26/1/2016
Jeden z czytelników poinformował nas o tym, że serwis internetowy viasms.pl, który udziela szybkich pożyczek online, umożliwia każdemu internaucie pobranie treści umowy pożyczkowej zawartej z dowolnym klientem. Trzeba tylko w odpowiednim miejscu adresu wpisać identyfikator umowy, który niestety jest bardzo przewidywalny (jest to po prostu zwiększana o 1 liczba).
Jakie dane można pozyskać z umowy?
Czytelnik podesłał nam przykład umowy (usunęliśmy z niego dane identyfikujące klienta):
Czytelnik sugeruje, żę osoba, która rozpocznie automatyczny proces inkrementacji jednej ze zmiennych w webaplikacji viasms.pl, może pobierać kolejne umowy i wchodzić w posiadanie następujących informacji dotyczących klientów firmy viasms.pl:
- Imię i naziwsko
- PESEL
- Seria i numer dowodu
- adres zamieszkania
- adres e-mail
- numer telefonu
Jeśli przyjąć, że pod każdym z identyfikatorów kryje się faktyczna umowa, mówimy o ponad 2 milionach potencjalnych ofiar (co biorąc pod uwagę, ze firma działa od 2011 roku, jest jak najbardziej możliwym wynikiem). Liczba ta będzie pewnie jednak mniejsza, ponieważ jedna osoba mogła zawierać umowę z serwisem kilkukrotnie. W dodatku, należy zwrócić uwagę, że w przypadku skryptów generujących PDF (a z takim mamy do czynienia tutaj) nie zawsze dane prezentowane w dokumencie muszą pokrywać się z danymi rzeczywiście wystawionego dokumentu (czyli tu: umowy pożyczkowej). Choć czy tak jest w tym przypadku — nie wiemy — ponieważ viasms.pl nie odpowiada na nasze pytania (do czego jeszcze wrócimy w dalszej części artykułu).
Szczęśliwie, umowy zawierane z viasms.pl nie są indeksowane przez Google. Zapytanie o listę zindeksowanych podstron viasms.pl pasujących do wzorca URL-a, który pozwala pobrać umowę, nie zwraca żadnych wyników:
Ale nie oszukujmy się — gdyby ktoś chciał pobrać wszystkie umowy, jest to kwestia prostego skryptu. Czy ktoś już taki napisał? Błąd przecież jest bardzo łatwo zauważyć, a na pomysł inkrementacji identyfikatora w URL wpadnie każdy bardziej świadomy technicznie klient serwisu pożyczkowego, któremu serwis viasms.pl podeśle linka w takiej postaci: http://viasms.pl/[usuniete]=1234
Z takim samym problemem borykał się kilka lat temu firma Regenersis, prowadząca naprawy gwarancyjne telefonów komórkowych. Tam też można było pobierać dane klientów inkrementując jedną ze zmiennych w URL.
Wyciek danych klientów to nie jedyny problem viasms.pl
Oto wiadomość od innego z naszych czytelników, z sierpnia 2012 roku. Niestety, przeoczyliśmy ją wśród setek listów przesyłanych na redakcyjny adres — w nasze ręce wpadła dopiero teraz, kiedy przygotowując ten artykuł, odpytaliśmy naszą skrzynkę o “viasms” w poszukiwaniu korespondencji z serwisem:
Chciałbym poinformować o włamaniu przeze mnie na portal viasms.pl oferującym pożyczki. Portal został poinformowany ale niestety nie podjął żadnych kroków. (…) Nie polecam tej firmy, na dowód wbiję zrzut z userów z tabeli adminowskiej:
po zejściu z roota napisałem do portalu viasms.pl o błędach. Użytkowników viasms.pl ostrzegam przed użytkowaniem tego portalu bo ich dane są wystawione na świat.
Co grozi klientom viasms.pl, jeśli ktoś pozyskał ich dane?
