Kiedy oddajemy nasze dane instytucjom państwowym, chcemy wierzyć w to, ze będą tam odpowiednio zabezpieczone. Niestety okazuje się, że nie zawsze jest to regułą a dostęp do naszych informacji bywa zbyt łatwy.
Ponad rok temu przekazaliśmy Wam pierwsze informacje o podejrzeniu ogromnego wycieku z systemu PESEL, którego miało dopuścić się kilka kancelarii komorniczych. Opisywaliśmy także początki śledztwa, jednak długo przyszło nam czekać na jego wyniki. Są już pierwsze ustalenia – i nie są one optymistyczne.
Wykradzione dane 350 tysięcy osób
Imiona i nazwisko, imiona i nazwiska rodziców, data i miejsce urodzenia, stan cywilny, numer aktu urodzenia, obywatelstwo i wszystkie dane zawartych związków małżeńskich, adres zameldowania na pobyt stały oraz czasowy, seria, numer i data ważności dowodu osobistego i paszportu – takie dane mogły znaleźć się w rękach przestępców.
Jak donosi Polska Agencja Prasowa, w zeszłym tygodniu Agencja Bezpieczeństwa Wewnętrznego zatrzymała cztery osoby, które miały brać udział w ogromnej kradzieży danych. Rzecznik prasowy Prokuratury Okręgowej w Warszawie prokurator Łukasz Łapczyński poinformował o ustaleniach śledztwa. Śledczy zebrali informacje potwierdzające, że w kancelarii komornika Rafała W. dochodziło do nieprawidłowości w związku z dostępem do danych PESEL.
„Polegały one na (…) udostępnianiu osobom nieupoważnionym zatrudnionym w kancelarii dostępu do aplikacji Źródło, przez co umożliwiono im dostęp do danych osobowych ponad 350 tys. osób z rejestru PESEL” – poinformował prokurator. Dodał także, że umożliwiono osobom nieuprawnionym zatrudnionym w firmie windykacyjnej dostęp „do całej bazy danych kancelarii komorniczej Komornik SQL, obejmującej dane około miliona osób”.
Co ważne, okazuje się, że pracownicy kancelarii dokonywali sprawdzeń na rzecz spółki windykacyjnej numerów PESEL osób, co do których nie prowadzono postępowań komorniczych.
Cztery osoby zatrzymane w tej sprawie przez ABW to komornik Rafał W., była pracownica kancelarii Agnieszka B., były asesor komorniczy i pracownik firmy windykacyjnej Grzegorz G. oraz administrator systemu informatycznego kancelarii Bartłomiej W. Ponadto dokonano przeszukań 14 nieruchomości w Warszawie i okolicach, w tym kancelarii komorniczej, siedzib spółek powiązanych z komornikiem oraz biura rachunkowego. Zabezpieczono dokumentację oraz nośniki danych, które w śledztwie zostaną poddane analizie.
Komornikowi postawiono zarzuty przekroczenia uprawnień w celu osiągnięcia korzyści majątkowych poprzez naruszenie zasad bezpieczeństwa korzystania z rejestru PESEL oraz naruszenie obowiązku zabezpieczenia danych osobowych, których był administratorem. Komornik częściowo przyznał się do zarzutów i został aresztowany na trzy miesiące. Prokurator dokonał zabezpieczenia majątkowego na prawie 1,5 mln zł.
Jak mogło dochodzić do kradzieży
Jak informowaliśmy w sierpniu 2016, pracownicy Centralnego Ośrodka Informatyki zauważyli dziwne wzorce dostępu do danych setek tysięcy obywateli. Kilka kancelarii wysyłało duże paczki zapytań, także poza zwyczajowymi godzinami pracy. Według informacji prasowych mogło chodzić nawet o dwa miliony zapytań. Niedawne zatrzymania dotyczyły tylko jednej kancelarii – a wcześniej słyszeliśmy o pięciu podejrzanych firmach. Prokurator Łapczyński nie zostawia wątpliwości:
Śledztwo ma charakter rozwojowy. W jego toku analizowane są pozostałe stwierdzone przypadki pobierana znacznych ilości danych z rejestru PESEL.
