Hlavní navigace

Na webu dopravního systému PID Lítačka bylo možné unášet účty uživatelů

17. 9. 2018

Sdílet

Lítačka - Praha

Koncem srpna spuštěný systém PID Lítačka, který v Praze a Středočeském kraji spravuje nákup kupónů na kartu Lítačka, se od začátku potýká s řadou porodních bolestí – uživatelé hlásí, že se nemohou přihlásit, že nemohou zvolit datum, od kterého má kupón platit, nebo že se jim kupóny na kartu nenačítají.

Web služby obsahoval také vážnou bezpečnostní chybu, která útočníkům umožňovala unést účet jakéhokoli uživatele, zjistili vývojář Jakub Bouček a bezpečnostní expert Michal Špaček. Ten popis chyby publikoval koncem minulého týdne na svém blogu.

„Dokázali jsme po registraci aktivovat jakýkoliv účet na Lítačce a unášet odkazy na reset hesel přímo z prohlížečů lidí, kteří si o reset hesel požádali. Tím šlo unést účet jakéhokoliv uživatele Lítačky,“ vysvětluje jádro problému.

Chybu před vydáním článku nahlásil Operátorovi ICT, který aplikaci spravuje. Městská firma zareagovala a chybu opravila. „Na základě jeho podnětu jsme podnikli okamžité kroky ke zlepšení bezpečnosti regionálního dopravně odbavovacího systému. Právě zpětná vazba od expertů je pro nás velice přínosná a pomáhá nám neustále vylepšovat systém,“ říká Vladimír Antonín Bláha. Chybu na webu podle něj nikdo nezneužil.

Podívejte se: jak vypadá a co umí mobilní aplikace PID Lítačka:

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.

Byl pro vás článek přínosný?

Autor aktuality

Šéfredaktor Lupa.cz a externí spolupracovník Českého rozhlasu Plus. Dříve editor IHNED.cz, předtím Aktuálně.cz a Českého rozhlasu. Najdete mě na Twitteru nebo na LinkedIn

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).