Komplet tego typu informacji jak imię i nazwisko, numery dokumentów, PESEL i adres, co oczywiste, może posłużyć do wzięcia pożyczki …przez internet. Jednak nie w serwisie viasms.pl — tu, oszust musiałby dysponować możliwością odczytywania wiadomości SMS z telefonu ofiary lub kontrolować jej konto bankowe (a jak ktoś kontroluje czyjeś konto bankowe, to nie musi wnioskować o fałszywą pożyczkę). Ale, na nieszczęście ofiar, serwisów udzielających pożyczek online działa w Polsce więcej…
Dodatkowo, jak zauważa czytelnik aqz, dane z kopii umów mogą posłużyć oszustom do prób wyłudzenia spłaty. Ktoś może podrobić wiadomość e-mail od viasms.pl i np. próbować nakłonić klienta do wcześniejszej (korzystniejszej) spłaty, ale na inny (podstawiony) rachunek. Podrobiona wiadomość będzie wiarygodna, gdyż może powołać się na kopię umowy (ba! nawet ją dostarczyć) a dodatkowo będzie zawierać poprawne dane użytkownika i odpowiednią kwotę pożyczki.
Jeśli, jako klient viasms.pl obawiasz się, że Twoje dane ktoś mógł pozyskać, masz 2 wyjścia:
-
1. powinieneś obowiązkowo zastrzec swój dokument tożsamości (do zrobienia w każdym banku lub na policji)
2. opcjonalnie, możesz założyć bezpłatne konto w BIK i skorzystać z darmowej funkcji “alertów”, czyli powiadomień, jakie BIK wysyła na podany adres e-mail, jeśli ktoś usiłuje wziąć kredyt na Twoje dane. Minus współpracy z BIK-iem polega na tym, że trzeba się z nim podzielić swoimi danymi, a bezpłatne konto działa tylko przez 60 dni. Warto też pamiętać, że niektóre firmy wystawiają pożyczki bez zapytań do BIK-u, a więc w takim przypadku powiadomienia nie otrzymasz.
Reakcja viasms.pl?
Poprosiliśmy viasms.pl o komentarz w tej sprawie w niedzielę. Ponieważ pierwsza wiadomość pozostała bez jakiejkolwiek odpowiedzi, wczoraj ponowiliśmy kontakt e-mailowy i dodatkowo spędziliśmy ponad godzinę w oczekiwaniu na kontakt z kliencką infolinią. Kiedy w końcu udało nam się dodzwonić, przedstawicielka serwisu co prawda potwierdziła, że nasze e-maile dotarły i zapewniła że uzyskamy odpowiedź dziś do godziny 12:00, ale niestety do tej pory nikt się z nami nie skontaktował…
Na szczęście, choć viasms.pl zignorował nasze pytania, to przynajmniej zablokowano już dostęp do kopii umów. Obecnie, adres URL pod którym można było pobrać kopię umowy klienta zwraca komunikat “Access denied”…
Jeśli otrzymamy komentarz od viasms.pl, na pewno zaktualizujemy artykuł o jego treść.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Wg mnie zwykli ludzie którzy nie mają pojęcia o tym jak działają strony internetowe, protokoły bezpieczeństwa i wszystkie inne rzeczy związanie z technicznymi sprawami różnych technologii powinni być jakoś chronieni. Może powstanie jakaś organizacja która będzie zatwierdzać serwisy pod kątem bezpieczeństwa. Przecież to jest całkowicie niedopuszczalne żeby serwis nie był odporny na taki prosty atak “hakerów” osobiście uważam że jest niedopuszczalnym żeby serwis był podatny na jakikolwiek atak hakerów. Jeżeli hydraulik popełni błąd i zostanie zalane mieszkanie to kto za to odpowie? A jeżeli informatyk popełni błąd który może kosztować więcej to on powinien za to odpowiedzieć. Skoro dostaje pieniądze za swoją pracę.
Sądząc po kodzie źródłowym tej stronki to informatycy, którzy to robili skasowali za cały ten projekt mniej, niż hydraulik 24h, który przyjechał do mnie i ogarnął w godzinę sytuację.
Wiesz jak oddaję auto do mechanika to podpisuję papierek, że zgadzam się na testową jazdę. Myślisz, że ktoś tym programistom dał czas na napisanie testów? :P Żaden zespół inżynierów, nawet najlepiej opłacanych, nie zaprojektuje Ci samochodu i weźmie za siebie pełną odpowiedzialność za po prostu zmontowanie go i sprzedanie. W życiu. Są miliardy testów w procesie produkcyjnym.
Szczęście w nieszczęściu, że programista może automatycznie testować rzeczy. Nie musi wjeżdżać drogim prototypem w ścianę. Ale w większości projektów, w których są takie babole nie ma testów i nikogo to nie obchodzi. To tak jakbyś powiedział hydraulikowi, że niech nie pier**i że to zajmie godzinę, ma skończyć w 15 minut :P a że będzie zamontowane na słowo to gdzie w tym jego wina?
