Sprawa wyszła na jaw po publikacji portalu Niebezpiecznik.pl. Do specjalistów zajmujących się bezpieczeństwem w sieci w czerwcu zeszłego roku napisał jeden z czytelników. Stwierdził, że zna login i hasło do panelu administracyjnego systemu Krakowskiej Karty. Okazało się, że było ono banalnie proste – użytkownik: admin, hasło: admin123. Redaktorzy portalu postanowili sprawdzić, czy to prawda. Zalogowali się i mieli dostęp do wszystkich danych osób, które złożyły wnioski.
O sprawie pisaliśmy szerzej TUTAJ. Najpierw swój komunikat wydało MPK, a później firma IDEO, która zajmuje się administracją systemu Karty Krakowskiej przysłała oświadczenie, w którym przeprasza za zaistniałą sytuację i zapewnia, że po uzyskaniu informacji o nieautoryzowanym logowaniu podjęła odpowiednie kroki, by chronić bezpieczeństwo danych.
Dwa lipcowe dni
Na tym sprawa się jednak nie zakończy. Urząd miasta zapowiedział, że jeszcze w tym tygodniu zgłosi naruszenie bezpieczeństwa danych osobowych części mieszkańców Krakowa do Urzędu Ochrony Danych Osobowych.
– Liczba osób narażonych na możliwość kradzieży danych jest w trakcie weryfikacji i obejmuje tylko dwa dni 1 i 2 lipca 2018 roku. W dniu 2 lipca 2018 roku hasło zostało zmienione, a samo konto zablokowane. Zostało wprowadzone ograniczone logowanie do panelu administracyjnego do wybranych adresacji IP. Po tej dacie nie odnotowano nieautoryzowanego dostępu – czytamy w komunikacie miasta.
UODO i prokuratura
Firma IDEO zapewniła, że będzie wspierać urząd miasta i MPK w zebraniu informacji o tym incydencie dla UODO i tych użytkowników karty, co do których potwierdzi się wystąpienie ujawnienia danych.
Adres IP, z którego mogło dojść do logowania, został ustalony. – Ustalono również, iż nie było to przypadkowe logowanie, a próba podjęta kilka razy, wskazująca na działanie umyślne – informuje Magistrat.
Dlatego też urząd wniesie sprawę nieautoryzowanego dostępu do danych użytkowników Karty Krakowskiej do prokuratury. – Analizowana jest również kwestia podjęcia kroków prawnych wobec dostawcy systemu Karty Krakowskiej – czytamy w komunikacie.