Od wczoraj zbieramy nowe informacje dotyczące podejrzewanego ogromnego wycieku danych z rejestru PESEL poprzez kilka kancelarii komorniczych z całej Polski. Poniżej znajdziecie nasza najnowsze ustalenia i wnioski.
W ostatnich godzinach skontaktowało się z nami wiele osób dostarczających dodatkowych informacji na temat opisywanego przez nas wczoraj incydentu związanego z możliwym wyciekiem danych Polaków z rejestru PESEL. Wszystkim dziękujemy za wkład w powstanie niniejszego wpisu.
Ujawniono podstawę postępowania, śledztwo prowadzi ABW
Rzecznik Prokuratury Okręgowej w Warszawie opublikował komunikat na temat prowadzonego w tej sprawie postępowania. Czytamy w nim:
Z powyższego paragrafu można wyczytać dwa możliwe zarzuty. Pierwszy, lżej sformułowany, mówi o mozliwości uzyskania dostępu do danych przez osoby nieuprawnione (zarzut z ustawy o ochronie danych osobowych), zaś drugi brzmi dużo groźniej – to uzyskanie dostępu do danych osobowych zawartych w rejestrze PESEL przez osoby nieuprawnione (zarzut z kodeksu karnego). Wspomniany artykuł kodeksu mówi:
Komunikat wskazuje zatem na podejrzenie, że dostęp do danych uzyskały osoby nieuprawnione – co nie jest dobrą wiadomością. Czytajmy dalej.
Kilkaset tysięcy rekordów miesięcznie? Słyszeliśmy, że duże kancelarie (tzw. hurtownie) potrafią prowadzić naraz nawet 1-2 miliony spraw, lecz kilkaset tysięcy zapytań miesięcznie chyba przekracza ich możliwości. Według jednego z informatorów w zapytaniach odkryto następujące anomalie:
- ponad 40% wszystkich zapytań komorniczych pochodziło od 5 kancelarii,
- zapytania przychodziły w bardzo dużych paczkach,
- nietypowe zapytania docierały zawsze w nocy.
Dodatkowa uwaga na marginesie – słyszeliśmy także, że nadużycie wykryli pracownicy Centralnego Ośrodka Informatyki, jednak mają zakaz się tym chwalić… Warto także dodać, że śledztwo zostało powierzone Agencji Bezpieczeństwa Wewnętrznego, co sugeruje dużą wagę zarzutów.
Czy mogło to być złośliwe oprogramowanie
Jednym z podejrzeń, formułowanych również przez rzecznika Prokuratury Okręgowej, jest użycie złośliwego oprogramowania do pobierania takich ilości danych z rejestru PESEL. Zapoznaliśmy się z wytycznymi Ministerstwa Cyfryzacji dotyczącymi warunków udostępniania danych z rejestru PESEL oraz zaleceniami bezpieczeństwa i w naszej ocenie spełnienie tych wymagań praktycznie uniemożliwia zdalne zainstalowanie złośliwego oprogramowania na stacjach łączących się do systemu. Dzięki Waszym informacjom wiemy, że stacje uprawnione do wysyłania zapytań są odseparowane od sieci kancelarii i połączone za pomocą dedykowanego rutera i łącza z siecią PESEL-net. Komputery te nie mają dostępu do internetu i nie mogą być wykorzystywane do żadnego innego celu a transfer danych odbywa się poprzez napędy USB (tak, możliwe są ataki przez USB, ale Stuxneta raczej się w tej historii nie spodziewamy).
Z jednej strony wytyczne i zalecenia opisują sytuację, w której prawdopodobieństwo infekcji dedykowanej stacji jest znikome, z drugiej wiemy też, że nawet najlepszy dokument nie pomoże w walce z użytkownikiem, który może go po prostu zignorować. Co istotne dowiedzieliśmy się, że przynajmniej część z kancelarii, których praktyki zostały zakwestionowane, prowadzi działalność na ogromną skalę i dysponuje własną obsługą informatyczną a nawet dedykowanymi pomieszczeniami serwerowni, zatem wizja jednego komputera służącego do wykonywania wszystkich czynności jest w tym wypadku mało prawdopodobna.
Jeśli nie złośliwe oprogramowanie, to co?
Oprócz infekcji kancelarii możliwe są także inne scenariusze tłumaczące dużą liczbę regularnych zapytań do systemu. Duże kancelarie korzystają z rozwiązań automatyzujących ich pracę, w tym także ze skryptów lub makr usprawniających odpytywanie rejestru PESEL. Na rynku działają firmy oferujące takie platformy, a same kancelarie czasem korzystają z własnych rozwiązań. Odpytywanie systemów może być zatem rozłożone regularnie w czasie by zwiększyć prawdopodobieństwo szybkiej odpowiedzi i zoptymalizować pracę kancelarii – skrypt rozkłada obciążenie na serie zapytań, które wysyła np. w nocy by skorzystać z mniejszego tłoku na serwerze.
Inny scenariusz jest mniej optymistyczny. Wierzymy, że prokuratura przed rozpoczęciem czynności dokonała analizy liczby spraw prowadzonych przez kancelarie i porównała ją z liczbą wysłanych zapytań. Jeśli te liczby znacząco od siebie odbiegały a metodologia porównania była prawidłowa, to może to oznaczać, że kancelarie mogły odpytywać bazy w celu innym niż przewidziany w ustawie. To bardzo niepokojący scenariusz. Czekamy zatem na wyniki śledztwa – a tych raczej się szybko nie możemy spodziewać.
Komentarze
Mnie ciekawi, że w wymaganiach odnośnie dostępu do bazy PESEL, okresowa analiza logów jest wskazana jako zalecany, a nie obowiązkowy, środek bezpieczeństwa. To powinien być jeden z podstawowych wymogów, a nie opcja. Przy regularnej analizie logów obecny incydent zostałby wykryty znacznie wcześniej.
w umowie o dostęp powinny też być podane konkretny przedział godzin kiedy dane będą pozyskiwane, oraz w jakiej ilości. tego niestety system pesel nie ma, a powinien mieć. w przypadku przekroczenia limitów od razu powinno być wszczynane postępowanie wyjaśniające.
czyli wszystko zdechło na procedurach.
Ktore Kancelarie padly ofiara atakow
A czy ktoś weryfikuje, czy stacje robocze rzeczywiście spełniaja wymagania bezpieczeństwa? Przecież można zmienić parametry sieci? Można zainstalować druga kartę sieciowa i przelaczać sie z dedykowanej sieci SRP do sieci z dostępem do Internetu. Wtedy komputer jest narażony na infekcję złośliwym oprogramowaniem które pobiera dane z rejestru PESEL kiedy aktywna jest sieć SRP, a wysyła gdy ta z dostępem do Internetu. Zreszta były takie pomysły przed wystartowaniem ŹRÓDŁA.
Spieszę z odpowiedzią :) Nowsze systemy windows, zastrzegają sobie możliwość przetrzepywania zawartości komputera przez osoby trzecie (niby z microsoftu w celu podnoszenia jakości) bez wiedzy użytkownika więc NIE SPELNIAJĄ.
to jest dobre:
„Usuwanie danych:
o Po skasowaniu danych należy opróżnić „kosz” systemowy.”
Za wszystkim stoi firma Komornik.IT jest marką Eccom Partners Sp. z o.o. Sp. k. ul. Nowogrodzka 31 00-511 Warszawa
Programiści komornik IT stworzyli moduł, aplikacje która automatycznie wysyła zapytania do systemu źródło pesel – net. ta aplikacja potrafi bez problemu wysyłać 100% pozytywnych zapytań, czyli nie popełnia błędu w podawaniu peselu jak ma to miejsce w przypadku ręcznego wpisywani peselu przez pracownika w na stronie źródłowo.
Firma komornik IT sprzedawała ta aplikacje wraz z innym modułami kancelarią komorniczym.
Komornik IT instalował na dedykowanym komputerze do pesel netu swoja aplikacje wraz z baza danych sql. Aplikacja u komorników potrafiła działać nawet 48 godzin nom stop.
Problem z rodził się z tego powodu żę komornik IT nie wystąpił do pesel netu o udzielenie autoryzacji jej aplikacji i dopuszczenie jej do użycia w wydawaniu zapytać do źródła.
Winna leży też po stronie samych kancelarii komorniczych którzy nie zgłosili do peselentu ze zamierzają użyć aplikacji która ma zautomatyzować proces wysyłanie zapytań i zastąpił w tym wypadku człowieka który reczanie z poziomu przeglądarki www wpisywał pesele i szukał informacji o dłużnikach.
Moduł i automat do odpytywań to jedno, ale po co aż takie ilości danych dla kancelarii ??? Jakoś trudno mi uwierzyć że kancelarie prowadzą aż tyle spraw że muszą mieć automat do wysyłania zapytań do bazy PESEL.
Jest kilka kancelarii do których rocznie wpływa ponad 1 mln nowych(!) spraw, więc potencjalnie miesięcznie mogą mieć kilkadziesiąt tysięcy zapytań do bazy PESEL. Wyobrażasz sobie „ręczne” klepanie tylu zapytań?
Współpracuję z kilkoma kancelariami i wiem że te systemy z których korzystają te kancelarie działają „różnie”. Był czas kiedy pobieranie wniosków z EPU najlepiej było robić po 20:00.
Może tu też wystąpiły jakieś problemy i zoptymalizowali sobie sposób wysyłania zapytań, żeby nie leciały wszystkie na raz.
teraz będą leczyć zamiast zapobiegać.
dlaczego ten g**** system nie posiada limitu zapytań ??!!!
dlaczego nie posiada powiadamiania o nietypowych zdarzeniach (duża ilość zapytań od jednego komornika) ?!!!
odkrycie tego wycieku danych po ponad roku to kpina z obywateli.
Szczerze powiedziawszy, mnie to wygląda na zwykły bug xD
Porządna integracja z SIEMem pomogłaby zautomatyzować badanie takich anomalii, a OWASP AppSensor mógłby chronić przed takimi atakami on the fly. Cóż, jeszcze długa droga przed nami aby umiejętnie wdrażać takie mechanizmy.
posiadając tyle danych można albo wziąć kredyt, a nawet „telemarketerzy” mogli by być zainteresowani, taka baza potencjalnych klientów
Gdzie jetlst Ziobro?
Areszt prewencyjnie dla wszysrkich pracownikow kancelari w tym partnerow IT a dopiero nastepnie sledztwo!
Sam sobie prewencyjnie zaaresztuj swój mózg.
najsmieszniejsze w tym wszystkim jest to ze jak widac komornik moze miec bezposredni dostep do bazy pesel i to dziala, a GIIF wymaga od podmiotow odpowiedzialnnych za raportowanie podanie wszystkich danych bo jak twierdza nie sa w stanie w kazdym przypadku pisac pism o dostep do bazy pesel. Prosza wiec o podanie adresu i inncyh danych DOBROWOLNIE przez klienta jesli nie ma ich w dowodzie (nowym).
ok, sam wyciek jest wiadomo niewskazany, naganny, ogólnie kiszka. ale jeśli założymy że te dane zostaną wykorzystane do przestępstwa, czyli np ktoś na mnie weźmie kredyt, to do kogo ja mam się niby zwrócić? kto za to wtedy odpowie? „ja się pytam się” :)
A to kredyt biorą twoje dane czy ty? Bo jeśli nie ty, to problem ma ten co udzielił kredytu twoim danym a nie ty.