No, chyba, że Ci programiści powiedzieli “panie, zabezpieczenia lepsze niż do pentagonu”.
Co za przesada… Aż szkoda komentować.
A w nagłówku każdej strony ma się pojawiać marquee ROZMOWA KONTROLOWANA ROZMOWA KONTROLOWANA ROZMOWA KONTROLOWANA
Czy w pewnym stopniu nie jest to rola GIODO?(serio nie wiem) Wymagają np konkretnej struktury bazy danych w której przechowywane są dane osobowe.
Możliwe że informatycy za projekt tej�strony skasowali mniej niż hydraulik i stąd taka wpadka, ale jak byś wytłumaczył ludzi, którzy skasowali na prawdę nie małe pieniądze za gigantyczny portal pewnej “firmy” ubezpieczeniowej, w której są dane wszystkich polaków, a dostać się do nich można w podobny sposób???
;)
“Jeżeli hydraulik popełni błąd i zostanie zalane mieszkanie to kto za to odpowie?” Przed tobą odpowiada osoba, której płaciłeś (szef ekipy?), nie koniecznie hydraulik.
Które firmy pożyczają na same dane?
Większość.
Ich nie obchodzi komu pożyczają, tylko kogo uda się zastraszyć “ostatecznym” wezwaniem.
Ale chyba każda żąda wpłaty z rachunku na te dane.
Droga redakcjo, czy powiadomiono GIODO?
Zrób redakcji przysługę, i zgłoś to!!
Ktoś może też zacząć wyłudzać zwroty pożyczonych pieniędzy.
Ja brałem u nich pożyczkę w grudniu i tydzień temu spłaciłem. I mam niby teraz wymieniać dowód osobisty? Eee tam poczekam zobaczymy co będzie się działo :)
To szybko bierz ile wlezie u konkurencji. A jak przyjdą po spłatę, to pozwij viasms, mówiąc, że ktoś się pod Ciebie podszył… Ech marzenia ściętej głowy. Tak by było w cywilizowanym kraju… U nas będziesz miał szczęście jak komornik zabierze sąsiadce toster a conto Twoich długów :-P
Jak dla mnie każdy dowód osobisty powinien mieć chip z podpisem elektronicznym, chronionym dodatkowo PINem.
I każda umowa pisemna mająca skutki finansowe (wymagające podania danych osobowych, a więc np. nie zakup ziemniaków w sklepie) powinna domyślnie wymagać użycia podpisu i wpisania PIN. Wymagane byłoby oczywiście połączenie z bazą danych w celu weryfikacji (tylko odczyt).
Oczywiście jak napisałem domyślnie, bo po np. udaniu się do urzędu, blokada na wniosek posiadacza dowodu byłaby zdejmowana.
Jednak wszyscy ci którzy nie chcą brać pożyczek a obawiają się o swoje bezpieczeństwo byliby o wiele lepiej chronieni. Umowa finansowa w takich przypadkach nie miałaby skutków prawnych i to pożyczkodawca miałby problem, że pieniądze pożyczył a nie ten który wziął, tak jak jest obecnie.
czy wiesz ile wiecej pracy dołożyłbyś urzędom ? :))
A dodatkowo każdy, podpisujący umowy zdalnie musiał by w domu mieć czytnik…
Witam,
pomysł z autentyfikacją przez chip w dowodzie oczywiście jest dobry a na dodatek to nie takie całkiem nierealne: np. niemiecki dowód osobisty posiada taką funkcję (opcjonalnie można zapakować tam podpis elektroniczny), czytniki (o podstawowych funkcjach, bez panelu klawiatury i wyświetlacza) są częściowo dotowane przez MSW, kwestia tylko, że istnieje jedynie znikoma ilość miejsc w sieci, gdzie możnaby tego użyć (w linku jest to parę ubezpieczalni, urzędów itp. ale są plany, że będzie tego więcej)
Info: https://www.personalausweisportal.de/EN/Citizens/Applications/applications_node.html
Bodajże w Estonii można na ichniejszy dowód nawet brać udział w wyborach parlamentarnych.
