Bezpieczeństwo

Nasze dane wyciekają tak masowo, że już nawet parkowanie samochodu nie jest bezpieczne

PW
Paweł Winiarski
2

Czy Wasze dane kiedyś wyciekły? Nawet jeśli o tym nie wiecie, to najprawdopodobniej tak. Jak nie z internetowego sklepu, to serwisu społecznościowego, platformy do grania albo państwowej instytucji. Ale okazuje się, że nawet parkowanie auta może prowadzić do takiego wycieku.

Możecie odetchnąć z ulgą, bo ten konkretny wyciek dotyczy miasta Calgary w Kandadzie, ale skoro tam wyciekło, to co niby miałoby stać na przeszkodzie, żeby wyciekło i u nas. Lokalne władze doniosły właśnie, że doszło do naruszenia bezpieczeństwa baz danych powiązanych z płatnymi strefami parkowania pojazdów. A mają tam to całkiem nieźle zrobione, za parking można bowiem płacić w kiosku parkingowym, online lub za pośrednictwem aplikacji - wprowadza się wtedy numer rejestracyjny pojazdu i szczegóły dotyczące samej płatności.

Wycieku by nie było, gdyby ktoś ustawił hasło na serwerze

I teraz uwaga, bo to jest naprawdę mocne. Istniał serwer monitorujący system parkingowy urzędu pod kątem błędów. Był podłączony do internetu, tyle tylko...że bez hasła. Zawierał natomiast logi techniczne, w których można było znaleźć bilety parkingowe i płatności, które zawierały dane osobowe kierowców. Serwis TechCrunch przejrzał wspomniane logi i znalazł tam pełne imiona oraz nazwiska kierowców, daty urodzenia, numery telefonów, adresy e-mail, adresy pocztowe, a także szczegóły mandatów parkingowych i wykroczeń parkingowych, w tym tablice rejestracyjne i opisy pojazdów. Jakby tego było mało, często nawet z lokalizacją konkretnego wykroczenia parkingowego. Logi zawierały również częściowe numery płatności kartą i daty ich ważności. Komplecik, nie ma co. Żadne ze wspomnianych danych nie zostały zaszyfrowane. Serwer został zabezpieczony dopiero po tym, jak TechCrunch skontaktował się z władzami. Rzecznik urzędu twierdzi, że serwer oferował dostęp do danych od 13 maja, ale analiza serwisu TechCrunch wskazuje, że można tam było znaleźć dane sięgające przynajmniej początku 2021 roku.

Nie wiadomo jak wiele osób dostało się do wspomnianych logów, ale baza była dość obszerna, bo w samym tylko 2019 roku Calgary Parking Authority wydało ponad 450 tysięcy mandatów parkingowych. Osoby odpowiedzialne za system przeprosiły klientów, ale wiecie jak to jest z takimi przeprosinami - raczej niewiele pomogą kiedy taki zestaw danych hula po sieci.

Niezabezpieczony serwer podpięty do sieci z niezaszyfrowanymi danymi brzmi wręcz absurdalnie i pewnie klienci przecierają oczy ze zdziwienia, że coś takiego było w ogóle możliwe w przypadku tak dużego systemu w dużym mieście. Nie jest to oczywiście pierwszy tego typu przypadek, ale powód przez który wyciekły dane wręcz zadziwia. W tym roku wyciek zaliczył też parkingowy startup ParkMobile z Nowego Jorku. Wyciekły wtedy dane aż 21 milionów klientów, w tym informacje osobiste jak również numer tablic rejestracyjnych. Firma obwiniła za naruszenie lukę we fragmencie oprogramowania innej firmy.

Niestety - im więcej systemów agregujących dane użytkowników, tym większe szanse na wyciek. Na początku lipca internet obiegła informacja o tym, że w sieci pojawiły się dane z systemu warszawskiego ratusza. Dotyczyły nieruchomości oraz ich właścicieli i nie ukrywam, że nie była to specjalnie miła informacja z rana. Jak więc widzicie, niezależnie od tego jak mocno chronimy swoje dane, czego byśmy nie robili, prędzej czy później i tak gdzieś wyciekną w innym miejscu. W sklepie internetowym, urzędzie miasta, firmie wypożyczającej auta na godziny - nie ma zasady. Ale i tak najgorsze jest to, że oficjalny komunikat to zawsze przeprosiny i ewentualnie prosta rada co robić dalej. Bo ofiara takiego wycieku musi już radzić sobie sama, a w razie na przykład wzięcia pożyczki na jej dane, udowadniać, że to efekt takiego właśnie wycieku danych.

grafika: 1, 2

źródło

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy: