26.08.2016 | 14:40

Adam Haertle

Nowe informacje w aferze PESELowej, czyli jaki jest zakres śledztwa ABW

Od wczoraj zbieramy nowe informacje dotyczące podejrzewanego ogromnego wycieku danych z rejestru PESEL poprzez kilka kancelarii komorniczych z całej Polski. Poniżej znajdziecie nasza najnowsze ustalenia i wnioski.

W ostatnich godzinach skontaktowało się z nami wiele osób dostarczających dodatkowych informacji na temat opisywanego przez nas wczoraj incydentu związanego z możliwym wyciekiem danych Polaków z rejestru PESEL. Wszystkim dziękujemy za wkład w powstanie niniejszego wpisu.

Ujawniono podstawę postępowania, śledztwo prowadzi ABW

Rzecznik Prokuratury Okręgowej w Warszawie opublikował komunikat na temat prowadzonego w tej sprawie postępowania. Czytamy w nim:

Prokuratura Okręgowa w Warszawie nadzoruje postępowanie karne w sprawie niedopełnienia obowiązków i działania na szkodę interesu publicznego i prywatnego przez komorników sądowych zobowiązanych do zabezpieczenia dostępu do danych osobowych z rejestru PESEL, wskutek czego mogło dojść do umożliwienia dostępu do danych osobom nieuprawnionym tj. o przestępstwo z art. 231 § 1 kk w zb. z art. 51 ust. 1 ustawy o ochronie danych osobowych oraz w sprawie uzyskania przez osoby nieuprawnione dostępu do danych osobowych zawartych w rejestrze PESEL tj. o przestępstwo z art. 267 § 1 kk.

Z powyższego paragrafu można wyczytać dwa możliwe zarzuty. Pierwszy, lżej sformułowany, mówi o mozliwości uzyskania dostępu do danych przez osoby nieuprawnione (zarzut z ustawy o ochronie danych osobowych), zaś drugi brzmi dużo groźniej  – to uzyskanie dostępu do danych osobowych zawartych w rejestrze PESEL przez osoby nieuprawnione (zarzut z kodeksu karnego). Wspomniany artykuł kodeksu mówi:

Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Komunikat wskazuje zatem na podejrzenie, że dostęp do danych uzyskały osoby nieuprawnione – co nie jest dobrą wiadomością. Czytajmy dalej.

Śledztwo zostało wszczęte z zawiadomienia Ministerstwa Cyfryzacji, które ujawniło, że ustaleni komornicy pobierali od kilkudziesięciu do kilkuset tysięcy rekordów z bazy PESEL miesięcznie. Przeprowadzona analiza połączeń z systemem PESEL – w tym czas ich trwania, częstotliwość zapytań, realizacja w porze nocnej oraz schemat pracy stacji roboczych – wskazywała na zastosowanie złośliwego oprogramowania bądź skryptów służących do automatycznego generowania zapytań.

Kilkaset tysięcy rekordów miesięcznie? Słyszeliśmy, że duże kancelarie (tzw. hurtownie) potrafią prowadzić naraz nawet 1-2 miliony spraw, lecz kilkaset tysięcy zapytań miesięcznie chyba przekracza ich możliwości. Według jednego z informatorów w zapytaniach odkryto następujące anomalie:

  • ponad 40% wszystkich zapytań komorniczych pochodziło od 5 kancelarii,
  • zapytania przychodziły w bardzo dużych paczkach,
  • nietypowe zapytania docierały zawsze w nocy.

Dodatkowa uwaga na marginesie – słyszeliśmy także, że nadużycie wykryli pracownicy Centralnego Ośrodka Informatyki, jednak mają zakaz się tym chwalić… Warto także dodać, że śledztwo zostało powierzone Agencji Bezpieczeństwa Wewnętrznego, co sugeruje dużą wagę zarzutów.