To tak w skrócie.
co do zasady jeśli nie ja, to niby nie ma się czym martwić, lecz ile razy w wiadomościach słyszało się o ludziach zrujnowanych przez komornika (jaki zbieg okoliczności) za niespłacone kredyty nie wzięte przez poszkodowanego. nie jednokroć dopiero po interwencji mediów odpuszczano, ale ile ludzi nie miało takiego szczęścia? wiesz odkręcanie takich numerów zajmuje dość dużo i czasu i zachodu. nie kończy się na powiedzeniu to nie ja i tyle.
Niestety tak to wygląda tylko w teorii. W praktyce osoby których dane zostały wykorzystane w ten sposób są zmuszane do spłaty należności. I żaden sąd nic z tym nie robi.
ABW to takie leśne dziadki jak PZPN, zlecają im różne pierdololo, żeby nie marnować czasu Policji.
Bardzo dobrze że to się stało, jest szansa na wzięcie za mordę banksterów i innych cinkciarzy-badylarzy od chwilówek. Nie może być tak żeby wystarczyły podstawowe dane do wzięcia kredytu.
Dokładnie, oby sie za to wzieli póki nie jest za późno.
A tu nasze godło
https://obywatel.gov.pl/E-uslugi-theme/img/svgs/bg-godlo.svg
w związku z incydentem BIK wprowadza darmowe alerty przez rok. trzeba podać kod promocyjny podczas ich zakupu (19 pln/rok): ALERTY-1751
„REGULAMIN KORZYSTANIA PRZEZ KONSUMENTÓW Z PORTALU BIK”
6.Zapłata za Produkt i/lub usługę może również nastąpić przy użyciu Kodów promocyjnych, zgodnie z poniższymi zasadami:
h)wartość zamówienia do opłacenia przez Klienta o potwierdzonej tożsamości po uwzględnieniu kodów promocyjnych, nie może być niższa niż 1,23 PLN z VAT (słownie: jeden złoty i dwadzieścia trzy grosze).
Polacy ruszyli do BIK. I jak zwykle problemy.
Proces weryfikacji tożsamości został wstrzymany
Zgodnie z Regulaminem Portalu BIK, w trakcie niedostępności systemu centralnego BIK, proces nie może być kontynuowany. Dalsze czynności związane z procesem będzie można wykonać po przejściu systemu centralnego BIK w tryb dostępności.
A moim zdaniem przydał by się spis,tu dzież lista owych kancelarii ,bo coś mi się zdaje że za nie długo zaczną się jakieś dziwne próby wyłudzania pieniędzy od obywateli.Może nie przez komorników,ale przez sprzedane przez nich jakimś dziwnym windykacjom .
Skoro weekend już minął i być może wróciło trochę zdrowego rozsądku, proponuję zapoznać się z tym oświadczeniem:
http://www.komornik.pl/?p=7848
i przeczytać je ze zrozumieniem.
No i żadnego wycieku nie było:
http://www.spidersweb.pl/2016/08/wyciek-danych-z-bazy-pesel.html
Ale internet już wie swoje ;) Pewnych rzeczy nie można odwrócić.
A co jeśli w tej bazie są pesele moje i większości moich bliskich oraz znajomych. Oczywiście to nic ważnego, bo żadnego wycieku przecież nie było :/ A świstak siedzi i zawija w sreberka …
W takiej sytuacji jak ta należy zgłosić się do odpowiedniej Prokuratury z wnioskiem o uznanie za pokrzywdzonego. Na prawdę warto to zrobić, bo jak np. ktoś weźmie na twoje dane za pół roku pożyczkę, to nie będziesz musiał się tłumaczyć że może ktoś wykradł twoje dane tylko będziesz miał oficjalne pismo z prokuratury z potwierdzeniem.
Można to zrobić emailem bo jest najtaniej i najprościej, wysyłając zgłoszenie według wzoru na adres e-mail: [email protected]
Wzór zgłoszenia:
— cut here — cut here — cut here — cut here — cut here —
Jan Kowalski
ul. Zielona 1/1
00-000 Warszawa
Do: Prokurator Okręgowy w Warszawie
Na podstawie art. 49 kpk wnoszę o uznanie mnie za pokrzywdzonego w prowadzonej przez Państwa sprawie tzw. wycieku danych z bazy PESEL.
