szukaj

11.07.2019 | 19:52

avatar

Anna Wasilewska-Śpioch

Numery rejestracyjne i VIN 1500 pojazdów wrocławskiej policji przez pomyłkę w sieci

Iloma pojazdami dysponuje dolnośląska policja? Jak dużo z nich to auta nieoznakowane? Do jakich celów są używane? Jakie mają tablice rejestracyjne i numery VIN? Na te i kilka innych pytań odpowiada plik Excela, który przez nieuwagę trafił do sieci.

Czytelnik o imieniu Bartek niedawno nas poinformował: w ramach platformazakupowa.pl wisi sobie luzem lista pojazdów KWP we Wrocławiu ze szczegółami (tablice, VIN etc.). Nie wiem, na ile to problem z trzymaniem plików po stronie platformy, a na ile wtopa KWP czy kogokolwiek innego (lista jest dopiero w secondary skoroszytach, a nie tym otwierającym się domyślnie, więc ciekawe, czy w ogóle miała w nim być), ale sprawa zdaje się ciekawa, bo są nawet nieoznakowane pojazdy CBŚ.

Plik można było znaleźć, wpisując w wyszukiwarce Google frazę:

filetype:xls policja kgp wrocław vin

Informacja o znalezisku pojawiła się na co najmniej dwóch zamkniętych grupach na Facebooku. Autor usuniętego już posta na grupie Jak będzie w akapie? – sekcja prawna dopytywał się: Czy za posiadanie takiego pliku mogę stracić swoje dyski na zawsze czy nie muszę się o nic martwić?

O incydencie powiadomiliśmy KWP Wrocław. Wielu komentatorów było przekonanych, że zawarte w pliku dane są jawne i można je bez problemu uzyskać, składając wniosek o udostępnienie informacji publicznej, a nawet znaleźć na stronie BIP stosownej komendy policji. Nie, nie można. O tym, że szczegółowa lista pojazdów używanych przez KWP we Wrocławiu nie powinna znaleźć się w sieci świadczy też to, że po naszej interwencji plik został usunięty. W odpowiedzi na wysłane przez nas pytania dotyczące przyczyn incydentu kom. Kamil Rynkiewicz z Sekcji Prasowej odpisał:

w Komendzie Wojewódzkiej Policji we Wrocławiu prowadzone są czynności wyjaśniające dotyczące ustalenia okoliczności związanych z tą sprawą. W chwili obecnej postępowanie pozostaje w toku.

Co było w nieopatrznie udostępnionym pliku?

Po otwarciu dokumentu Excela można było zobaczyć zestawienie policyjnych pojazdów służbowych, w których zaplanowano wymianę szyb czołowych. Listę sporządzono w ramach przygotowania do jednego z przetargów w 2018 r., na co wskazuje zarówno nazwa pliku, jak i data ostatniej edycji.

Sam plik powstał w 2014 r. i – sądząc po skoroszytach niewidocznych na pierwszy rzut oka – zawierał informacje nieprzeznaczone dla osób postronnych. Najciekawsza okazała się pierwsza zakładka pt. AUTA KWP WROCŁAW, gdzie znaleźliśmy szczegółowe dane dotyczące 1578 pojazdów wykorzystywanych przez różne jednostki dolnośląskiej policji, w tym 50 wycofanych z użytku w 2016 r. oraz 2 spalone. Aż 724 pojazdy okazały się nieoznakowane jako policyjne (z czego 21 już wycofano).

Jak widać na powyższych zrzutach ekranu, każdy pojazd został opisany z uwzględnieniem m.in. następujących danych:

  • rodzaj (osobowy, furgon, motocykl, sprzęt pływający itd.),
  • wersja (oznakowany, nieoznakowany, specjalistyczny itd.),
  • marka,
  • model,
  • rok produkcji,
  • całkowity przebieg do końca 2015 r.,
  • rodzaj służby (kryminalna, prewencyjna, wspomagająca itd.),
  • użytkownik końcowy (obok KMP różnych miast, także CBŚ, SPAP itd.),
  • numer wewnętrzny,
  • numer rejestracyjny,
  • numer boczny,
  • VIN (czyli unikalny numer identyfikacyjny pojazdu),
  • radiostacja,
  • rodzaj paliwa.