Czy mogło to być złośliwe oprogramowanie

Jednym z podejrzeń, formułowanych również przez rzecznika Prokuratury Okręgowej, jest użycie złośliwego oprogramowania do pobierania takich ilości danych z rejestru PESEL. Zapoznaliśmy się z wytycznymi Ministerstwa Cyfryzacji dotyczącymi warunków udostępniania danych z rejestru PESEL oraz zaleceniami bezpieczeństwa i w naszej ocenie spełnienie tych wymagań praktycznie uniemożliwia zdalne zainstalowanie złośliwego oprogramowania na stacjach łączących się do systemu. Dzięki Waszym informacjom wiemy, że stacje uprawnione do wysyłania zapytań są odseparowane od sieci kancelarii i połączone za pomocą dedykowanego rutera i łącza z siecią PESEL-net. Komputery te nie mają dostępu do internetu i nie mogą być wykorzystywane do żadnego innego celu a transfer danych odbywa się poprzez napędy USB (tak, możliwe są ataki przez USB, ale Stuxneta raczej się w tej historii nie spodziewamy).

pesel

Z jednej strony wytyczne i zalecenia opisują sytuację, w której prawdopodobieństwo infekcji dedykowanej stacji jest znikome, z drugiej wiemy też, że nawet najlepszy dokument nie pomoże w walce z użytkownikiem, który może go po prostu zignorować. Co istotne dowiedzieliśmy się, że przynajmniej część z kancelarii, których praktyki zostały zakwestionowane, prowadzi działalność na ogromną skalę i dysponuje własną obsługą informatyczną a nawet dedykowanymi pomieszczeniami serwerowni, zatem wizja jednego komputera służącego do wykonywania wszystkich czynności jest w tym wypadku mało prawdopodobna.

Jeśli nie złośliwe oprogramowanie, to co?

Oprócz infekcji kancelarii możliwe są także inne scenariusze tłumaczące dużą liczbę regularnych zapytań do systemu. Duże kancelarie korzystają z rozwiązań automatyzujących ich pracę, w tym także ze skryptów lub makr usprawniających odpytywanie rejestru PESEL. Na rynku działają firmy oferujące takie platformy, a same kancelarie czasem korzystają z własnych rozwiązań. Odpytywanie systemów może być zatem rozłożone regularnie w czasie by zwiększyć prawdopodobieństwo szybkiej odpowiedzi i zoptymalizować pracę kancelarii – skrypt rozkłada obciążenie na serie zapytań, które wysyła np. w nocy by skorzystać z mniejszego tłoku na serwerze.

Inny scenariusz jest mniej optymistyczny. Wierzymy, że prokuratura przed rozpoczęciem czynności dokonała analizy liczby spraw prowadzonych przez kancelarie i porównała ją z liczbą wysłanych zapytań. Jeśli te liczby znacząco od siebie odbiegały a metodologia porównania była prawidłowa, to może to oznaczać, że kancelarie mogły odpytywać bazy w celu innym niż przewidziany w ustawie. To bardzo niepokojący scenariusz. Czekamy zatem na wyniki śledztwa – a tych raczej się szybko nie możemy spodziewać.

Powrót

Komentarze

  • 2016.08.26 15:26 Ciacho

    Mnie ciekawi, że w wymaganiach odnośnie dostępu do bazy PESEL, okresowa analiza logów jest wskazana jako zalecany, a nie obowiązkowy, środek bezpieczeństwa. To powinien być jeden z podstawowych wymogów, a nie opcja. Przy regularnej analizie logów obecny incydent zostałby wykryty znacznie wcześniej.

    Odpowiedz
    • 2016.08.31 10:56 daaasdf

      w umowie o dostęp powinny też być podane konkretny przedział godzin kiedy dane będą pozyskiwane, oraz w jakiej ilości. tego niestety system pesel nie ma, a powinien mieć. w przypadku przekroczenia limitów od razu powinno być wszczynane postępowanie wyjaśniające.

      czyli wszystko zdechło na procedurach.