Pozdro.
pomysł z chipami upodlił minister Boni. Zmarnował ponad 1 mld na EPUAP (bez serwisu) zabrakło z tego co wiem 300 mln na chipy w dowodach. Na pytanie dlaczego to nie działa Odpowiedź jest prosta. ZA DUŻO CWANIAKÓW straciłoby plecy, kasę, stanowisko itp itp. siedzę w certyfikatach 8 lat. Obsługa bazy o zasięgu Polski to pewnie 100 etatów nie więcej, wzrost poziomu bezpieczeństwa o 1000%. A porządną klawiaturę z czytnikiem kupisz na A…. za 12 – 70 pln
Dokładnie podpis elektroniczny jest tani prosty i skuteczny.
Daje możliwość kontaktu z urzędami i bankami oraz podpisania dokumentów
Technicznie trywialna sprawa a nie udało się od 10 lat tego zrobić.
Chociaż hasła w bazie hashuja ;)
Maciek 1337owiec coś nie ma hasha:)
O zabawne ja miałem oferte pracy od nich niedawno. Całe ich IT siedzi na Łotwie, jedną osobę dopiero szukali do Polski ,)
Najwidoczniej na Łotwie nie mają takich hakierów jak są w PL ;)
A jeśli od czasu kiedy brałem u nich pożyczkę, wymieniłem dowód na nowy ponieważ starego kończył się ważność? Też muszę poczynić jakieś kroki?
Więc tylko zmienił się numer Twojego dowodu. Jeśli reszta danych:
Imię i naziwsko,
PESEL,
adres zamieszkania,
adres e-mail,
numer telefonu
pozostają bez zmian to pożyczki nikt za Ciebie nie weźmie, ale możesz spodziewać się dobrze spersonalizowanych reklam i prób wyłudzeń.
Nigdy brałem pożyczki przez internet w firmie pożyczkowej. Mam więc pytanie: czy te firmy weryfikują jakoś klientów? Czy pożyczkobiorcy potwierdzają jakoś swoją tożsamość np. przelewem z własnego konta bankowego? A może wystarczy wpisać tylko dane – choćby fałszywe – pożyczkodawcy?
Czy osoby które zaciągały takie pożyczki mogą sie wypowiedzieć?
@pytajnick – tak weryfikują klientów – najpierw podaje się wszystkie dane z dowodu osobistego, po czym wykonuje się przelew weryfikacyjny z własnego konta osobistego. Jest co prawda kilka firm które stosuje udzielanie pożyczek bez przelewania grosza czy złotówki, ale zamiast tego stosują specjalną aplikację do weryfikacji konta bankowego. Poza tym każda firma wykonuje połączenie telefoniczne do osoby starające się o pożyczkę, więc chyba numery telefonów również w jakiś sposób są weryfikowane. Wiem że konieczne jest posiadanie telefonu w abonamencie a nie na kartę, bynajmniej u tych firm z których oferty korzystałem.
Dam wpisanie danych więc nie wystarczy.
Na pośrednictwie w udzielaniu chwilówek zęby zjadłem, więc mogę się wypowiedzieć Przelewem z konta musisz się zweryfikować w większości z chwilówek. Niektóre dodatkowo chcą wyciąg z konta z trzech miesięcy (potwierdzenie dochodów). Część sprawdza bazy jak BIK, KRD (akurat viasms chyba tego nie robi – sporo osób figurujących w KRD dostawało pożyczki). Niektóre firmy chcą także skanu dowodu lub innego dokumentu ze zdjęciem.
Ja tez nie brałem, ale wiem tyle, że jak masz dowód osobisty to zawsze znajdziesz taka firme co ci udzieli pożyczki.
Prób wyłudzeń w jakim sensie?
Ciekawa sprawa z tymi alertami BIK. Warto dodać, że – owszem – po 60 dniach są one płatne, ale kwota 19 zł za rok to chyba nie jest duży wydatek, zwłaszcza na taki cel, jak zwiększenie bezpieczeństwa.
Dokładnie, poza tym dostajesz info jakbyś z czymś zalegał i ktoś cię wpisał do Krajowego Rejestru Dłużników.
