Bezpieczeństwo Toruńskiego Roweru Miejskiego to żart -

© Waldemar Kowalewski

Strona Toruńskiego Roweru Miejskiego

Wpis przeznaczony dla torunian oraz ewentualnie wielbicieli historii różnych fuszerek  – ku przestrodze lub dla krotochwili.

W Toruniu z hukiem ruszył-nie ruszył projekt Toruński Rower Miejski, czyli bezobsługowa wypożyczalnia rowerów. Świetny pomysł! Niestety, pierwsze wątpliwości pojawiły się, gdy Urząd Miasta objawił miastu logo, przywodzące na myśl ormowca, któremu ktoś wbił koło w plecy. Nie będę pastwił się jednak nad niedoróbkami estetycznymi i innymi, bo tym zajmują się inni blogerzy i publicyści. Ja napiszę coś o bezpieczeństwie Waszych danych w bazie danych wykonawcy systemu, którym jest WIMSystem Warżała i Mac sp. j.

Niestety dopiero wczoraj napisałem jak wystrzegać się partaczy, więc toruńscy włodarze nie mieli możliwości zastosowania tych rad w praktyce wcześniej 😉 Wielka szkoda, bo poziom partactwa w przypadku prościutkiej i jednocześnie dość ohydnej strony www.trm24.pl jest wysoki. Spójrzcie np tu i spróbujcie kliknąć na „Strona startowa” z lewej strony u góry. Ekhm, czy to powinno tam być? Ciekawe ile miasto zapłaciło za tę fuszerkę.

Bezpieczeństwo danych osobowych

Na stronie nie mogę znaleźć absolutnie żadnych informacji wymaganych przez ustawę o ochronie danych osobowych. Kto zbiera dane? Jak je przetwarza? Jak je chroni? Pal licho eleganckie standardy zamieszczania ładnych polityk prywatności,  przecież ta strona nie spełnia nawet wymogów ustawowych! Domyślać się można, że administratorem danych jest „WiMSystem s.j.” Biorąc pod uwagę to oraz język, jakim napisano regulamin podejrzewam, że spółka ta ma problemy z obsługą prawną, bo nie potrafi nawet poprawnie podać swojej nazwy (w firmie spółki jawnej musi być nazwisko co najmniej jednego wspólnika, a skrót to sp. j. a nie s. j.)

Tak czy inaczej, Jeśli chcecie podać swoje dane anonimowemu administratorowi, który nie informuje Was w jakim celu je zbiera i komu je przekazuje, to oczywiście nie ma przeszkód. Przeszkodą natomiast powinny być technologie wykorzystane na stronie. A raczej ich brak.

Po pierwsze, brak jakiegokolwiek szyfrowania danych wysłanych poprzez formularz rejestracyjny, formularz logowania czy cokolwiek na stronie. Żadne tam SSL, po prostu goły, niezaszyfrowany tekst – Wasze dane, login i hasło – lecą sobie po łączach. Jest to poniżej jakiegokolwiek standardu bezpieczeństwa w sieci.

Po drugie, wygląda na to, że baza SQL loginów i haseł-PINów również jest niezaszyfrowana. Widać to po mailu, w którym je dostajesz (też z resztą niezaszyfrowanym tekstem, w dodatku, jak to mówią informatycy nawet „w uszach”, czyli jest to na 90% chamski select z niezaszyfrowanej bazy niehashowanych haseł i PINów). Samo wysyłanie haseł otwartym tekstem jest praktyką absolutnie niedopuszczalną i wrażliwą na atak.

W tym momencie wiele wskazuje na to, że loginy, piny i historia transakcji są przechowywane w sposób, którego na pewno byście sobie nie życzyli. Jeśli mi nie wierzycie, to spytajcie jakiegoś informatyka o to, jakie to może mieć konsekwencje.

Co to oznacza?

Jeśli doładujesz swoje konto w Toruńskim Rowerze Miejskim masz dużą szansę, że ktoś w prosty sposób rąbnie z bazy Twoje ID i PIN i będzie sobie jeździł za darmo na Twój koszt. W gorszej wersji rzuci parę rowerów na naczepę i sprzeda gdzieś na wsi na Podlasiu. Jeśli chcesz korzystać z TRM lepiej zacznij rejestrować swój plan dnia, żeby w razie czego móc wykazać, że to nie Ty 😉 A tak serio, ja bym z tego ustrojstwa w ogóle nie korzystał zanim tego nie naprawią, ponieważ strona trm24.pl to żart. Wysłane już zostały maile do TRMu z pytaniem o wyjaśnienie tych bardzo poważnych wątpliwości. Jak odpowiedzą, to zobaczymy, jak to w istocie jest. Ja do czasu wyjaśnienia tego na pewno się tam nie zarejestruję.

Update wpisu 23.04.2014 r. g. 15:34

Widzę, że wciąż mam masę wejść na ten wpis, więc dopiszę, że WiM Systems skontaktowali się z kolegą, który napisał do nich długiego, technicznego maila z tym, co powinni zmienić. Informatyk firmy telefonicznie poinformował go, że będą nad tym pracować. Już pojawiło się https – małe, a cieszy oraz odłączone zostało logowanie z nieszyfrowanej strony Roweres.com Kiedy na stronie nastąpią jakieś znaczące zmiany, to przyjdzie czas na rewizję wyrażonej wyżej opinii. Na razie olbrzymim problemem wciąż pozostają niehashowane piny, źle zrobiony formularz i najprawdopodobniej baza danych otwartym tekstem. Tym niemniej jestem pozytywnie zaskoczony tym, że w ogóle odpowiedzieli – oby starczyło im chęci i umiejętności, żeby to doprowadzić do końca. Przy okazji, jesli przypadkiem czyta to ktoś z WiM, to : Halo, proszę państwa, flagi z linkami do Google Translate to nie jest spełnienie warunków przetargu o wersjach językowych strony!!!!!!

Update wpisu 24.04. g. 10:32

Zapraszam do przeczytania mojego komentarza w dzisiejszym wydaniu Gazety Pomorskiej.