      Odpowiedz
  • 2016.08.26 16:44 dr0n

    Ktore Kancelarie padly ofiara atakow

    Odpowiedz
  • 2016.08.26 17:20 Jakub

    A czy ktoś weryfikuje, czy stacje robocze rzeczywiście spełniaja wymagania bezpieczeństwa? Przecież można zmienić parametry sieci? Można zainstalować druga kartę sieciowa i przelaczać sie z dedykowanej sieci SRP do sieci z dostępem do Internetu. Wtedy komputer jest narażony na infekcję złośliwym oprogramowaniem które pobiera dane z rejestru PESEL kiedy aktywna jest sieć SRP, a wysyła gdy ta z dostępem do Internetu. Zreszta były takie pomysły przed wystartowaniem ŹRÓDŁA.

    Odpowiedz
    • 2016.09.01 14:43 Basco

      Spieszę z odpowiedzią :) Nowsze systemy windows, zastrzegają sobie możliwość przetrzepywania zawartości komputera przez osoby trzecie (niby z microsoftu w celu podnoszenia jakości) bez wiedzy użytkownika więc NIE SPELNIAJĄ.

      Odpowiedz
  • 2016.08.26 17:37 oproznij kosz

    to jest dobre:
    „Usuwanie danych:
    o Po skasowaniu danych należy opróżnić „kosz” systemowy.”

    Odpowiedz
  • 2016.08.26 18:56 juzek

    Za wszystkim stoi firma Komornik.IT jest marką Eccom Partners Sp. z o.o. Sp. k. ul. Nowogrodzka 31 00-511 Warszawa

    Programiści komornik IT stworzyli moduł, aplikacje która automatycznie wysyła zapytania do systemu źródło pesel – net. ta aplikacja potrafi bez problemu wysyłać 100% pozytywnych zapytań, czyli nie popełnia błędu w podawaniu peselu jak ma to miejsce w przypadku ręcznego wpisywani peselu przez pracownika w na stronie źródłowo.

    Firma komornik IT sprzedawała ta aplikacje wraz z innym modułami kancelarią komorniczym.
    Komornik IT instalował na dedykowanym komputerze do pesel netu swoja aplikacje wraz z baza danych sql. Aplikacja u komorników potrafiła działać nawet 48 godzin nom stop.

    Problem z rodził się z tego powodu żę komornik IT nie wystąpił do pesel netu o udzielenie autoryzacji jej aplikacji i dopuszczenie jej do użycia w wydawaniu zapytać do źródła.

    Winna leży też po stronie samych kancelarii komorniczych którzy nie zgłosili do peselentu ze zamierzają użyć aplikacji która ma zautomatyzować proces wysyłanie zapytań i zastąpił w tym wypadku człowieka który reczanie z poziomu przeglądarki www wpisywał pesele i szukał informacji o dłużnikach.

    Odpowiedz
    • 2016.08.27 11:10 Red

      Moduł i automat do odpytywań to jedno, ale po co aż takie ilości danych dla kancelarii ??? Jakoś trudno mi uwierzyć że kancelarie prowadzą aż tyle spraw że muszą mieć automat do wysyłania zapytań do bazy PESEL.

      Odpowiedz
      • 2016.08.27 13:10 Michał

        Jest kilka kancelarii do których rocznie wpływa ponad 1 mln nowych(!) spraw, więc potencjalnie miesięcznie mogą mieć kilkadziesiąt tysięcy zapytań do bazy PESEL. Wyobrażasz sobie „ręczne” klepanie tylu zapytań?

        Współpracuję z kilkoma kancelariami i wiem że te systemy z których korzystają te kancelarie działają „różnie”. Był czas kiedy pobieranie wniosków z EPU najlepiej było robić po 20:00.

        Może tu też wystąpiły jakieś problemy i zoptymalizowali sobie sposób wysyłania zapytań, żeby nie leciały wszystkie na raz.

        Odpowiedz
  • 2016.08.26 19:50 niemam

    teraz będą leczyć zamiast zapobiegać.
    dlaczego ten g**** system nie posiada limitu zapytań ??!!!
    dlaczego nie posiada powiadamiania o nietypowych zdarzeniach (duża ilość zapytań od jednego komornika) ?!!!
    odkrycie tego wycieku danych po ponad roku to kpina z obywateli.

