System rezerwacji biletów Miejskiego Ośrodka Sportu i Rekreacji w Elblągu został zaatakowany przez hakera. Instytucja ostrzegła wszystkich użytkowników systemu o możliwym wycieku ich danych. Sprawa dotyczy ponad dwóch tysięcy osób.
„W dniu 27.11.2020 otrzymaliśmy informację o naruszeniu poufności Państwa danych osobowych. Pani/Pana dane w zakresie: adres e-mail oraz zaszyfrowane hasło (w formacie MD5) do systemu rezerwacji zostały przejęte na skutek ataku hakerskiego na System Rezerwacji Biletów HSW. W systemie rezerwacji biletów przetwarzaliśmy także Państwa Imię i Nazwisko oraz numer telefonu. Na chwilę obecną nie mamy żadnego potwierdzenia, że te dane również wyciekły” - tak zaczyna się mail, który trafił w niedzielę do wszystkich osób, które kiedykolwiek korzystały z systemu rezerwacji biletów na imprezy w Hali Sportowo-Widowiskowej, administrowanej przez Miejski Ośrodek Sportu i Rekreacji.
- To pierwszy taki przypadek w MOSiR. Informację o ataku otrzymaliśmy od zespołu reagowania na incydenty naruszenia bezpieczeństwa informatycznego CERT Polska. Adres strony hsw.elblag.pl został umieszczony na stronie Cit0day, która sprzedawała dostępy do loginów i haseł wykradzionych z systemów informatycznych. Strona HSW jest jedną z ponad 23000 witryn, z których zostały wykradzione dane logowania i adresy e-mail. Prowadzone cyklicznie analizy logów systemowych nie wykazały nigdy żadnej możliwości utraty poufności przez system rezerwacji – wyjaśnia Miejski Ośrodek Sportu i Rekreacji w odpowiedzi na nasze pytania. - Nigdy nie wykryto nieautoryzowanych prób logowania na konta administracyjne systemu. Pliki źródłowe systemu były szyfrowane, nigdy nie wykryto jakiejkolwiek próby ich modyfikacji. Oprogramowanie na serwerze utrzymującym system rezerwacji było na bieżąco aktualizowane. Najbardziej prawdopodobnym był atak typu SQL Injection. Analiza bieżących logów systemowych nie wykazała żadnych anomalii w funkcjonowaniu systemu rezerwacji.
Miejski Ośrodek Sportu i Rekreacji korzysta z systemu rezerwacji wyprodukowanego przez jedną z firm. Trwają ustalenia, jak doszło do ataku i jak zabezpieczyć system przed podobnymi atakami w przyszłości.
- W wyniku tych rozmów zdecydowaliśmy się wyłączyć system rezerwacji w celu zabezpieczenia Państwa danych przed ewentualnymi kolejnymi atakami. Zabezpieczyliśmy logi systemowe i bazę danych w celu dalszej analizy. Naruszenie ochrony danych zgłosiliśmy Prezesowi Urzędu Ochrony Danych Osobowych – informuje MOSiR w mailach do użytkowników systemu rezerwacji.
Czy użytkownicy systemu mają się czego obawiać? Na wszelki wypadek inspektor danych osobowych w MOSiR apeluje w mailu do użytkowników o zmianę hasła w innych systemach, jeżeli również go tam używali.
- Jeżeli wykorzystywali Państwo to samo hasło również w innych systemach a atakującym udało się je odkodować, mogą wykorzystać je do przejęcia kontroli nad tymi kontami. Przy założeniu, że atakujący przejęli także Państwa imię i nazwisko oraz numer telefonu, mogą oni posłużyć się tymi informacjami w celu przygotowania ataków socjotechnicznych – np. podszywając się pod inne instytucje mogą spróbować uzyskać od Państwa interesujące ich informacje – przestrzega inspektor ochrony danych, zatrudniony w MOSiR. Radzi także ignorować nieoczekiwane wiadomości od nieznanych nadawców i zachować ostrożność w przypadku przychodzących rozmów telefonicznych z nieznanych numerów.
Czy MOSiR w związku z tym wydarzeniem zmieni dostawcę systemu rezerwacji? Czy będzie domagał się odszkodowania za ewentualne straty? - MOSiR jest właścicielem Systemu Rezerwacji Biletów HSW, system był wykonany na potrzeby jeszcze Centrum Sportowo-Biznesowego jako jednorazowa usługa. W późniejszym czasie, po połączeniu jednostek, system był kilkukrotnie modyfikowany na wniosek MOSiR przez jego twórców w celu dodania nowych funkcjonalności. Jak że gwarancja na System Rezerwacji Biletów wygasła już dawno, nie mamy podstaw prawnych, aby domagać się odszkodowania od jego twórców. Planujemy wymianę systemu na nowoczesne rozwiązanie realizowane przez zewnętrzne firmy zajmujące się dostarczaniem usług rezerwacji biletów – odpowiada MOSiR.
Problem dotyczy 2062 użytkowników, których dane – adresy e-mail i skrót hasła – zostały przejęte w wyniku ataku hakerskiego.