В безопасности билетной системы столицы имелась дыра, через которую можно было получить доступ к личным данным
В безопасности портала по продаже билетов на общественный транспорт pilet.ee образовалась дыра, через которую можно было выйти на данные пользователей проездной карты.
Если зайти на свое аккаунт на портале pilet.ee, выбрать в меню "мои карточки" ("minu kaardid") ссылку "мои сделки" ("minu tehingud"), то можно увидеть свои действия: например, информацию о покупке билета, личный код и т.д. В начале недели оттуда же можно было выйти на данные других людей. Для этого нужно было всего лишь изменить последнюю цифру на ссылке в окне браузера, пишет Eesti Ekspress.
"Это классическая дыра в безопасности. По-видимому систему сделали через пень-колоду и не провели тестирование безопасности. Написать такую программу, которая смогла бы скачать оттуда все данные, можно было бы всего за несколько минут", - сказал эксперт в области компьютерной безопасности Тыну Самуэль.
Когда газета обратила на дыру в безопасности внимание исполнительного директора Ühendatud Piletite AS Кристьяна Конкса, ее ликвидировали в течение часа.
Конкс счел, что речь не шла о серьезном риске для безопасности. "Имелся доступ к чекам. Там не было никаких личных данных, не было данных о поездках, и их никак нельзя свести с людьми", - сказал он.
Однако доступные данные можно было свести с конкретными людьми. Например, можно было определить, что человек с личным кодом XXX01050254 при помощи мобильного телефона 11 декабря в 18:35 купил 30-дневный проездной билет за 23,19 евро. С помощью простого поиска в Google можно было узнать его полное имя.
Проблемой занимается Инспекция по защите личных данных.