    Odpowiedz
  • 2016.08.26 20:39 ucznik

    Szczerze powiedziawszy, mnie to wygląda na zwykły bug xD

    Odpowiedz
  • 2016.08.26 21:00 Marek

    Porządna integracja z SIEMem pomogłaby zautomatyzować badanie takich anomalii, a OWASP AppSensor mógłby chronić przed takimi atakami on the fly. Cóż, jeszcze długa droga przed nami aby umiejętnie wdrażać takie mechanizmy.

    Odpowiedz
  • 2016.08.27 08:22 Tom

    posiadając tyle danych można albo wziąć kredyt, a nawet „telemarketerzy” mogli by być zainteresowani, taka baza potencjalnych klientów

    Odpowiedz
  • 2016.08.27 12:46 Ziobro

    Gdzie jetlst Ziobro?
    Areszt prewencyjnie dla wszysrkich pracownikow kancelari w tym partnerow IT a dopiero nastepnie sledztwo!

    Odpowiedz
    • 2016.08.27 16:35 Nikt Ważny

      Sam sobie prewencyjnie zaaresztuj swój mózg.

      Odpowiedz
  • 2016.08.27 13:49 michau

    najsmieszniejsze w tym wszystkim jest to ze jak widac komornik moze miec bezposredni dostep do bazy pesel i to dziala, a GIIF wymaga od podmiotow odpowiedzialnnych za raportowanie podanie wszystkich danych bo jak twierdza nie sa w stanie w kazdym przypadku pisac pism o dostep do bazy pesel. Prosza wiec o podanie adresu i inncyh danych DOBROWOLNIE przez klienta jesli nie ma ich w dowodzie (nowym).

    Odpowiedz
  • 2016.08.27 17:59 sławomir

    ok, sam wyciek jest wiadomo niewskazany, naganny, ogólnie kiszka. ale jeśli założymy że te dane zostaną wykorzystane do przestępstwa, czyli np ktoś na mnie weźmie kredyt, to do kogo ja mam się niby zwrócić? kto za to wtedy odpowie? „ja się pytam się” :)

    Odpowiedz
    • 2016.08.27 19:52 Nikt Ważny

      A to kredyt biorą twoje dane czy ty? Bo jeśli nie ty, to problem ma ten co udzielił kredytu twoim danym a nie ty.

      To tak w skrócie.

      Odpowiedz
      • 2016.08.28 10:57 sławomir

        co do zasady jeśli nie ja, to niby nie ma się czym martwić, lecz ile razy w wiadomościach słyszało się o ludziach zrujnowanych przez komornika (jaki zbieg okoliczności) za niespłacone kredyty nie wzięte przez poszkodowanego. nie jednokroć dopiero po interwencji mediów odpuszczano, ale ile ludzi nie miało takiego szczęścia? wiesz odkręcanie takich numerów zajmuje dość dużo i czasu i zachodu. nie kończy się na powiedzeniu to nie ja i tyle.

        Odpowiedz
      • 2016.08.29 07:52 Masz

        Niestety tak to wygląda tylko w teorii. W praktyce osoby których dane zostały wykorzystane w ten sposób są zmuszane do spłaty należności. I żaden sąd nic z tym nie robi.

        Odpowiedz
  • 2016.08.27 20:00 tak było

    ABW to takie leśne dziadki jak PZPN, zlecają im różne pierdololo, żeby nie marnować czasu Policji.

    Odpowiedz
  • 2016.08.27 21:25 Przemko

    Bardzo dobrze że to się stało, jest szansa na wzięcie za mordę banksterów i innych cinkciarzy-badylarzy od chwilówek. Nie może być tak żeby wystarczyły podstawowe dane do wzięcia kredytu.

    Odpowiedz
    • 2016.08.28 19:39 p

      Dokładnie, oby sie za to wzieli póki nie jest za późno.

