf firmy Actum Tomáš Vondráček. Chyba už podle něj byla opravena: 

Ano, v neděli ve 20:57 došlo k úniku dat. Chyba vznikla přibližně tak, jak to popisujete. Je to důsledek toho, že jsem dal vývojářům málo času a velké cíle. Kdyby dostali alespoň o hodinu víc, nestalo by se to. Měli jsme pentesty, ale prostě to někdo v tom stresu vypustil z hlavy, protože se snažili to rozchodit v době, kdy už tam stály všechny televize a noviny a já prezentoval, ačkoliv jsme v té době byli dole a všichni se snažili to dotáhnout. Nemůžu se zlobit na nikoho, maximálně na sebe. Fixnuli jsme to ve 22.03. Teď řešíme, kolik z toho, co se dostalo ven, jsou test data, kolik jen smyšlená data, a kolik skutečná. Následně uděláme rozhodnutí o dalším postupu. Naštěstí chtěl dotyčný spíš upozornit na chybu, než ukrást data, takže škoda není zas tak velká. Dám vědět finále, ale vypadá to na 2–3 stovky reálných dat. Všechny postižené budu kontaktovat.“

Našli jste v článku chybu?
Ochrana proti spamovacím robotům. Odpovězte prosím na následující otázku: Jaký je letos rok?