Atak hakerski w MOSiR

44
30.11.2020
Atak hakerski w MOSiR
(fot. Anna Dembińska, archiwum portEl.pl)
System rezerwacji biletów Miejskiego Ośrodka Sportu i Rekreacji w Elblągu został zaatakowany przez hakera. Instytucja ostrzegła wszystkich użytkowników systemu o możliwym wycieku ich danych. Sprawa dotyczy ponad dwóch tysięcy osób.

„W dniu 27.11.2020 otrzymaliśmy informację o naruszeniu poufności Państwa danych osobowych. Pani/Pana dane w zakresie: adres e-mail oraz zaszyfrowane hasło (w formacie MD5) do systemu rezerwacji zostały przejęte na skutek ataku hakerskiego na System Rezerwacji Biletów HSW. W systemie rezerwacji biletów przetwarzaliśmy także Państwa Imię i Nazwisko oraz numer telefonu. Na chwilę obecną nie mamy żadnego potwierdzenia, że te dane również wyciekły” - tak zaczyna się mail, który trafił w niedzielę do wszystkich osób, które kiedykolwiek korzystały z systemu rezerwacji biletów na imprezy w Hali Sportowo-Widowiskowej, administrowanej przez Miejski Ośrodek Sportu i Rekreacji.

- To pierwszy taki przypadek w MOSiR. Informację o ataku otrzymaliśmy od zespołu reagowania na incydenty naruszenia bezpieczeństwa informatycznego CERT Polska. Adres strony hsw.elblag.pl został umieszczony na stronie Cit0day, która sprzedawała dostępy do loginów i haseł wykradzionych z systemów informatycznych. Strona HSW jest jedną z ponad 23000 witryn, z których zostały wykradzione dane logowania i adresy e-mail. Prowadzone cyklicznie analizy logów systemowych nie wykazały nigdy żadnej możliwości utraty poufności przez system rezerwacji – wyjaśnia Miejski Ośrodek Sportu i Rekreacji w odpowiedzi na nasze pytania. - Nigdy nie wykryto nieautoryzowanych prób logowania na konta administracyjne systemu. Pliki źródłowe systemu były szyfrowane, nigdy nie wykryto jakiejkolwiek próby ich modyfikacji. Oprogramowanie na serwerze utrzymującym system rezerwacji było na bieżąco aktualizowane. Najbardziej prawdopodobnym był atak typu SQL Injection. Analiza bieżących logów systemowych nie wykazała żadnych anomalii w funkcjonowaniu systemu rezerwacji.

Miejski Ośrodek Sportu i Rekreacji korzysta z systemu rezerwacji wyprodukowanego przez jedną z firm. Trwają ustalenia, jak doszło do ataku i jak zabezpieczyć system przed podobnymi atakami w przyszłości.

- W wyniku tych rozmów zdecydowaliśmy się wyłączyć system rezerwacji w celu zabezpieczenia Państwa danych przed ewentualnymi kolejnymi atakami. Zabezpieczyliśmy logi systemowe i bazę danych w celu dalszej analizy. Naruszenie ochrony danych zgłosiliśmy Prezesowi Urzędu Ochrony Danych Osobowych – informuje MOSiR w mailach do użytkowników systemu rezerwacji.

Czy użytkownicy systemu mają się czego obawiać? Na wszelki wypadek inspektor danych osobowych w MOSiR apeluje w mailu do użytkowników o zmianę hasła w innych systemach, jeżeli również go tam używali.

- Jeżeli wykorzystywali Państwo to samo hasło również w innych systemach a atakującym udało się je odkodować, mogą wykorzystać je do przejęcia kontroli nad tymi kontami. Przy założeniu, że atakujący przejęli także Państwa imię i nazwisko oraz numer telefonu, mogą oni posłużyć się tymi informacjami w celu przygotowania ataków socjotechnicznych – np. podszywając się pod inne instytucje mogą spróbować uzyskać od Państwa interesujące ich informacje – przestrzega inspektor ochrony danych, zatrudniony w MOSiR. Radzi także ignorować nieoczekiwane wiadomości od nieznanych nadawców i zachować ostrożność w przypadku przychodzących rozmów telefonicznych z nieznanych numerów.

Czy MOSiR w związku z tym wydarzeniem zmieni dostawcę systemu rezerwacji? Czy będzie domagał się odszkodowania za ewentualne straty? - MOSiR jest właścicielem Systemu Rezerwacji Biletów HSW, system był wykonany na potrzeby jeszcze Centrum Sportowo-Biznesowego jako jednorazowa usługa. W późniejszym czasie, po połączeniu jednostek, system był kilkukrotnie modyfikowany na wniosek MOSiR przez jego twórców w celu dodania nowych funkcjonalności. Jak że gwarancja na System Rezerwacji Biletów wygasła już dawno, nie mamy podstaw prawnych, aby domagać się odszkodowania od jego twórców. Planujemy wymianę systemu na nowoczesne rozwiązanie realizowane przez zewnętrzne firmy zajmujące się dostarczaniem usług rezerwacji biletów – odpowiada MOSiR.

Problem dotyczy 2062 użytkowników, których dane – adresy e-mail i skrót hasła – zostały przejęte w wyniku ataku hakerskiego.

RG

Najnowsze artykuły w tym dziale Bądź na bieżąco, zamów newsletter

A moim zdaniem... (od najstarszych)

Pokazuj od
najnowszych
Największe
emocje
Chyba to już najwyższy czas na przejście na "zasłużoną emeryturę "panie "dyrektorze z zawodu dyrektor"? A czy poszkodowani klienci MOSiR-u będą mogli dochodzić odszkodowań finansowych od MOSiR-u?
fiki miki (2020.11.30)
W MOSiR ustawia się przetargi na zaopatrzenie w narzędzia.
(2020.11.30)
Ktoś zostawił dyskietkę na biurku. .. .Panie szanowny dyrektorze, jak tak można
Zielarski (2020.11.30)

info

20  
  0
To prawie tak jak atak na Chiny.
(2020.11.30)

info

6  
  0
Już kilka lat temu pewien pracownik, któremu udało się uciec do EPECu mówił, że w tej materii jest dużo do zrobienia i poprawy. Ale, kto tam słucha szarych roboli. Szeryf jest zakotwiczony lepiej, niż kontenerowiec w porcie.
(2020.11.30)
@fiki miki - Od MOSiR, czyli od kogo? Aaaaa, już wiem, od nas. .. podatników rzecz jasna i oczywista. No pewnie, zapraszamy do kasy
czy leci z nami pilot? (2020.11.30)
Mam propozycję. Zaknąć całą insytycję, a drzwi zaspawać. Po co komu sport i jakaś rekreacyja śmieszna.
(2020.11.30)

info

8  
  9
Jakie miasto tacy informatykanci urzedowi. Troche straszno a troche smiesznie. Tak to jest jak sie wymaga od innych a samemu nic nie umie pociotki. Brawo wy jestesmy z was dzielni.
Oleksyn (2020.11.30)
Nie ma co się cieszyć wesołki. W tym systemie jest każdy kto choć raz próbował kupić bilet na Meblarzy, Kabarety etc. Atak hakerski raz, próba włamania na moje konto gmail z portugalskiego IP to dwa, ba podmiotu znającego hasło to trzy, gdyby nie dwuetapowa weryfikacja i zabezpieczenie google różne cuda mogą się dziać. Posiedzi na koncie taki jegomość i pozmienia hasła w banku co tylko chce.
(2020.11.30)
Co na to "Minister Obrony"?
(2020.11.30)