Zmieniając ID można było pobierać zdjęcia ‘źle zaparkowanych’ samochodów innych kierowców [Szczecin]

Podatność zgłosił nam jeden z czytelników, który namierzył problem w systemie obsługującym strefę płatnego parkowania w Szczecinie. O co dokładnie chodziło? W ramach ‘dowodu, że źle zaparkował’ – Marcin otrzymał link do publicznie dostępnego zdjęcia. Przykładowo:

• w nazwie zdjęcia była liczba typu: W901792.jpg
• po zmianie na W901793.jpg, dostępne było zdjęcie innego samochodu. Można było w ten sposób otrzymać też dostęp do zawiadomień
• uwaga: w zdjęciach nie było danych osobowych
  

Temat zgłosiliśmy 3.1.2026 do Urzędu Miasta Szczecina a rozbudowaną odpowiedź otrzymaliśmy 5.1.2026 – ale od firmy wdrażającej system – Nextivo. W tym miejscu wyrazy uznania za rozbudowaną i transparentną odpowiedź:

• Po analizie wskazanego mechanizmu potwierdziliśmy zasadność zgłoszenia. Podatność została usunięta tego samego dnia o godzinie 8:24 poprzez wdrożenie doraźnych zabezpieczeń po stronie serwera, eliminujących możliwość dostępu do zasobów bez wymaganej autoryzacji. Równolegle intensywnie prowadzimy pogłębioną analizę problemu, a w ciągu najbliższych godzin planujemy wdrożenie nowej wersji oprogramowania, rozszerzającej istniejące zabezpieczenia w tym obszarze
• Równolegle uruchomiliśmy rozszerzony przegląd całego systemu pod kątem występowania podobnych podatności, w szczególności tych związanych z przewidywalnością identyfikatorów oraz dostępem do zasobów statycznych. Prace te są w toku.
• Na podstawie przeprowadzonej analizy logów nie stwierdziliśmy oznak masowego ani zautomatyzowanego wykorzystywania opisanego mechanizmu. Dostępy miały charakter incydentalny (dosłownie kilka przypadków w ostatnim czasie) i nie wskazują na próby systematycznego pozyskiwania danych.

Po pewnym czasie dla pewności dopytaliśmy, czy udało się przeanalizować system pod względem podobnych luk i 19.01.2026 otrzymaliśmy takie informacje:

• Przejrzeliśmy system pod kątem zgłoszonego problemu i obecnie nie widzimy dalszych nieprawidłowości.
• W związku z zaistniałym incydentem podjęliśmy również decyzję o zleceniu testów penetracyjnych wszystkich naszych systemów zewnętrznej firmie specjalizującej się w tego typu audytach. Doszliśmy do wniosku, że testowanie własnych rozwiązań wewnętrznie nie jest optymalnym podejściem

Kilka rad (dla programistów / firm wdrażających czy eksploatujących aplikacje):

• Nie serwuj wrażliwych plików statycznych (zdjęć, plików PDF, itp) bezpośrednio do użytkownika. Wykonaj to przez wrapper sprawdzający uprawnienia
• Sprawdź też uprawnienia – tj. czy dany (zalogowany) użytkownik może czytać tylko pliki, do których ma uprawnienia
• Sprawdź czy serwowane przez Ciebie pliki nie są indeksowane przez Google i inne crawlery
• Nie używaj przewidywalnych identyfikatorów (np. liczb naturalnych) do wskazywania zasobów do pobrania [podatność IDOR]
• Realizuj testy bezpieczeństwa aplikacji (testy penetracyjne)

~Michał Sajdak