Poważna luka w systemie PZPN. Każdy mógł wykraść twój dowód osobisty

WP SportoweFakty / Anna Klepaczko / Na zdjęciu: kibice podczas meczu piłkarskiej reprezentacji Polski
WP SportoweFakty / Anna Klepaczko / Na zdjęciu: kibice podczas meczu piłkarskiej reprezentacji Polski

Wystarczył bardzo prosty sposób, aby dostać się do profilu użytkowników zarejestrowanych w portalu laczynaspilka.pl. Niektórzy kibice mają tam zamieszczone zdjęcia dowodów osobistych, co rodzi wielkie niebezpieczeństwo.

W tym artykule dowiesz się o:

PZPN kilka lat temu wprowadził Kartę Kibica Reprezentacji. Każdy posiadacz takiego identyfikatora ma pierwszeństwo przy kupowaniu biletów na mecze Biało-Czerwonych, a dodatkowym atutem są także zniżki w sklepie kibica. W tym celu konieczna jest rejestracja w portalu laczynaspilka.pl. Okazuje się, że ten system posiadał poważną lukę, z której mogli skorzystać nawet początkujący hakerzy.

Błąd w systemie opisał specjalistyczny portal niebezpiecznik.pl. Wystarczyło w przeglądarce wpisać adres https://www.laczynaspilka.pl/aktywnosc-uzytkownika/XXXXXXX,1.html, a w miejsce pola "XXX" wpisać losową sekwencję cyfr, która jest identyfikatorem kibica. Jeżeli udało się trafić losowego fana, to wyświetlał się profil danego użytkownika.

W ten sposób każdy mógł pozyskać nasze imię i nazwisko, dowiedzieć się, na jakich meczach będziemy oraz przejrzeć aktywność na forum. To jednak nie wszystko. System PZPN zachęcał do dodania zdjęcia dowodu osobistego, co miało ułatwić identyfikację na stadionie. Wprawdzie polska federacja twierdzi, że to nie było obowiązkowe i nikt nie był do tego zmuszany, to jednak poniższa grafika pokazuje coś innego.

Fot. niebezpiecznik.pl
Fot. niebezpiecznik.pl

Jeżeli użytkownik dodał skan, to wszystkie jego dane mogły trafić w niepowołane ręce. Po wgraniu zdjęcia dowodu, pojawiało się ono na profilu pod wcześniej podanym adresem www. Twórcy systemu najwidoczniej zapomnieli o tym, że takie dokumenty powinny być w wyjątkowy sposób chronione. Tymczasem w tym przypadku każdy mógł wykraść dane, które mogły posłużyć na przykład do wzięcia kredytu.

- Dziękujemy za czujność i wskazanie problemu. Faktycznie był problem, ale dziura została już załatana. (...) Informujemy, że nigdy w serwisie Łączy nas piłka nie było konieczności zamieszczenia skanu lub zdjęcia dowodu osobistego. Nigdy również do tego nie zachęcaliśmy. Jedynie osoby zakładające profil w serwisie mogą, ale nie muszą, zamieścić swoje zdjęcie. Jedynymi dokumentami, które trzeba podać w momencie zakładania profilu, to kopia paszportu (dotyczy obcokrajowców chcących zakupić bilet, ale do tego zobowiązują nas przepisy ustawy o bezpieczeństwie imprez masowych) oraz zaświadczenie o niepełnosprawności przez osoby poruszające się na wózkach inwalidzkich, które chcą kupić bilety na sektory przeznaczone dla osób niepełnosprawnych - komentuje w portalu niebezpiecznik.pl Jakub Kwiatkowski, rzecznik PZPN.

Sprawę skomentował także Zbigniew Boniek, który bagatelizuje problem.

Portal zajmujący się bezpieczeństwem sieci potwierdza, że nie wszystkie profile posiadały zdjęcie dowodu, ale podczas sprawdzania tak zdarzało się w większości przypadków. Poważny błąd został wprawdzie naprawiony i pozostaje liczyć, że dane nie wpadły w niepowołane ręce.

ZOBACZ WIDEO Lewandowski był w odpowiednim miejscu i czasie - skrót meczu Bayern - Schalke [ZDJĘCIA ELEVEN SPORTS 1]

Źródło artykułu: