Hlavní navigace

Na webu dopravního systému PID Lítačka bylo možné unášet účty uživatelů

Sdílet

David Slížek

Koncem srpna spuštěný systém PID Lítačka, který v Praze a Středočeském kraji spravuje nákup kupónů na kartu Lítačka, se od začátku potýká s řadou porodních bolestí – uživatelé hlásí, že se nemohou přihlásit, že nemohou zvolit datum, od kterého má kupón platit, nebo že se jim kupóny na kartu nenačítají.

Web služby obsahoval také vážnou bezpečnostní chybu, která útočníkům umožňovala unést účet jakéhokoli uživatele, zjistili vývojář Jakub Bouček a bezpečnostní expert Michal Špaček. Ten popis chyby publikoval koncem minulého týdne na svém blogu.

„Dokázali jsme po registraci aktivovat jakýkoliv účet na Lítačce a unášet odkazy na reset hesel přímo z prohlížečů lidí, kteří si o reset hesel požádali. Tím šlo unést účet jakéhokoliv uživatele Lítačky,“ vysvětluje jádro problému.

Chybu před vydáním článku nahlásil Operátorovi ICT, který aplikaci spravuje. Městská firma zareagovala a chybu opravila. „Na základě jeho podnětu jsme podnikli okamžité kroky ke zlepšení bezpečnosti regionálního dopravně odbavovacího systému. Právě zpětná vazba od expertů je pro nás velice přínosná a pomáhá nám neustále vylepšovat systém,“ říká Vladimír Antonín Bláha. Chybu na webu podle něj nikdo nezneužil.

Podívejte se: jak vypadá a co umí mobilní aplikace PID Lítačka:

Našli jste v článku chybu?
Ochrana proti spamovacím robotům. Odpovězte prosím na následující otázku: Jaký je letos rok?