Ogromny wyciek danych z systemu PESEL – setki tysięcy rekordów

dodał 25 sierpnia 2016 o 21:20 w kategorii Prywatność  z tagami:
Ogromny wyciek danych z systemu PESEL – setki tysięcy rekordów

System PESEL to podstawowa baza danych na temat obywateli Polski (plus części cudzoziemców). Jak zatem musiała wyglądać jej ochrona, skoro pewna kancelaria pozyskała z niej rekordy 800 tysięcy Polaków – a nie była w tym procederze sama?

RMF FM donosi o poważnym skandalu, który wykryło Ministerstwo Cyfryzacji. Pięć polskich kancelarii komorniczych pozyskało z systemu PESEL ogromne ilości danych. Rekordowa kancelaria otrzymała informacje o 800 tysiącach obywateli, w artykule mowa tez o 2 milionach zapytań wysłanych w ciągu jednego roku.

Co znajduje się w systemie PESEL

Imiona i nazwisko, imiona i nazwiska rodziców, data i miejsce urodzenia, stan cywilny, numer aktu urodzenia, obywatelstwo i wszystkie dane zawartych związków małżeńskich, adres zameldowania na pobyt stały oraz czasowy, seria, numer i data ważności dowodu osobistego i paszportu – takie dane mogły znaleźć się w rękach przestępców. Jakim cudem doszło do chyba najpoważniejszego jednorazowego naruszenia prywatności w historii naszego kraju?

Niestety artykuł RMF nie odpowiada na kluczowe pytanie – czy pięć kancelarii, których proceder wykryło (już po roku!) Ministerstwo Cyfryzacji, działało wspólnie. Można jednak znaleźć pewne wskazówki sugerujące, że ogromny wyciek danych mógł być skutkiem działania przestępców, którzy przejęli kontrolę nad komputerami w kancelariach i wykorzystali je do przeprowadzenia tego sprytnego ataku.

pesel

Komornicy mają dostęp do systemu PESEL by móc łatwiej lokalizować dane dłużników. Mogą do systemu przesyłać hurtowe zapytania – po 100 rekordów naraz. Przestępcy posiadając wiedzę na ten temat mogli zaplanować skok stulecia na dane Polaków. Mogło dojść do zainfekowania komputerów w kancelariach złośliwym oprogramowaniem a następnie przejęcia nad nimi kontroli i wykorzystania ich uprawnień (w tym specjalnych certyfikatów) do masowego eksportu danych. Prawdopodobieństwo, ze 5 kancelarii działało w zmowie i dało się na tej zmowie złapać, oceniamy dosyć nisko.

Dysponując danymi z systemu PESEL przestępcy mogą o wiele łatwiej ukraść cudzą tożsamość a nawet podrobić dowód osobisty dowolnej osoby w oparciu o posiadane dane, modyfikując jedynie zdjęcie. Bycie w posiadaniu takiego zbioru daje ogromne możliwości nadużyć. Strach się bać, jakie mogą być konsekwencje tego niedopatrzenia. Według informacji RMF incydent trwał od co najmniej roku. Dlaczego nikt wcześniej nie zwrócił uwagi na skalę zapytań, które podobno odbywały się także nocą? Jak można było dopuścić do takich nadużyć? Spodziewamy się, że jeszcze długo będziemy na ten temat pisać – skutki tego incydentu będziemy wszyscy odczuwać przez długie lata.

Oprócz systemu PESEL komornicy mają także dostęp do:

  • Centralnej Ewidencji Pojazdów i Kierowców
  • System Ognivo – zapytania do banków o rachunki bankowe dłużnika
  • Centralnej Bazy Danych Ksiąg Wieczystych
  • E-Zus – zapytania o dane dłużnika posiadane przez ZUS

Na całe szczęście dostęp do tych 4 systemów jest płatny, zatem jego nadużycie mogło zostać wykryte dużo szybciej i jeśli nastąpiło, to na o wiele mniejszą skalę.

Co robić?

Pozostaje nam mieć nadzieję, że śledczy ustalą przynajmniej czyje dane mogło zostać nielegalnie pozyskane. Niestety wymiana daty urodzenia czy imion rodziców nie wchodzi w grę. Nie liczymy też na wykrycie przestępców – takiego skoku nie zaplanowali gimnazjaliści.

Aktualizacja 00:30

Od jednego z Czytelników dostaliśmy link do wymagań, jakie musi spełnić użytkownik uzyskujący dostęp do rejestru PESEL. Wymagania są dość restrykcyjne – dedykowany komputer, bez innych interfejsów sieciowych, karta z certyfikatem itd. itp. Zatem albo ktoś miał w głębokim poważaniu wymagania, albo w całej aferze coś nie pasuje.

Za sygnał dziękujemy Marcinowi. Jeśli macie wiedzę na temat tego incydentu lub procedur pozyskiwania danych przez komorników z systemu PESEL to zapraszamy do kontaktu