PZPN kilka lat temu wprowadził Kartę Kibica Reprezentacji. Każdy posiadacz takiego identyfikatora ma pierwszeństwo przy kupowaniu biletów na mecze Biało-Czerwonych, a dodatkowym atutem są także zniżki w sklepie kibica. W tym celu konieczna jest rejestracja w portalu laczynaspilka.pl. Okazuje się, że ten system posiadał poważną lukę, z której mogli skorzystać nawet początkujący hakerzy.
Błąd w systemie opisał specjalistyczny portal niebezpiecznik.pl. Wystarczyło w przeglądarce wpisać adres https://www.laczynaspilka.pl/aktywnosc-uzytkownika/XXXXXXX,1.html, a w miejsce pola "XXX" wpisać losową sekwencję cyfr, która jest identyfikatorem kibica. Jeżeli udało się trafić losowego fana, to wyświetlał się profil danego użytkownika.
W ten sposób każdy mógł pozyskać nasze imię i nazwisko, dowiedzieć się, na jakich meczach będziemy oraz przejrzeć aktywność na forum. To jednak nie wszystko. System PZPN zachęcał do dodania zdjęcia dowodu osobistego, co miało ułatwić identyfikację na stadionie. Wprawdzie polska federacja twierdzi, że to nie było obowiązkowe i nikt nie był do tego zmuszany, to jednak poniższa grafika pokazuje coś innego.
Jeżeli użytkownik dodał skan, to wszystkie jego dane mogły trafić w niepowołane ręce. Po wgraniu zdjęcia dowodu, pojawiało się ono na profilu pod wcześniej podanym adresem www. Twórcy systemu najwidoczniej zapomnieli o tym, że takie dokumenty powinny być w wyjątkowy sposób chronione. Tymczasem w tym przypadku każdy mógł wykraść dane, które mogły posłużyć na przykład do wzięcia kredytu.
- Dziękujemy za czujność i wskazanie problemu. Faktycznie był problem, ale dziura została już załatana. (...) Informujemy, że nigdy w serwisie Łączy nas piłka nie było konieczności zamieszczenia skanu lub zdjęcia dowodu osobistego. Nigdy również do tego nie zachęcaliśmy. Jedynie osoby zakładające profil w serwisie mogą, ale nie muszą, zamieścić swoje zdjęcie. Jedynymi dokumentami, które trzeba podać w momencie zakładania profilu, to kopia paszportu (dotyczy obcokrajowców chcących zakupić bilet, ale do tego zobowiązują nas przepisy ustawy o bezpieczeństwie imprez masowych) oraz zaświadczenie o niepełnosprawności przez osoby poruszające się na wózkach inwalidzkich, które chcą kupić bilety na sektory przeznaczone dla osób niepełnosprawnych - komentuje w portalu niebezpiecznik.pl Jakub Kwiatkowski, rzecznik PZPN.
Sprawę skomentował także Zbigniew Boniek, który bagatelizuje problem.
Stara,wyjaśniona.Niestety kliknięcia są najważniejsze.
— Zbigniew Boniek (@BoniekZibi) 13 lutego 2018
Portal zajmujący się bezpieczeństwem sieci potwierdza, że nie wszystkie profile posiadały zdjęcie dowodu, ale podczas sprawdzania tak zdarzało się w większości przypadków. Poważny błąd został wprawdzie naprawiony i pozostaje liczyć, że dane nie wpadły w niepowołane ręce.
ZOBACZ WIDEO Lewandowski był w odpowiednim miejscu i czasie - skrót meczu Bayern - Schalke [ZDJĘCIA ELEVEN SPORTS 1]