Tu słowo sprostowania – BIK nie jest Krajowym Rejestrem Dłużników, a instytucją do której informacje przekazują banki, SKOK-i i inne instytucje finansowe (firmy pożyczkowe). Informacja w BIK pojawia się zawsze kiedy klienci ww. zaciągają kredyty, pożyczki, korzystają z kart kredytowych, debetów w koncie czy poręczają komuś kredyt. Informacje do BIK wpływają zawsze, bez względu na to czy ktoś reguluje te zobowiązania terminowo czy też z opóźnieniem. 90% informacji w BIK to dane pozytywne.
Alerty BIK możemy otrzymać w dwóch sytuacjach:
1. Jeśli wnioskuję w banku o kredyt, bank składa zapytanie o mnie w BIK, a ja dostaję Alert. Jeśli dostaję alert, a nie wnioskowałam o kredyt czy inny produkt typu karta kredytowa to mogę mieć podejrzenie, ze ktoś posługuje się moimi danymi o próbuje wyłudzić kredyt bądź kupić coś na raty.
2. Jeśli pogarsza się moja historia kredytowa (kredyty moje lub poręczone) dostaję Alert.
@Mateusz
Pewny nie jestem – więc pisze jak mi się wydaje: te alerty to tylko półśrodek. Z BIK korzystają przede wszystkim banki, firmy pożyczkowe niekoniecznie. Tak więc alerty BIK mogą ale nie muszą dać sygnał w przypadku wyłudzenia pożyczki…
to prawda choć liczba firm korzystających z bazy BIK wśród firm pożyczkowych jest co raz większa.
Firma umywa rece, mowi ze wszystko jest bezpieczne a tu na biku 33 zapytania o kredyt tylko z wczoraj. Oczywiscie nie z mojej strony. Pozyczka brana w grudniu 2015.
“zapewniła że uzyskamy odpowiedź dziś do godziny 12:00, ale niestety do tej pory nikt się z nami nie skontaktował… ”
No a gdzie nagranko ? :)
BTW co to jest na dole – data podana z walutą na końcu (3 linia od dołu). To od razu wyglada jak scam
https://niebezpiecznik.pl/post/nasz-stopkowy-easter-egg-niezle-was-strollowal/
też uważam to za kiepski żart…
Przy założeniu, że spryciarze z ViaSMS nie solą haseł do panelu i używają jakiejś popularnej funkcji hashującej, pokazanie nawet tych kilkunastu znaków z hasha może pozwolić na odgadnięcie hasła do panelu admina – zamazałbym całość hasha na Waszym miejscu.
Swoją drogą ciekawe jaka jest w Polsce skala wyłudzeń przez posługiwanie się danymi zdobytymi z takich źródeł jak opisane powyżej.
Teoretycznie nie powinno mnie interesować, że ktoś komuś dał np. pożyczkę, a biorący ukradł moje dane. To powinien być problem dającego, że nie dopełnił staranności przy weryfikacji. Ale to oczywiście teoria, bo odkręcanie tego typu spraw to droga przez mękę.
To jest wina polityków.
Przekupione świnie dbają o interesy wyzyskiwaczy i kombinatorów.
Czyli przykładowo pracownicy urzędów, mający legalny dostęp do danych obywateli (np. dowolnego USC, gdzie się wydaje dowody) mogą ich masowo wrabiać w pożyczki?
Nie nie mogą, bo a) nowe systemy (SRP, Źródło) za bardzo nie działają b) te nieźle działające – stare, jak i nowe są dobrze zabezpieczone a użytkownicy mają dostęp tylko do potrzebnych w danej chwili danych (PKI oparta na hasłach fizycznych plus logicznych, wydzielona i/lub szyfrowana komunikacja plus parę innych rzeczy). Jasne, czasem coś by się pewnie dało wyciągnąć ale wcale nie tak łatwo i nie tak często – dużo łatwiej z np. takiej firmy pożyczkowej.
Zrobcie sobie maly dlug ktory zablokuje Wam mozliwosc brania i nikt nie wezmie. Widze ze co chwila wyciekaja dane z tych portali. Niebezpiecxnik robi szkolenia po 3000 . Szkolmy sie i latajmy dziury .
@P4, jemu chodzilo o 3 linijke od dolu w screenie, a nie o stopke :p
Dzięki. Wyjaśniłeś P4 o co mi chodzi. Wyjaśniłeś mi, o co jemu chodzi:)
“1. powinieneś obowiązkowo zastrzec swój dokument tożsamości (do zrobienia w każdym banku lub na policji)”
Dlaczego dowody osobiste nie są zastrzegane z automatu po ich odebraniu?
:)
Śmieszny jest ten świat.
Dowód można zastrzec również za pośrednictwem BIK, warunkiem jest posiadanie konta w serwisie bik.pl. Ma to dokładnie taki sam efekt jak zastrzeżenie w banku, bo informacja trafia do Systemu Dokumenty Zastrzeżone.
Alerty BIK są super, ale z firm pożyczkowych z BIK korzystają vivus/zaplo, wonga i aasa.
W raporcie BIK nie widzę ani viasms, pandamoney, filarum, netcredit itd, a też brałem od nich kase.. Czyli chyba jednak blokada dowodu..
Brałeś i co z nią robiłeś ? Bo zawsze mnie zastanwia jak to jest że ktoś nie ma kasy tu i teraz, a potem ma i to ze sporymi odsetkami i innymi kosztami.
Filip, naprawa samochodu, leczenie, szybki wyjazd w góry żeby odreagować stres, a do wypłaty jeszcze dwa tygodnie.
No i niektórzy zarabiają na zleceniach, które nie są stałym źródłem regularnego dochodu.
Dlatego do zawierania umów przez internet polecam korzystanie z usług w rodzaju DocuSign czy naszej rodzimej Autenti :)
A jaka jest wartosc dodana?
Oj to zależy do czego przyrównać – czy do podpisu tradycyjnego czy do przesłania skanu mailem czy po prostu odklikania jakiegoś checkboxa z oświadczeniem online.
Przede wszystkim na takiej platformie do podpisywania dokumenty są szyfrowane. Większość umów – czy to w postaci plików źródłowych, czy skanów – jest przesyłana zapewne mailami w postaci niezaszyfrowanej (z czego wielu przedsiębiorców sobie w ogóle nie zdaje sprawy, dopóki się im tego nie uświadomi).
W przypadku poczty tradycyjnej/kuriera z reguły nie mamy pewności kto faktycznie z drugiej strony składa podpis – czy nie jest to np. parafka sekretarki + pieczątka prezesa? Wg mnie większa jest pewność, że dany dokument zobaczy i podpisze właściciel znanego nam emaila (z reguły imiennego) niż adresat zwykłej przesyłki listownej/kurierskiej (mam na myśli B2B). W stosunku do podpisów na papierze dochodzą jeszcze aspekty szybkości i oszczędności na przesyłkach.
Zewnętrzna usługa jest ponadto stroną trzecią, przechowującą dokument lub skrót – umożliwiający jego weryfikację – i dostarcza materiał dowodowy poważniejszy niż np. wydruk maila czy logów z własnego (a więc przez siebie kontrolowanego) systemu.
Na koniec – gdyby wspomniana firma przechowywała umowy w takiej platformie, to zapewne nie doszłoby do takiego wycieku. Ale moja opinia zapewne nie jest obiektywna :)
Rozumiem otoczkę kryptograficzną (którą zwykli ludzie załatwiają po prostu przez GPG i ew. znakowanie czasem) ;P
Natomiast co do tego, że gdyby viasms.pl korzystalo z ktorejs z tych uslugo to nie byloby wycieku — tu sie nie zgodze. Dokumenty przeciez (do wgladu i podpisu) są dostępne po linku. A więc dalej dla każdego kto ma link. Jasne, można mówić o funkcjach dodatkowych , które np. robią TTL na dokumencie — ale to kwestia software’owa. Może viasms też coś takiego miało, ale na skutek błędu nagle przestało to działać. Generalnie doceniam chęć zaprezentowania tych usług, ale wydaje mi się, że nie do końca są rozwiązaniem problemu o jakim tu dyskutujemy ;)
To czy dokument jest dostępny w takiej usłudze po linku czy też nie (bo wymaga np. zalogowania albo podania jakiegoś pinu/kodu SMS lub jego ważność wygasa) zależy faktycznie od platformy do e-podpisu. Różne mają różne opcje bezpieczeństwa “w defaulcie” ;) Ale nawet zakładając, że dokument byłby dostępny po unikalnym linku z jakimś hashem, to byłoby i tak bezpieczniej – bo musiałaby wyciec np. cała baza (maili, urli…) a to już ciut trudniejsze niż otwarty dostęp jak w ww. przypadku.
Dokładnie tak jak ktoś w wątku wspomniał – większość użytkowników internetu nie ma pojęcia nic o bezpieczeństwie ich danych dlatego to do obowiązku firmy świadczącej usługę należy jej właściwe zabezpieczenie. To NIE wina użytkowników, że podali swoje dane na stronie a takie wtopy tylko szkodzą rozwojowi e-*.
Podobnie jak nikomu nie przychodzi już do głowy integrowanie się z poszczególnymi bankami do realizowania płatności czy bezpośrednio z operatorami GSM do wysyłania smsów, lecz korzysta się w tym zakresie z dostępnych usług, to bezpieczniej i łatwiej jest skorzystać z gotowych usług do zawierania umów/składania oświadczeń/zatwierdzania dokumentów w internecie – zwłaszcza jeśli mamy do czynienia z danymi osobowymi konsumentów takimi jak adres i pesel…
Pytałeś o wartość dodaną, więc odpowiedziałem :) Wiadomo, że wystarczyłoby, gdyby programista chwilę dłużej pomyślał, czy to co zrobił jest OK (nie wspominając o jakimś szkoleniu ;)) albo gdyby firma zewnętrzna zaudytowała sobie “stronę”. Może firmy przechowujące setki tysięcy rekordów danych osobowych faktycznie powinny podlegać jakimś obostrzeniom w tym zakresie większym niż tylko zgłoszenie bazy do GIODO albo posiadanie ABI.
Viasms wydalo oswiadczenie w tej sprawie, moze jakies poruszenie jak to wyglada i ma wygladac dalej?
Do nas żadne oświadczenie nie dotarło, pomimo wielokrotnych prób kontaktu.
Odpowiedź viasms na prośbę usunięcia danych:
Szanowny Panie,
Bardzo dziękujemy za zainteresowanie usługami VIA SMS PL Sp. z o.o.
Doskonale rozumiemy troskę związaną z Pana danymi osobowymi. Pragniemy zapewnić, iż Spółka dba o najwyższe bezpieczeństwo danych osobowych swoich klientów. Musimy jednak poinformować Pana, iż usunięcie Pana danych osobowych ze zbioru danych jest w chwili obecnej niemożliwe z uwagi na szczególne przepisy prawa. W szczególności obowiązek przechowywania danych osobowych po zakończeniu świadczenia usług dla klientów wynika z ustawy o świadczeniu usług drogą elektroniczną (art. 19 ust. 1 pkt 1 i 4), ustawy o rachunkowości (art. 74 ust.2 pkt 1 i 4), oraz ordynacji podatkowej (art. 32 § 1, art. 86). Zgodnie z tymi przepisami Spółka, po zakończeniu świadczenia usługi drogą elektroniczną, uprawniona jest do przetwarzania danych osobowych m.in. niezbędnych do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi. Spółka zobowiązana jest również do przechowywania ksiąg rachunkowych oraz dowodów księgowych dotyczących transakcji (a tym samym także danych osobowych swoich klientów) maksymalnie przez okres 5 lat od końca roku, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione.
Jednakże pragnę Pana zapewnić, iż Pana dane osobowe zostały odpowiednio zabezpieczone oraz zarchiwizowane w zbiorze danych i nie są przetwarzane na bieżąco przez system informatyczny dla celów marketingowych (z zastrzeżeniem sytuacji, w której Spółka nabędzie określoną bazę danych osobowych z zewnętrznego źródła, w której znajdować się będą Pana dane osobowe), a jedynie przechowywane zgodnie z wyżej wymienionymi przepisami i dla celów w nich określonych.
Z wyrazami szacunku,
VIA SMS PL
[…] Portal opisał sposób poboru danych prosto i czytelnie. Wystarczyło przy pobieraniu przez klienta druku umowy wpisać zamiast swojego numeru wniosku jakiś inny, kolejny lub poprzedni. Wtedy otrzymywało się cudze dane takie jak imię i nazwisko, numer pesel, adres, mail, telefon i numery dokumentów osobistych. […]
[…] Niebezpiecznik sugeruje, że tego typu umów mogło być nawet 2 mln! Na szczęście, każda z umów nie była indeksowana w wyszukiwarce Google i w dniu 27-01-2016 dostęp do prywatnych danych został zablokowany. Mimo to portal ostrzega, że tego typu dane w rękach cyberprzestępców są bardzo niebezpieczne. Cały artykuł znajduje się tutaj. […]