Zakładki Wycofany – DO ZAGOSPODAROWANIA oraz Wycofany – PRZEKAZANY zawierały podobne dane na temat kilkunastu pojazdów każda.

Ciekawostki z życia dolnośląskiej policji

Chcecie wiedzieć, z jakich konkretnie pojazdów korzysta bądź do niedawna korzystała KWP we Wrocławiu? Służymy pomocą. Spośród 1578 pozycji uwzględnionych w zestawieniu zdecydowaną większość stanowiły auta osobowe – naliczyliśmy ich 1147, w tym zaledwie 66 terenowych. Oprócz osobówek dolnośląscy policjanci mieli do dyspozycji m.in. 303 furgony, 53 motocykle (spodziewaliśmy się więcej) oraz 32 pojazdy specjalistyczne (znaleźliśmy tu np. samochody z automatyczną wyrzutnią gazów łzawiących i reflektorem olśniewającym).

Najpopularniejszą marką okazała się Kia – wypatrzyliśmy na liście 436 takich aut, a najczęściej kupowanym modelem był Ceed. Na kolejnych miejscach uplasowały się Fiat (283 auta, głównie Ducato i Bravo), Opel (232 auta, głównie Astra i Corsa) oraz Škoda (111 aut, głównie Octavia). Rzadziej policja sięgała po samochody takich marek jak Hyundai, Ford, Mercedes, Renault, Nissan i in. Wśród motocykli królowały Hondy.

Również w przypadku pojazdów nieoznakowanych przeważały auta osobowe – było ich aż 620 na 724 widniejących w zestawieniu, reszta to furgony i kilka busów. Spośród wymienionych w pliku marek największą popularnością cieszył się Fiat, kolejne miejsca zajęły Opel, Kia i Škoda.

Najstarszym używanym pojazdem okazała się wyprodukowana w 1975 r. ciężarówka STAR 200, a spośród aut nieoznakowanych – samochód terenowy UAZ 469 B z 1990 r. Sprawdziliśmy też, który z uwzględnionych na liście pojazdów może pochwalić się największym przebiegiem. Wyszło, że nieoznakowana Toyota Camry z 2002 r., przypisana do służby prewencyjnej w ruchu drogowym – użytkujący ją policjanci przejeździli 599 538 km. Zauważyliście, że unikamy słowa „radiowóz”? To dlatego, że znaleźliśmy w zestawieniu zaskakująco mało pojazdów z radiostacją – tylko 34, w tym 14 nieoznakowanych.

Na koniec najciekawsze – do służby kryminalnej przypisano 466 pojazdów, w tym 452 nieoznakowane. Przeglądany przez nas dokument umożliwiał ich zidentyfikowanie, ponieważ zawierał numery rejestracyjne i VIN wszystkich samochodów używanych przez KWP we Wrocławiu. Z naszych obliczeń wynika, że CBŚ (Centralne Biuro Śledcze) miało do dyspozycji 29 aut, wszystkie okazały się nieoznakowane. SPAP (Samodzielny Pododdział Antyterrorystyczny Policji) posługiwał się 18 samochodami, 10 z nich było nieoznakowanych. Warto też wspomnieć o pojazdach używanych przez WTO (Wydział Techniki Operacyjnej), naliczyliśmy ich 66, z czego 60 stanowiły nieoznakowane furgony i osobówki. Natomiast Wydział dw. z Cyberprzestępczością korzystał tylko z trzech nieoznakowanych aut, a jedno już wycofano.

Podsumowanie

Mamy nadzieję, że opisany wyżej plik nie dostał się w niepowołane ręce. Tak czy inaczej, powyższy incydent jest świetnym przykładem tego, co dzieje się, gdy ktoś przez pomyłkę wysyła do internetu nie te dane, które wysłać planował. Możecie użyć go w swoich szkoleniach uświadamiających dla pracowników, do czego gorąco zachęcamy. Tu znajdziecie plik ZIP z gotowymi zrzutami ekranu w dobrej rozdzielczości, bez znaków wodnych. Bierzcie i korzystajcie. A jeśli chcecie, by szkolenie przeprowadził ktoś z zewnątrz, to chętnie pomożemy.

Powrót

Komentarze

  • avatar
    2019.07.11 20:20 Ananas

    Nie ma co się łudzić, było w necie, to tam pozostanie na zawsze.

