WYCIEKU DANYCH OSOBOWYCH KLIENTÓW ZTM NIE BYŁO, BŁĄD ZOSTAŁ NAPRAWIONY
W związku z publikacją na portalu „Zaufana Trzecia Strona”, dotyczącej możliwości wycieku danych z bazy użytkowników kart miejskich (konkretnie dotyczyło to osób składających wnioski o wydanie Karty Miejskiej online), Zarząd Transportu Miejskiego oświadcza, co następuje:
1. Otrzymaliśmy informację od portalu „Zaufana Trzecia Strona” odnośnie podatności SQL injection na stronie internetowej ZTM. Dla osoby znającej się na bazach danych sytuacja ta stwarzała możliwość skonstruowania odpowiedniego zapytania SQL-owego, a w efekcie dostępu do bazy danych wniosków o wydanie karty miejskiej ZTM w Gdańsku, złożonych online.
2. Natychmiast zweryfikowaliśmy informację i w porozumieniu z firmą hostingującą naszą stronę internetową, w czasie 1,5 h od zgłoszenia usunęliśmy błąd. Firma hostingująca analizuje obecnie kwestię ewentualnych modyfikacji aktualnych zabezpieczeń. Przeprowadziliśmy wewnętrzny audyt, potwierdzający szczelność systemu. Ponadto wysłaliśmy zgłoszenie do Urzędu Ochrony Danych Osobowych.
3. Na podstawie danych otrzymanych od firmy hostingującej naszą stronę internetową włącznie z formularzem online o wydanie Karty Miejskiej informujemy, że w wyniku przeprowadzonych badań nie stwierdzono wycieku danych, czy też ich usunięcia. Za pośrednictwem wykrytej podatności nie istniała również możliwość pobrania zdjęć załączanych przez pasażerów. Reasumując: dane są bezpieczne, a firma hostingująca stronę, formularz oraz bazę danych wniosków online o wydanie karty Miejskiej ZTM stosuje zabezpieczenia uniemożliwiające nieautoryzowane wejścia do bazy.
4. Wszystkich wniosków online bazie danych jest 101,230. Wszystkie dane podlegają tym samym zasadom funkcjonowania aplikacji. Żadna grupa rekordów nie jest poddana odmiennym zabezpieczeniom.
Przepraszamy za zaistniałą sytuację. Zapewniamy Państwa, że Wasze dane są odpowiednio zabezpieczone. Ich bezpieczeństwo jest dla nas, jak i firmy hostingującej te dane, najwyższym priorytetem. Stosowane przez firmę hostingującą zabezpieczenia oraz protokoły bezpieczeństwa gwarantują pełną ochronę przechowywanych oraz przetwarzanych danych.