Cieszymy się, że ktoś zwrócił uwagę na dziwne zapytania – martwi nas jednak to, że oskarżenie dotyczy okresu od 2013 do 2016, co może oznaczać, że przez trzy lata proceder trwał bez żadnych przeszkód.
Komentarze
W sumie ciekawe czy zabezpieczone to jest jakoś od strony serwerowej. Bo jak nie (poza podstawowymi limitami) to wystarczy „wpasować się” w normalne zapytania i pobierać danych ile wlezie ;-)
Z drugiej strony pewnie wystarczy zrobić mały raport – która kancelaria / ile rekordów pobierała – i mamy kolejnych do weryfikacji :P
Ja pierdziu, aż rok zajęły im przygotowania do tego nalotu na JEDNĄ firmę? Jan napisał wyżej Michał, powinno im to zająć max kilka godzin od wykrycia problemu i kawaleria mogłaby wkroczyć już następnego dnia rano – wtedy miałoby to jakiś sens – a teraz, po roku i publikacji szczegółów reszta miała i jeszcze ma czas na posprzątanie u siebie. Moje gratulacje.
Przecież nalot zrobili latem 2016. Teraz są tylko zatrzymania i zarzuty.
A zarzuty trzeba stawiać takie które da się udowodnić, żeby nie trzeba było wypuszczać i przepraszać. Lepiej że poczekali i poszukali pewnych dowodów niż miało by się „rozejść po kościach”.
Tak to jest, jak kilka danych potrafi zmarnować życie człowiekowi, bo przestępca weźmie na kogoś wysoki kredyt. Takie dane powinny być ogólnodostępne i wtedy problemu z wyciekami by nie było. System jest źle pomyślany.
__
I jeszcze drobna prywata: Sekurak bawi się w cenzurę (https://imgur.com/a/1Pnke). Z3s pod względem etycznym nigdy się nie zniżyła do takich złych działań. Dlatego wiadomo już kogo wybrać w momencie wyboru szkoleń ;)
@djabolo a co jest nie tak na tym screenie? Jaka cenzura?
A propos prywata – no patrz, widać ten sku…bany cenzor Cię nie lubi, bo o 6:44 pm puścił inną odpowiedź reklamującą Rainmetera. A może chodziło o link, który czeka na człowieka, a czysto tekstowe przechodzą od razu? Sprawdzę jak tu jest :) https://i.imgur.com/OR6x0Zq.png
@Mikolaj Rampek: Drugi mój koment został wycięty (specjalnie teraz sprawdziłem i nie ma).
@Alf/red: Niestety nie. Linki przechodzą bez problemu. Nie pierwsze to naganne postępowanie Sekuraka w tym temacie i dlatego trzeba potępić takie zachowanie. Ja rozumiem, że ktoś życzliwy napisał kim jestem i nie każdy musi mnie lubić. Jednak to trochę zniekształca to, co napisałem w komencie powyżej na sekurakowej stronie.
BTW po kimś zajmującym się bezpieczeństwem i ochroną – nie powinno być takiego postępowania. Ciekawe czy po audycie bezpieczeństwa przez firmę i późniejszym naruszeniu integralności systemów, taka firma też będzie próbowała się wykręcić sianem i wykpić od odpowiedzialności? A to np. przez kasowanie nieprzychylnych opinii. Wszak mamy tutaj do czynienia z ogólnie pojętą etyką i powinna byč ona zawsze na pierwszym miejscu. Według mnie tutaj tego zabrakło. Trudno się buduje wiarygodność, ale bardzo prosto ją utracić.
@djabolo, w cenzure bawi sie nie tylko sekurak ale i niebezpiecznik i z3s. Wybacz moja dociekliwosc ale sa pewnosc ze ktos napisal kim jestes i dlatego wlasnie nie chca opublikowac Twojego komentarza? Sa na to jakies dowody?
Najpierw udaj się na Seku, potem porównaj zrzuty które podałem i potem wyciągaj wnioski. Jeśli ktoś wycina koment w odpowiedzi na kogoś pytanie, zupełnie bezpodstawnie – to jest właśnie cenzura. Nawet pokusiłbym się o nazwanie tego klasycznym przykładem chamskiej cenzury. Tego na z3s nie zauważyłem. Na Niebezpieczniku jest trochę gorzej z tă wolnością wypowiedzi, ale do Seku nadal daleko.