W związku z możliwym udostępnieniem danych znajdujących się w bazie PESEL, w tym także moich danych, moje dobro prawne zostało bezpośrednio zagrożone przez wskazany czyn. W związku z powyższym niniejszy wniosek jest uzasadniony.
Jan Kowalski
— cut here — cut here — cut here — cut here — cut here —
Dzięki wysłaniu takiego zgłoszenia będziemy informowani co się dzieje w sprawie (ale już zwykłą pocztą poleconą) oraz nabędziemy cały szereg uprawnień które nam mogą się potem *BARDZO* przydać.
Na prawdę warto, to nic nie kosztuje a wiele daje.
…”Namawia się do sprawdzenia czy ktoś nie wziął na nasze dane kredytu…w KRD
Polecam zapoznania się z tymi danymi…
http://krd.pl/grupa
2. po nowelizacji prawa bankowego z 1 lipca 2016 działa tzw. Centralna informacja o rachunkach”.
Dzięki niej – jedno zapytanie do bazy i mamy kompletną listę rachunków bankowych dłużnika – obojętnie w jakim banku, skoku, czy banku spółdzielczym – nic się nie ukryje, w systemie są wszystkie dane.
Kolejna sprawa tzw. elektroniczne zajęcie rachunku, które ruszy jesienią. …
„Kancelaria komornicza bierze dane milionów spraw z firmy inkaso – nawet z przed 20 lat… Pierwszy skrypt ustala aktualny adres. Potem jest drukowane wezwanie do zapłaty . Jak nie zapłaci – to odpytanie o rachunek bankowy, a następnie elektroniczne zajęcie. I nikt nie sprawdza i nie weryfikuje czy należność nie jest przeterminowana, jak są naliczane odsetki, opłaty, itp. Pieniążki znikają z rachunku. Jeśli klient jest potulny – to się po godzi że kilkaset czy nawet kilka tysięcy zostało zabrane – bo faktycznie może coś tam 15 lat temu nie zapłacił… Jeśli nie – to musi szukać prawnika, pisać odwołanie do sądu w sprawie wstrzymania egzekucji, itp.”
Szykują się widnykacyjno-komornicze żniwa na jesień….
Pomyślcie sami komu przydadzą się informacje z systemu PESEL.
Może by tak CBA zajęło się zależnościami pomiędzy rozmaitymi windykacyjnymi firmami , e sądem, a komornikami…”
Dodajcie jeszcze sobie dane z obowiązkowej rejestracji prepaidowych kart GSM..I Wielki brat z kliki windykacyjno komorniczej wie o Tobie wszystko…
Tutaj podobno ktoś wrzucił wykradzonie numery PESEL:
https://github.com/lodzwarszawa/pesel
Można sprawdzić, czy jest wasz.
Tam jest trojan?
Pobrane, prześwietlone i wygląda na czyste :)
…i co gorsza prawdziwe – czysty plik tekstowy, same numery wyglądające na pesle zaczynające się od 53xxxxxxxxx, przy ładowaniu 70-cio tysięcznej strony wyłączyłem Word’a. Po rozpakowaniu waży 320MB więc monstrualna liczba danych
A jak jest to co dalej.? I tak każdu urząd do zignoruje.
Pobrane, prześwietlone i wygląda na czyste :)
…i co gorsza prawdziwe – czysty plik tekstowy, same numery wyglądające na pesle zaczynające się od 53xxxxxxxxx, przy ładowaniu 70-cio tysięcznej strony wyłączyłem Word’a. Po rozpakowaniu waży 320MB więc monstrualna liczba danych
Witam. A co zrobić w sytuacji gdy okaże się faktem że nasz pesel jest w tej bazie. Skąd pewność że baza jest prawdziwa.
No chyba sam z siebie z nikąd się tam nie wziął.
Niestety moj pesel jest w bazie;/ mimo braku w życiu jakikolwiek komornika na karku;/