Nie po to ustanawia się hasła i inne zabezpieczenia, by mógł je odgadnąć każdy przypadkowy internauta. W przypadku Kolei Mazowieckich, jak się o tym przekonał czytelnik serwisu niebezpiecznik.pl, wystarczyło podać najpopularniejsze dane logowania, by uzyskać dostęp do całości serwisu, w tym do szczegółowych danych osobowych 4 tys. klientów.
REKLAMA
Wystarczyło podać login admin i hasło admin. Mógł to zrobić dla czystej zabawy ktokolwiek. Dzięki temu osoba, która poinformowała media o całej sprawie uzyskała takie informacje jak imiona i nazwiska osób, które sobie wyrobiły kartę Kolei Mazowieckich wraz z ich zdjęciem, ich numer PESEL oraz dokładny adres zamieszkania. Podane były także dzień i miejsce, w którym dana osoba odebrała kartę, a także numer tejże.
'/%3e%3cpath%20class='cls-2'%20d='M212.89,56.37v51.7h-19V56.37H173.83v-16h59.11v16H212.89Z'%20transform='translate(0%200)'/%3e%3c/svg%3e)
Oczywiście użytkownik, który w tak łatwy sposób "zhakował" serwis, gdyby chciał, mógłby wykorzystać te dane do jakiejś manipulacji i napisać mail do właścicieli kart, jako że adresy ich skrzynek pocztowych były również podane. Dodatkowo mógł przeczytać wszystkie reklamacje złożone przez podróżnych. O całej sytuacji zostały powiadomione Koleje Mazowieckie, które dość niezręcznie tłumaczyły się, że chodzi o program pilotażowy, skierowany do ograniczonej liczby osób ("zaledwie" 5 tys.). W tej chwili dane admin/admin nie dają już dostępu do panelu administracyjnego. Ciekawe czy przedsiębiorstwo wyciągnie jakieś wnioski na przyszłość.
źródło: Niebezpiecznik.
Napisz do autora: manuel.langer@natemat.pl
Nie przegap żadnej ważnej wiadomości i obserwuj nas w Google News!