A odnośnie tego, jaki był powód cenzurowania to nie wiem tego. Teoretyzuję, że mógł ktoś donieść kim jestem, ale równie dobrze może to być własna wiedza. W końcu nie ukrywam kim jestem i od dłuższego czasu udzielam się pod tym samym loginem – Djabol.
Naprawde wierzysz ze 'cenzor’ tylko czeka na Ciebie i kasuje Twoje wpisy bo 'nie lubie go’? Watpie…mysle ze ten czas inaczej sobie planuje a nie zachowuje sie jak gimbaza co wlasnie dostala admina na zainstalowanym wordpressie (bo sama nie umie zainstalowac) ;p
Nie jest ważne w co wierzę, liczą się fakty. Poza tym ważny jest skutek a nie przyczyna. A skutkiem jest usunięcie komentarza. Jeśli go brak i nie ma merytorycznych przesłanek odnośnie powodu usunięcia, to pierwsze co się nasuwa na myśl to to o czym wspomniałem. Bo co innego? No i to nie pierwszy raz, znam te wszystkie tech stronki od czasów powstania I zdążyłem już trochę poznać autorów tam piszących :)
oskarżeni != skazani
Można się rozejść.
Jak mówi stara ludowa prawda „k…a k…ie łba nie urwie”. ;)
> Takie dane powinny być ogólnodostępne i wtedy
> problemu z wyciekami by nie było
Zupełnie się nie zgadzam. To prywatna sprawa każdej osoby gdzie się urodziła, kim są jej rodzice, gdzie mieszka, ile ma lat i jaki ma paszport. Baza PESEL, obowiązek meldunkowy, numery PESEL – komunistyczne systemy stworzone do inwigilacji Polaków – powinny być zlikwidowane, należy utrzymać tylko – z minimalną liczbą gromadzonych danych – ewidencje paszportów, praw jazdy i nieobowiązkowych dowodów osobistych + osobne rejestry kart pobytu i innych dokumentów cudzoziemców.
Zamiast numerów PESEL i meldunków wprowadzić adres do korespondencji który wskazuje każdy sam i każdy jest odpowiedzialny za jego aktualizację w bazie dostępnej dla policji i komorników; pisma wysłane na ten adres uznaje się zawsze za doręczone. I koniec problemów.
A jeśli chodzi o zwalczanie przestępczości, to PESEL-e i meldunki pomagają co najwyżej łapać złodziei bułek na targu. Prawdziwi przestępcy nie przebywają pod adresem zameldowania.
„Zupełnie się nie zgadzam. To prywatna sprawa każdej osoby gdzie się urodziła, kim są jej rodzice, gdzie mieszka, ile ma lat i jaki ma paszport. Baza PESEL, obowiązek meldunkowy, numery PESEL – komunistyczne systemy stworzone do inwigilacji Polaków – powinny być zlikwidowane”
Według mnie większość wymienionych danych nie powinna być rejestrowana. A jak już to ad hoc – na żądanie uprawnionego organu udostępniać, przez nas. A reszta np. imię i nazwisko oraz PESEL żaden problem podać.
Jak niby chcesz zmusić przestępcę aby podała swoje dane osobowe kancelarii komorniczej?
Stosując wobec przestępcy jego metody czyli phishing :)
Cytat:
Kiedy oddajemy nasze dane instytucjom państwowym, chcemy wierzyć w to, ze będą tam odpowiednio zabezpieczone
—
Radzę się nie łudzić i instytucjom (wszelkim: i państwowym, i prywatnym) przekazywać jak najmniej danych, a tak gdzie się da to żadnych.
Systemy inf. powinny anomizować wszystkie numery. Pracownik danej instytucji powinien wyłącznie weryfikować numer na podstawie maski – kilku ze wszystkich znaków.
Druga sprawa, że np. fałszywy dokument można złożyć wniosek kredytowy itp.
Ktoś kiedyś mądrze napisał – po co chronić te dane, chrońmy osoby, aby nie ucierpiały z powodu ich wycieku. Ale czy dziś, ktoś martwi się o ludzkość (wojny, ubustwo, głód)? Tworzy się przepisy, aby wydawać $$$ na ochronę, a za ich złamanie również $$$. Wszystko kręci się wokół $$$…niestety.