      Odpowiedz
  • 2016.08.29 08:42 g

    w związku z incydentem BIK wprowadza darmowe alerty przez rok. trzeba podać kod promocyjny podczas ich zakupu (19 pln/rok): ALERTY-1751

    Odpowiedz
    • 2016.08.29 15:18 hackssh

      „REGULAMIN KORZYSTANIA PRZEZ KONSUMENTÓW Z PORTALU BIK”

      6.Zapłata za Produkt i/lub usługę może również nastąpić przy użyciu Kodów promocyjnych, zgodnie z poniższymi zasadami:

      h)wartość zamówienia do opłacenia przez Klienta o potwierdzonej tożsamości po uwzględnieniu kodów promocyjnych, nie może być niższa niż 1,23 PLN z VAT (słownie: jeden złoty i dwadzieścia trzy grosze).

      Odpowiedz
  • 2016.08.29 10:08 Mm

    Polacy ruszyli do BIK. I jak zwykle problemy.

    Proces weryfikacji tożsamości został wstrzymany
    Zgodnie z Regulaminem Portalu BIK, w trakcie niedostępności systemu centralnego BIK, proces nie może być kontynuowany. Dalsze czynności związane z procesem będzie można wykonać po przejściu systemu centralnego BIK w tryb dostępności.

    Odpowiedz
  • 2016.08.29 10:20 karol

    A moim zdaniem przydał by się spis,tu dzież lista owych kancelarii ,bo coś mi się zdaje że za nie długo zaczną się jakieś dziwne próby wyłudzania pieniędzy od obywateli.Może nie przez komorników,ale przez sprzedane przez nich jakimś dziwnym windykacjom .

    Odpowiedz
  • 2016.08.29 18:26 Nikt Ważny

    Skoro weekend już minął i być może wróciło trochę zdrowego rozsądku, proponuję zapoznać się z tym oświadczeniem:

    http://www.komornik.pl/?p=7848

    i przeczytać je ze zrozumieniem.

    Odpowiedz
  • 2016.08.29 21:29 Nikt Ważny

    No i żadnego wycieku nie było:

    http://www.spidersweb.pl/2016/08/wyciek-danych-z-bazy-pesel.html

    Ale internet już wie swoje ;) Pewnych rzeczy nie można odwrócić.

    Odpowiedz
    • 2016.11.06 20:44 Franek

      A co jeśli w tej bazie są pesele moje i większości moich bliskich oraz znajomych. Oczywiście to nic ważnego, bo żadnego wycieku przecież nie było :/ A świstak siedzi i zawija w sreberka …

      Odpowiedz
  • 2016.08.30 08:15 Jan Kowalski

    W takiej sytuacji jak ta należy zgłosić się do odpowiedniej Prokuratury z wnioskiem o uznanie za pokrzywdzonego. Na prawdę warto to zrobić, bo jak np. ktoś weźmie na twoje dane za pół roku pożyczkę, to nie będziesz musiał się tłumaczyć że może ktoś wykradł twoje dane tylko będziesz miał oficjalne pismo z prokuratury z potwierdzeniem.

    Można to zrobić emailem bo jest najtaniej i najprościej, wysyłając zgłoszenie według wzoru na adres e-mail: [email protected]

    Wzór zgłoszenia:

    — cut here — cut here — cut here — cut here — cut here —

    Jan Kowalski
    ul. Zielona 1/1
    00-000 Warszawa

    Do: Prokurator Okręgowy w Warszawie

    Na podstawie art. 49 kpk wnoszę o uznanie mnie za pokrzywdzonego w prowadzonej przez Państwa sprawie tzw. wycieku danych z bazy PESEL.

    W związku z możliwym udostępnieniem danych znajdujących się w bazie PESEL, w tym także moich danych, moje dobro prawne zostało bezpośrednio zagrożone przez wskazany czyn. W związku z powyższym niniejszy wniosek jest uzasadniony.

    Jan Kowalski

    — cut here — cut here — cut here — cut here — cut here —

    Dzięki wysłaniu takiego zgłoszenia będziemy informowani co się dzieje w sprawie (ale już zwykłą pocztą poleconą) oraz nabędziemy cały szereg uprawnień które nam mogą się potem *BARDZO* przydać.

    Na prawdę warto, to nic nie kosztuje a wiele daje.

    Odpowiedz
  • 2016.08.30 21:20 Zeus

    …”Namawia się do sprawdzenia czy ktoś nie wziął na nasze dane kredytu…w KRD
    Polecam zapoznania się z tymi danymi…
    http://krd.pl/grupa
    2. po nowelizacji prawa bankowego z 1 lipca 2016 działa tzw. Centralna informacja o rachunkach”.
    Dzięki niej – jedno zapytanie do bazy i mamy kompletną listę rachunków bankowych dłużnika – obojętnie w jakim banku, skoku, czy banku spółdzielczym – nic się nie ukryje, w systemie są wszystkie dane.
    Kolejna sprawa tzw. elektroniczne zajęcie rachunku, które ruszy jesienią. …

    „Kancelaria komornicza bierze dane milionów spraw z firmy inkaso – nawet z przed 20 lat… Pierwszy skrypt ustala aktualny adres. Potem jest drukowane wezwanie do zapłaty . Jak nie zapłaci – to odpytanie o rachunek bankowy, a następnie elektroniczne zajęcie. I nikt nie sprawdza i nie weryfikuje czy należność nie jest przeterminowana, jak są naliczane odsetki, opłaty, itp. Pieniążki znikają z rachunku. Jeśli klient jest potulny – to się po godzi że kilkaset czy nawet kilka tysięcy zostało zabrane – bo faktycznie może coś tam 15 lat temu nie zapłacił… Jeśli nie – to musi szukać prawnika, pisać odwołanie do sądu w sprawie wstrzymania egzekucji, itp.”

    Szykują się widnykacyjno-komornicze żniwa na jesień….
    Pomyślcie sami komu przydadzą się informacje z systemu PESEL.
    Może by tak CBA zajęło się zależnościami pomiędzy rozmaitymi windykacyjnymi firmami , e sądem, a komornikami…”

    Dodajcie jeszcze sobie dane z obowiązkowej rejestracji prepaidowych kart GSM..I Wielki brat z kliki windykacyjno komorniczej wie o Tobie wszystko…

    Odpowiedz
  • 2016.08.31 13:53 Andrzej44

    Tutaj podobno ktoś wrzucił wykradzonie numery PESEL:

    https://github.com/lodzwarszawa/pesel

    Można sprawdzić, czy jest wasz.

    Odpowiedz
    • 2016.08.31 16:56 Marek

      Tam jest trojan?

      Odpowiedz
      • 2016.09.01 13:02 R1nzl3r

        Pobrane, prześwietlone i wygląda na czyste :)
        …i co gorsza prawdziwe – czysty plik tekstowy, same numery wyglądające na pesle zaczynające się od 53xxxxxxxxx, przy ładowaniu 70-cio tysięcznej strony wyłączyłem Word’a. Po rozpakowaniu waży 320MB więc monstrualna liczba danych

        Odpowiedz
    • 2016.09.01 21:41 arek

      A jak jest to co dalej.? I tak każdu urząd do zignoruje.

      Odpowiedz
  • 2016.09.01 11:31 Piotr

    Pobrane, prześwietlone i wygląda na czyste :)
    …i co gorsza prawdziwe – czysty plik tekstowy, same numery wyglądające na pesle zaczynające się od 53xxxxxxxxx, przy ładowaniu 70-cio tysięcznej strony wyłączyłem Word’a. Po rozpakowaniu waży 320MB więc monstrualna liczba danych

    Odpowiedz
  • 2016.09.01 20:34 karol

    Witam. A co zrobić w sytuacji gdy okaże się faktem że nasz pesel jest w tej bazie. Skąd pewność że baza jest prawdziwa.

    Odpowiedz
    • 2016.09.02 15:26 Czarek

      No chyba sam z siebie z nikąd się tam nie wziął.

      Odpowiedz
  • 2016.09.15 00:05 gr

    Niestety moj pesel jest w bazie;/ mimo braku w życiu jakikolwiek komornika na karku;/

    Odpowiedz

Zostaw odpowiedź do Basco

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Nowe informacje w aferze PESELowej, czyli jaki jest zakres śledztwa ABW

Komentarze