    Odpowiedz
  • avatar
    2019.07.11 21:01 RODO

    A co na to RODO?

    Odpowiedz
    • avatar
      2019.07.11 22:06 K4s1k

      Brak danych osobowych ;)

      Odpowiedz
  • avatar
    2019.07.11 22:05 Wojak

    >Czy za posiadanie takiego pliku mogę stracić swoje dyski na zawsze czy nie muszę się o nic martwić?
    po takim zeznaniu już musisz XD

    Odpowiedz
    • avatar
      2019.07.12 10:04 Andrzej

      Niech tylko śpi w spodniach. Tak dla spokojności.

      Odpowiedz
  • avatar
    2019.07.12 06:46 Artur

    Hmm, gdyby była jeszcze data pierwszej rejestracji, to można by sprawdzić historię pojazdu tutaj: https://historiapojazdu.gov.pl/ co dodaje sytuacji nieco innego kontekstu.
    A tak na poważnie, to weryfikacja „na żywo” numeru VIN to jakiś żart i oprócz użycia tych danych do ataku phishingowego na policję, czy utrudnienie policji życia poprzez próbę użycia tych danych w różnego rodzaju urzędach (wysoce ryzykowne i mało opłacalne zadanie), trudno wyobrazić sobie realny wpływ tych danych na zdolności operacyjne policji. Szczególnie w niepowołanych rękach.
    Z drugiej strony, czy te informacje powinny być publiczne? Ciągle nie widząc realnego wpływu ich ujawnienia na zdolności operacyjne policji, nie widzę jakiegoś szczególnego problemu. Security by obscurity to strasznie przedawniona praktyka. A posiadanie w pamięci wszystkich nieoznakowanych pojazdów, oraz weryfikacja danych tych pojazdów w czasie rzeczywistym podczas popełniania przestępstwa, to nieco zbyt wydumany scenariusz. Pomijając kwestię możliwości przerejestrowania, czy przemalowania pojazdu (tej informacji i tak nie było).
    Ale może jest faktyczny wpływ, a reakcja policji była umotywowana operacyjną działalnością a nie paniką spowodowaną ujawnieniem nadmiarowej informacji o niewielkim wpływie operacyjnym. Ktoś zna scenariusze poważnego wpływu? Może się podzielić? Z doświadczenia?

    Odpowiedz
    • avatar
      2019.07.12 08:46 Adam Haertle

      Już posiadanie w pamięci marek i modeli pojazdów operacyjnych powinno wystarczyć. A listę numerów można nosić w komórce. Gdzie tu wyzwanie dla złodzieja?

      Odpowiedz
  • avatar
    2019.07.12 09:06 Sobiesław

    No cóż… Jaka wiedza takie bezpieczeństwo… Za komuny to Milicja oraz Wojsko, miały własne linie łączności (telekomunikacyjne). Kolej również! Jak widać, świadomość różnej maści „informatyków” zatrudnionych w służbach jest na poziomie trudnym do oceny! Ale tak jest i będzie, bo to także urząd, a casting zwany naborem na stanowisko jest jaki jest.

    Odpowiedz
  • avatar
    2019.07.13 20:37 Mariusz

    Można gdzieś podejrzeć ten plik?

    Odpowiedz
  • avatar
    2019.07.17 21:40 fd;lk;fsked;lk

    Po co publikujecie tak szczegółową analizę danych z pliku? Jakie znaczenie w kontekście cyber bezpieczeństwa mają marki samochodów policji?
    Ja wiem, że jak trafiło do sieci, to tam jest. Tylko po co komukolwiek ułatwiać znalezienie takich informacji? Nie ma w tym racjonalnego celu.

    Odpowiedz
  • avatar
    2019.10.05 11:12 Wiktor

    Nie no poprostu koszmar jakiś bo co chwilę słyszymy o wycieku danych. W sieci nic juz nie jest bezpieczne.

    Odpowiedz
    • avatar
      2019.10.05 11:16 Konrad

      Masz rację. Wszędzie są co chwilę jakieś wycieki. Lepiej sie zabezpieczać wcześniej niż pożniej płakać. Dlatego by chronic swoje dane warto zainstalować Usecrypt.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Numery rejestracyjne i VIN 1500 pojazdów wrocławskiej policji przez pomyłkę w sieci

Komentarze