(akt.) Strona LOT-u dziurawa jak szwajcarski ser

26-07-2010, 18:53
Listy Czytelników

O poważnej luce bezpieczeństwa w systemie rezerwacji Polskich Linii Lotniczych LOT poinformował dziś redakcję Dziennika Internautów jeden z Czytelników. W aktualizacji podajemy oficjalne stanowisko LOT-u w tej sprawie.

Na swoim blogu we wpisie pt. „Panie pilocie! Dziura w samolocie!” Rafał Krawczyk wyjaśnia:

Na wstępie zaznaczę, że jeśli zarezerwowaliście bilet w LOT, to możecie mieć problem. A jaki? Specjalistą od zabezpieczeń nie jestem, ale jeśli prawie wszystkimi parametrami zapytania możemy sterować poprzez modyfikację adresu URL (sic!) i dodatkowo możemy sprawdzić, kto, kiedy, gdzie poleci, to skala i powaga problemu rośnie.

Do jakich danych mamy dostęp?

Niewykluczone, że dzięki temu, że wszelkie parametry o rezerwacji są przekazywane przez ciąg w adresie URL, może się okazać, że zakres niezabezpieczonych danych jest znacznie większy niż ten, który za chwilę wymienię. Przede wszystkim, wiemy, kto, kiedy, skąd, dokąd będzie lecieć. Mamy dostęp do takich danych, jak nr lotu, nr rezerwacji, nr biletu elektronicznego, a także seria i nr karty stałego pasażera linii lotniczych. Dzięki wadliwie działającej aplikacji poznamy także numery telefonów i adresy e-mail pasażerów.

Co możemy zrobić, mając dostęp do danych?

Możemy zmienić parametry takie, jak nr miejsca pasażera, zaznaczyć w formularzu usługi dodatkowo płatne albo zrobić psikusa w postaci zamówienia dodatkowej asysty dla pasażera, wybierając opcje typu „osoba niewidoma”/„osoba niesłysząca” z lub bez psa przewodnika i „pasażer niepełnosprawny” z wózkiem inwalidzkim. Możemy zmienić dane w postaci numeru telefonu, adresu e-mail. Możemy także wydrukować e-bilet i przy odrobinie szczęścia polecieć za kogoś.

 

Więcej szczegółów, w tym także zrzuty ekranu obrazujące wykorzystanie luki można znaleźć na blogu ja.rafi.pl. Luka została wykryta w piątek, 23 lipca, wieczorem. Rafał Krawczyk kontaktował się już w tej sprawie z biurem prasowym Polskich Linii Lotniczych LOT. Nie otrzymał jeszcze odpowiedzi na swoje pytania.

Dziennik Internautów skierował do LOT-u prośbę o skomentowanie zaistniałej sytuacji, a zwłaszcza o podanie terminu załatania omawianej luki. Wysłaliśmy też stosowne zapytanie do GIODO, z art. 36 ustawy o ochronie danych osobowych wynika bowiem, że

Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Aktualizacja I

Jacek Balcer, rzecznik prasowy Polskich Linii Lotniczych LOT, przysłał dziś do redakcji następujące wyjaśnienie:

Wszystko wskazuje na to, że mieliśmy do czynienia z incydentalnym błędem systemu, który objawił się tylko jednemu użytkownikowi i to w bardzo szczególnej sytuacji. Na szczęście z żadnego innego źródła nie trafiła do nas podobna informacja. Ani współpracujący z nami Amadeus, ani Comarch nie są w stanie tego błędu odtworzyć. Wszystko wskazuje na to, że usterka więcej się już nie pojawi.

Obecnie nadal kontynuujemy jednak intensywne analizy, uwzględniając nawet osobisty kontakt z osobą, która doszukała się usterki. Błąd na szczęście nie powtórzył się już również u niej.

Z pełną odpowiedzialnością zapewniamy, że w żadnym wypadku nie można całego zajścia określić „dziurą” czy luką w systemie - jest on szczelny i bezpieczny, pasażerowie mogą z niego korzystać bez obaw.

Aktualizacja II

Jak poinformowała Małgorzata Kałużyńska-Jasak z Biura Generalnego Inspektora Ochrony Danych Osobowych, jednoznaczne stwierdzenie, czy w procesie rejestracji biletów podróżnych na stronie lot.pl doszło do uchybień, będzie możliwe dopiero po przeanalizowaniu przez GIODO zgłoszonej sprawy. Wobec powyższego w najbliższych dniach GIODO wystąpi do LOT-u z prośbą o wyjaśnienie przedstawionych wątpliwości dotyczących procesu przetwarzania danych pasażerów na stronie lot.pl.


Źródło: DI24.pl
UWAGA: UWAGA: Wybrane listy, przesłane do redakcji Dziennika Internautów, publikujemy, by umożliwić ich autorom dotarcie do szerszego grona odbiorców. Czytelnicy mogą podzielać zawarte w nich poglądy lub mieć odmienne zdanie - zachęcamy do wyrażania swoich opinii w komentarzach. Treści publikowanych listów mogą zawierać prywatne poglądy internautów, które nie odzwierciedlają poglądów redakcji DI. Listy prosimy kierować na adres: listy@di.com.pl
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy