12:40
23/11/2020

Niestety, cudzy Profil Zaufany da się złośliwie przejąć i oszuści już to robią, a potem kilkoma kliknięciami biorą pożyczki na dane ofiar i automatycznie je dostają. Proceder najwyraźniej ułatwiają niedociągnięcia w mechanizmach zakładania profilu w… okienku pocztowym (wiedzieliście, że tam też można sobie założyć PZ?). Co gorsza, ofiara może przez długi czas nie wiedzieć o tym, że przybywa jej zobowiązań finansowych.

Dane Polaków codziennie są wykradane i coraz częściej skutkuje to przejęciem ich cyfrowej tożsamości. Dowiedz się:
co zrobić, kiedy dojdzie do wycieku naszych danych osobowych
– jak najskuteczniej zabezpieczyć się przed niechcianą pożyczką
Obejrzyj nasz godzinny wykład, który wyjaśnia krok po kroku z jakich darmowych i płatnych usług warto, a z jakich nie warto korzystać, aby chronić swoje “cyfrowe ja”. Podaj kod “PROFILZAUFANY” aby uzyskać dostęp do nagrania wykładu w cenie aż o 56 PLN niższej. Kod zniżkowy działa tylko do końca dnia.

Zanim opiszemy historię związaną z oszustwem proponujemy wam małe ćwiczenie. Pomyślcie co może zrobić oszust, który przejął już istniejący Profil Zaufany jakiejś osoby lub po prostu go sobie utworzył na dane ofiary? Może wysyłać pisma do urzędów? To nie brzmi groźnie, ale przecież oszust może także:

…i to nie jest koniec wyliczanki, ale już to jest przerażające. Teraz zastanówmy się, czy przejęcie czyjegoś Profilu Zaufanego jest bardzo trudne? Owszem, wymaga nieco zachodu, ale jest możliwe. Problem omówimy na przykładzie jednego z pokrzywdzonych Czytelników, którego na potrzeby tego tekstu nazwiemy Kajetanem.

Dziwna pożyczka

Na Kajetana w czasie wakacji ktoś wziął kredyt w Alior Banku. Pomyślicie pewnie, że takie rzeczy się zdarzają? Owszem, ale…

  • Kajetan miał już konto w Aliorze,
  • Oszust podał w umowie inne dane kontaktowe niż znane bankowi (!!!),
  • Bank z własnej inicjatywy dodał do “lewej” umowy kredytowej prawdziwy numer CIF Kajetana (tzn. identyfikator klienta), podpiął wzięty kredyt do konta Kajetana oraz zmienił dane kontaktowe Kajetana z prawdziwych na te z “fałszywej” umowy.

Potem Alior zaczął obciążać konto Kajetana odsetkami i dopiero w ten sposób pokrzywdzony dowiedział się o oszustwie. Tutaj Kajetan miał trochę szczęścia bo mógł podjąć dalsze śledztwo w kierunku ustalenia co ktoś zrobił z jego danymi. Nie wszyscy tyle szczęścia mają (por. Co się może stać gdy wycieknie Twój PESEL? Historia Aleksandry to dobra odpowiedź).

Straciłem tydzień z życia na wyjaśnianie

Kajetan powiedział nam, że “wyrwał sobie tydzień z życia” aby ustalić co dokładnie się stało. Z uznaniem przyznajemy, że dużo osiągnął. Często w takich sytuacjach ofiary są pozostawiane same sobie, obijają się po różnych infoliniach i najczęściej wysłuchują informacji w rodzaju “nie mogę ujawnić” albo “proszę się zwrócić z pismem/reklamacją”. Można wręcz odnieść wrażenie, że uczciwy człowiek załatwi znacznie mniej niż oszust. No cóż… oszust w momencie dokonywania oszustwa jest “klientem”, któremu wszystko trzeba ułatwić. Ofiary to ludzie zgłaszający problemy – mają trudniej.

Kajetanowi dzięki uporowi i łutowi szczęścia udało się ustalić, że oszust zaczął działać pod koniec lipca. Uzyskał dostęp do Profilu Zaufanego Kajetana przez platformę Envelo (Poczty Polskiej).

Kajetan miał wcześniej Profil Zaufany, a zatem otrzymał e-mail o tym, że jego Profil Zaufany został unieważniony. Nie dziwimy się, że nie zareagował na taką wiadomość. Nie musiał podejrzewać od razu oszustwa, bo Profile Zaufane mają określoną ważność, a zatem ich długoletni użytkownicy nie są zdziwieni mailami o ich unieważnieniu. Sami takie otrzymywaliśmy.

Zatrzymajmy się na chwilę w tym miejscu. Jak można przejąć czyiś Profil Zaufany (PZ)?

Przejęcie PZ – można przez bank

Obecnie Profil Zaufany można wyrobić na kilka sposobów, co ładnie ilustruje strona logowania (poniżej).  Możemy więc wyrobić go tradycyjnie (poprzez wizytę w urzędzie), przez jeden z 10 systemów transakcyjnych banków lub przez platformę pocztową Envelo. Profil Zaufany może też być spięty z e-dowodem lub certyfikatem kwalifikowanym.

Dwa sposoby przejęcia PZ wydają się szczególne prawdopodobne. Po pierwsze oszust może stworzyć konto w banku na dane ofiary i następnie użyć tego konta do zmiany logowania do Profilu Zaufanego.

Procedura zmiany sposobu logowania do PZ trwa 2-3 minuty (jeśli kontro już jest) i nie wymaga żadnej autoryzacji starą metodą logowania. Wiedzieliśmy, że tak jest, ale dla pewności sprawdziliśmy jeszcze dziś rano. Nasz redaktor wyrobił sobie Profil Zaufany przez konto w banku A, a zaledwie kilka minut później zalogował się do banku B i zmienił metodę logowania na bank B. Po całej procedurze zostały dwa ślady – SMS i e-mail wysłane na telefon i mail podpięte do konta w banku A.

W takim przypadku SMS ma treść:

Twój profil zaufany został powiązany z kontem w systemie [NAZWA BANKU]. Możesz teraz wykorzystywać profil zaufany za pośrednictwem tego konta.

Mail wygląda tak.

Jeszcze raz podkreślmy, że zmiana sposobu autoryzacji nie wymaga żadnego potwierdzenia starym narzędziem autoryzacji. Nie ma żadnego znaczenia to, że mamy wcześniej profil zaufany z banku A. Po prostu korzystamy z odpowiedniej opcji w banku B. i dochodzi do zmiany sposobu autoryzacji.

Przejęcie Profilu Zaufanego przez Envelo

Wiele wskazuje, że w przypadku Kajetana do przejęcia konta doszło przez Pocztę Polską i Envelo. Ta procedura wymaga wizyty na poczcie i okazania dowodu osobistego. Fałszywy dowód na dane ofiary – nie ukrywajmy – da się zdobyć nie wychodząc z domu. Oszust najprawdopodobniej poszedł do pocztowego okienka i dowodem się okazał, ale tu warto zadać jeszcze jedno pytanie — na ile skuteczna jest weryfikacja dowodu na poczcie? Pewnie wielu z Was też na poczcie musiało się okazać dowodem przy różnych operacjach, przypomnijcie sobie jak wyglądała weryfikacja tego dokumentu. W naszych przypadkach, nie zawsze było to robione rzetelnie.

W Polsce mamy obecnie 4 funkcjonujące wzorce dowodów osobistych (2001, 2013, 2015 i 2019). Czy przeciętny pracownik poczty zna ich zabezpieczenia? Ten najnowszy ma 9 zabezpieczeń widocznych w świetle widzialnym oraz zabezpieczenia widoczne w dwóch rodzajach światła ultrafioletowego (365 nm i 313 nm). Pracownicy Poczty powinni je uważnie oglądać bo innej weryfikacji już nie ma.

Wystarczy imię, nazwisko i PESEL

Przejęcie PZ byłoby trudniejsze, gdyby pracownik poczty porównywał dane interesanta z danymi z Systemu Rejestrów Państwowych. Tego się jednak nie robi. Biuro prasowe Cyfryzacji KPRM (czyli tego co zostało z Ministerstwa Cyfryzacji) wyjaśniło nam, że…

W zakresie potwierdzenia przez podmiot niepubliczny tożsamości osoby, której wydaje się środek identyfikacji elektronicznej (profil zaufany) muszą być spełnione wymogi określone w § 19 ust. 1 pkt 4 lit. a Rozporządzenia Ministra Cyfryzacji w sprawie profilu zaufanego i podpisu zaufanego (Dz.U. z 2020 r. poz. 1194). Dla systemu Envelo weryfikacja tożsamości następuje przy okazaniu dokumentu podczas fizycznej obecności (…) Nie ma możliwości wyświetlenia danych z Systemu Rejestrów Państwowych, ale nie tyko weryfikuje się zgodność z danymi na dokumencie, ale też weryfikuje się autentyczność dokumentu.

To oznacza, że oszust musi mieć fałszywy dowód, w którym zgadzać muszą się trzy dane imię, nazwisko, PESEL. Zdjęcie może być fotką samego oszusta bo w czasie weryfikacji na poczcie nie dochodzi do wyświetlenia zdjęcia z rejestrów państwowych. Numer dowodu też może być stary lub sztucznie wygenerowany gdyż ta dana nie jest w ogóle weryfikowana. Tu znów oddajmy głos przedstawicielom prasowym rządu.

  • w procesie samodzielnego potwierdzenia PZ za pomocą środka identyfikacji wydanego w systemie podmiotu niepublicznego, o którym mowa w art. 20c ust. 1 pkt 3 Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2020 r. poz. 346), w powiązaniu z ust. 8 – weryfikowane są imię (imiona), nazwisko i PESEL,
    (…)
  •  także w procesie potwierdzania PZ na poczcie w trybie art.20c ust. 1 pkt 1 ustawy, w powiązaniu z ust. 3 pkt 3 – weryfikowane są imię (imiona), nazwisko i PESEL.

To zmienia naszą wiedzę na temat tego, jaki zestaw danych jest potrzebny do wzięcia pożyczki na kogoś. Jeśli do założenia PZ wystarczy imię, nazwisko i PESEL to resztę danych można zdobyć już mając PZ. 

Tu ciekawostka. Zgodnie z przywołanym rozporządzeniem dokument nie musi być weryfikowany w osobistym kontakcie.

§ 19. 1. Wykorzystanie środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego do potwierdzania profilu zaufanego, uwierzytelnienia oraz autoryzacji wymaga:
(…)
4) potwierdzenia przez podmiot niepubliczny tożsamości osoby (…) na podstawie:
a) okazanego podczas fizycznej obecności lub w trakcie nagrywanej w czasie rzeczywistym transmisji audiowizualnej dokumentu tożsamości, który zawiera numer PESEL, z zachowaniem należytej staranności w ustaleniu autentyczności dokumentu tożsamości oraz w działaniach zmierzających do zminimalizowania ryzyka, że tożsamość deklarowana przy użyciu okazanego dokumentu tożsamości jest niezgodna z faktyczną tożsamością osoby okazującej ten dokument.

Bardzo jesteśmy ciekawi jak może wyglądać taka zdalna i “staranna” weryfikacja tożsamości. Z drugiej strony gdy sami załatwialiśmy sprawy na poczcie, nie widzieliśmy by sprawdzano tam np. wypukłości (wymaga to wzięcia dowodu do ręki lub oglądania go pod kątem, czego nikt nie robił). Mamy pewne obawy w związku z tym przepisem zważywszy na to, że w czasach epidemii różne instytucje przechodzą na pracę zdalną lub hybrydową.

Zwrócimy się jeszcze do biura prasowego KPRM z dodatkowymi pytaniami i prośbami dotyczącymi bezpieczeństwa PZ. Mamy nadzieję, że niniejszy tekst będzie dobrym punktem wyjścia do dyskusji. Tymczasem wróćmy do sprawy Kajetana.

Oszustwa ciąg dalszy

Po przejęciu Profilu Zaufanego przez Envelo oszust szybko założył konto w jednym z dużych, polskich banków (jeszcze nie w Aliorze). Na to konto ok. trzy dni później oszust wpłacił 100 zł, a potem wykonał płatność na 32 złote, prawdopodobnie w celu założenia konta w Biurze Informacji Kredytowej. Tutaj paradoks – konto w BIK służy utrudnianiu oszustw, ale coraz częściej obserwujemy, że oszuści tworzą lub przejmują konta w BIK właśnie w celu utrudnienia ofierze odkręcania oszustwa i po to aby usprawnić sobie jego realizację (tj. ustalenia zobowiązań ofiary lub po to, aby ustalić czy ofiara ma włączone alerty BIK)!

Kredyciki, pożyczki i zakupy na Allegro

Po trzech kolejnych dniach oszust wziął na Kajetana 2 pożyczki, po czym zaczął na jego dane kupować towary na raty przez Allegro. Jeden z zakupów był finansowany przez Aliora i jak już wiecie, to dzięki niemu Kajetan o oszustwie się dowiedział. Oszust miał też nieudane próby wzięcia pożyczek i to jest coś, co zwykle się przewija przy tego typu historiach. W niektórych firmach pożyczkowych ochrona przeciw wyłudzeniom po prostu działa, ale w innych nie.

Dziurawa ochrona anty-pożyczkowa

Dwa lata temu w Niebezpieczniku opublikowaliśmy tekst o tym co robić gdy ktoś weźmie pożyczkę na wasze dane i jak potencjalnie się przed tym ochronić. Już wówczas pisaliśmy, że żadne z przedstawionych rozwiązań nie jest doskonałe i żadne nie jest  standardem przyjętym na całym rynku. Możesz sobie włączać różne alerty, zastrzegać, sprawdzać się w BIK-u i w BIG-ach, możesz poszukiwać swoich kont bankowych i mimo to możesz nie dowiedzieć wszystkiego o swoich zobowiązaniach kredytowych!

Obecnie, najbardziej aktualny zestaw rekomendacji (bo przez 2 lata sporo się zmieniło w tym jak działają różne państwowe i prywatne mechanizmy, które mogą nam pomóc w przypadku kradzieży tożsamości) zebraliśmy w naszym godzinnym wykładzie, który wyjaśnia krok po kroku z jakich darmowych i płatnych usług warto, a z jakich nie warto korzystać, aby chronić swoje “cyfrowe ja” (tylko do końca dnia z kodem “PROFILZAUFANY” nagranie można zobaczyć aż o 56 PLN taniej. Z wykładem warto się zapoznać, bo część z prezentowanych tam zaleceń należy wykonać jeszcze PRZED kradzieżą tożsamości, aby jak najlepiej ochronić swoje dane i finanse.

Weźmy na przykład  Centralną Informację o Rachunkach, którą prowadzi Krajowa Izba Rozliczeniowa. Teoretycznie powinna ona umożliwić ustalenie wszystkich swoich kont bankowych. Ot, składasz wniosek, płacisz i dowiadujesz się gdzie są wszystkie Twoje konta. Proste? Wcale nie. W niektórych bankach obsługa będzie bardzo zdziwiona gdy zechcecie złożyć wniosek o sprawdzenie swoich kont. Nawet gdy to się uda, informacja z CIR nie będzie obejmować rachunków technicznych utworzonych np. w celu obsługi jakiegoś kredytu.

Poszczególne firmy pożyczkowe mogą współpracować z różnymi BIG-ami. Alerty z BIK też nie ostrzegą przed absolutnie wszystkimi próbami wzięcia pożyczek. Konta w BIK-u lub w BIG-ach też mogą być przejęte przez oszustów, a czasami w ich zabezpieczeniach znajdowały się łatwe do wykorzystania luki.

Od lat powtarzamy, że w Polsce przydałby się ujednolicony system typu “credit freeze”. Jeszcze bardziej przydałoby się przemyśleć bezpieczeństwo tworzenia Profilu Zaufanego lub zmiany sposobu autoryzacji w ramach tego narzędzia. Póki tego nie ma, trzeba sobie radzić nieoficjalnymi “hackami”, z których kilka zostało opisanych w naszym wykładzie.

Seria małych niedociągnięć = katastrofa

Przypadek Kajetana nie jest odosobniony. Znamy 2 podobne przypadki, przy czym w jednym z nich oszustwo udało się zatrzymać na wcześniejszym etapie. Kajetan we własnym zakresie też namierzył kilka ofiar podobnych przestępstw i co ciekawe ofiary są zbliżone do siebie geograficznie. Oszust wydaje się robić pewne błędy, których z łatwością mógłby uniknąć. Nie będziemy o nich pisać teraz, żeby złodziej za bardzo się nie “poprawił”, ale wyraźnie widać, że ktoś powtarza ten sam schemat.

Sprawcy korzystają z serii drobnych niedociągnięć w dziedzinie bezpieczeństwa. Jedna drobnostka ułatwia im założenie PZ, inna ułatwia zawarcie umowy itd. Każda z tych rzeczy z osobna nie wydaje się dużym problemem bezpieczeństwa. Wszystkie razem składają się na katastrofę. To trochę jak przy wypadkach lotniczych, gdzie śmierć dziesiątek ludzi jest wynikiem wielu małych pomyłek różnych osób, z pozoru pracujących całkiem oddzielnie.

Niedociągnięcia w bezpieczeństwie Profilu Zaufanego mogą być łatane miesiącami, o czym pisaliśmy m.in. w artykule pt. Jak można było poznać wysokość zarobków milionów Polaków przez lukę w internetowej platformie ZUS-u?. Obecnie nie wiemy, czy MC zechce jakkolwiek zmieniać zasady zakładania konta za pośrednictwem Poczty.

Stracą pożyczkodawcy, ale ofiary też

Dużo ostatnio pisaliśmy o tym, że banki w wielu przypadkach powinny zwracać pieniądze ofiarom włamań na konta. Sytuacja prawna jest inna w przypadku pożyczek wziętych na cudze dane. W tym przypadku nie mamy do czynienia z “transakcją płatniczą”, ale z oświadczeniem woli o wzięciu pożyczki, którego faktycznie nie było. Banki nie mogą dyskutować o kwestii ewentualnego niedbalstwa klienta (choć próbują). Pisaliśmy o tym w tekście pt. Udostępniła córce loginy i hasła, ale nie zapłaci za “rażące niedbalstwo” (wyrok).

Ostatecznie to firmy pożyczkowe poniosą straty. Ale to nie oznacza brak kłopotów dla ofiar. Jak pisaliśmy już wcześniej, w sytuacji wzięcia pożyczki na nasze dane nie możemy pokpić sprawy i nie ma czegoś takiego jak “domniemanie niewinności”. To na ofierze będzie spoczywał obowiązek poinformowania firmy pożyczkowej, że doszło do wyłudzenia. Owszem, firma pożyczkowa może wstrzymać działania windykacyjne, ale to ofiara musi ustalić fakt wzięcia pożyczki i zadbać o zgłoszenie. Przyznajmy też, że nie każdy będzie w tych sprawach tak sprawny jak Kajetan, a nawet on najadł się nerwów.  Również ofiara musi zadbać o wskazanie przed sądem dowodów, że to nie ona wzięła daną pożyczKę (wskazane jest dokumentowanie wszystkiego i wskazywanie wszelkich nieścisłości).

O tym jak to zrobić, w jakiej formie i gdzie zwrócić się najpierw dowiesz się z naszego godzinnego wykładu. Podaj kod “PROFILZAUFANY” aby uzyskać dostęp do nagrania wykładu w cenie aż o 56 PLN niższej. Kod zniżkowy działa tylko do końca dnia.

Według ostatniego raportu infoDOK tylko w III kwartale tego roku łączna kwota prób wyłudzeń kredytów wyniosła 61,3 mln zł. Statystycznie (włącznie z weekendami) w analizowanym kwartale odnotowywano 20 prób wyłudzeń dziennie.

Co robić? Jak żyć?

Przede wszystkim uważaj na powiadomienia dotyczące zmian na twoim Profilu Zaufanym. Mogą one oznaczać oszustwo. W takim wypadku jak najszybciej na powrót zmień ustawienia autoryzacji na takie, nad którymi masz kontrolę. W razie zauważenia zmian, których nie ty dokonałeś, rozważ zastrzeżenie swoich danych w BIK lub włączenie alertów (tak, wiemy że to nie jest doskonała ochrona). Sprawdź się też w BIG-ach by mieć pewność, że nie było dziwnych zapytań o twoje dane. Czy pisaliśmy już o zobaczeniu pewnego wykładu, który te zawiłości odczarowuje tak, aby mógł przez nie przejść normalny człowiek? ;-)

Jeśli znacie przypadki podobnych oszustw, prosimy o kontakt z redakcją. Porównanie podobnych przypadków może być bardzo przydatne. Możemy też w przyszłości skontaktować ofiary z osobami, które rozważają podjęcie wspólnych działań prawnych.

Aktualizacja 24.11.2020 8:13

Do naszej redakcji już zgłaszają się kolejne ofiary przejęcia profili zaufanych. Jedna z tych osób – Andrzej – opisał swoją historię na Facebooku już 27 listopada. Andrzej radzi, aby uruchomić alerty w BIK bo jemu pomogło to szybko zorientować się w sytuacji. Niestety to nie oznacza, że było całkiem bezproblemowo.

Andrzej słusznie zauważa, że problemem jest nie tylko sposób uzyskiwania PZ ale również podpisywanie umów z bankami przez kuriera. Niektóre banki to mają. Akurat w przypadku Andrzeja oszust założył sobie konto przez Millenium, ale znamy też przypadek wykorzystania konta w PKO BP.

Napisała do nas również osoba, której współmałżonek padł ofiarą przejęcia PZ. Tutaj również częściowo pomogło konto w BIK, ale jednak do wyłudzeń doszło. PZ również został wyrobiony przez Envelo i ofiara również zauważyła pewne błędy po stronie oszusta.

Aktualizacja 25.11.2020 9:51

Więcej informacji na ten temat znajdziecie w kolejnym artykule pt. Poczta Polska: Próby przejęcia Profili Zaufanych dotyczą 0,019% wszystkich kont

Niniejszy artykuł został poprawiony w miejscach, w których wspominał o Ministerstwie Cyfryzacji. To ministerstwo zostało zlikwidowane, natomiast cyfryzacją zajmuje się KPRM, która z jakiegoś powodu pozostawiła przy życiu biuro prasowe do takich spraw. Stąd pomyłka. 

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

93 komentarzy

Dodaj komentarz
  1. Alior bank to stan umysłu.

    • Prośba do Niebezpiecznika w kontekście artykułu, czy znane są wam jakieś procedury umożliwiające unieważnienie/zablokowanie PZ przez jego właściciela?
      Na stronie pz.gov.pl w faq jest wiele przydatnych informacji, ale nie ta.

  2. Wart odnotowania jest fakt, że alerty BIK są usługą płatną objętą abonamentem.

  3. W temacie konta BIK to założenie fałszywego było kiedyś (może i nadal) niezmiernie proste. Potwierdzenie tożsamości za pośrednictwem listu wysłanego pocztą, listonosz nie sprawdza danych bo nie musi. Zakładałam konto z taką właśnie weryfikacją i list odebrał współlokator.

  4. Prośba do Niebezpiecznika – nadajcie sprawie szerszy bieg niż tylko artykuł na portalu – odpowiednie instytucje, w tym NASK i CERT oraz CSIRT GOV powinny pochylić się nad problemem gdyż dotyczy to Profilu Zaufanego – jego kompromitacja doprowadzi w prostej drodze do spadku zaufania publicznego nie tylko do tego rozwiązania ale i do banków i instytucji powiązanych.

  5. A może przestępca pokazał spreparowany dowód na smartfonie? Czy taka forma w praktyce by wystarczyła do potwierdzenia swojej tożsamości?

    • Niestety nie wiemy jak wyglądało uwierzytelnienie “w okienku” na poczcie, z ustaleń wynika tylko, że profil został założony przez Envelo.

      Złodziej mógł pokazać zamówiony w internecie “dowód kolekcjonerski” do ręki, ale mógł też zaprezentować przez szybę wydruk dowodu w “obwolucie”, mógł też przekonać, że dowód na smartfonie wystarczy, albo mógł po prostu zapłacić pracownikowi za to, żeby ten nie sprawdził dowodu w ogóle. Taki skorumpowany pracownik poczty przecież nie kseruje dowodu, ani nie weryfikuje danych na nim, co opisaliśmy w artykule, wiec nikt nie wykaże mu później, że przeoczył oczywiste ślady fałszerstwa, bo nikt nie wie jak wyglądała ta operacja weryfikacji. Równie dobrze dowód mógł być prawdziwy (“pożyczony” na chwilę od ofiary). Wygląda to na zero odpowiedzialności, a w najgorszym przypadku na 3 miesięczne pensje plus zwolnienie.

  6. Wszystko się zgadza, problem z PZ wynika z tego, że to coś co miało formę tymczasową, a stało się standardem (na zasadzie jak działa to po co przepłacać). Efekt jest opłakany, dopiero teraz pojawiają się jakieś 2FA, które jak widać powyżej działają z różnym skutkiem. Od siebie dodam tylko, że przez profil zaufany można również złożyć wniosek o autentyczny DO i owszem, urzędnik sprawdza (białkowo) bazę zdjęć z rejestru PESEL ale jestem pewien, że wyrobienie autentycznego dokumentu przez osobę trzecią w pewnych “warunkach” jest całkowicie możliwe. Osobiście uważam, że nazwa “Profil Zaufany” to w tym przypadku całkiem udany oksymoron. Całość problemów z PZ wyeliminuje dopiero e-DO.

  7. Coś z tym trzeba byłoby w końcu zrobić. Zastanawiam się, na ile jako środowisko jesteśmy w stanie doprowadzić do złożenia projektu ustawy o credit freeze i ewentualnych innych rozwiązaniach regulujących temat. Same analizy bezpieczeństwa tu nie wystarczą.

  8. Ehhh kiedy to się w końcu zmieni. Nie powinno być tak, że znając kilka danych można narobić takich szkód. A poznanie imienia, nazwiska, peselu czy nr dowodu to żaden problem, wystarczy popracować np u jakiegoś operatora komórkowego czy coś podobnego i już ma się dostęp do całej masy tego typu danych.
    Mamy przecież Rejestr Danych Kontaktowych, każdy może się dobrowolnie wpisać. Mogli by te dane wykorzystywać (oczywiście za odpowiednią zgodą) do informowania o tym, że kredyt/pożyczka/założenie nowego konta bankowego/profil zaufany itd, krótkie, proste powiadomienia o tym co się dzieje. Albo wręcz możliwość włączenia zabezpieczenia – chcesz wziąć kredyt/pożyczkę, podaj kod wysłany na email/tel podany w RDK.

    Kiedy też doczekamy się wymuszenia weryfikacji min. 2 etapowej w wszystkich ważnych usługach ?
    Do ZUS dalej zalogować się można tylko loginem i hasłem, nie ma możliwości włączenia weryfikacji 2 etapowej, nie ma możliwości wyłączenia logowania po samym haśle (jest to dostępne np w profilu zaufanym, ale w ZUS już nie). Prosty login+hasło i mamy dostęp do wielu wrażliwych danych z ZUS. Już nawet kod wysłany na email/sms by wystarczył, ale nie wiedzieć czemu dalej tego nie wprowadzili!

    • > Albo wręcz możliwość włączenia zabezpieczenia – chcesz wziąć kredyt/pożyczkę, podaj kod wysłany na email/tel podany w RDK.

      Ale opt-in.
      Nie można kazać wszystkim babciom kupować telefonu i komputera…

    • A dlaczego po prostu nie wykorzystać podpisu elektronicznego? Po co jakiekolwiek logowanie, uwiarygadnianie itp.? Czy nie wystarczy by system Profilu Zaufanego znał TYLKO Twój klucz publiczny? Zamiast haseł i tony sprzężonych usług (ja np. bez banku i szczwanofona o dwu fazowym logowaniu mogę zapomnieć) wystarczy PODPISAĆ cyfrowo TYLKO TOBIE znanym kluczem prywatnym określony tekst I gotowe. Jak to technicznie zrobisz to już powinna być tylko i wyłącznie TWOJA sprawa.

    • W dobie ogłoszonej pandemii zdobycie takich danych jak imię, nazwisko, pesel, nr telefonu czy adres e-mail to żaden problem. Ci co próbują dostać się do lekarza czy szpitala osobiście, takie dane są zmuszeni podać. Co się dzieje z tymi danymi? Kto ma do nich dostęp? Czy oświadczenia są ewidencjonowane, kontrolowane? A co z RODO? Na tych świstkach są też dane wrażliwe (stan zdrowia), czy byłem/jestem chory na COVID-19, czy miałem kontakt z kimś chorym, stan ogólny mojego samopoczucia, temperatura. Na pytanie kto przetwarza te dane i po co widziałem tylko wyraz zdziwienia na twarzy osoby zmuszającej mnie do wypełnienia takowego formularza. Szkoda pisać. Państwo nie dba o moje dane a ja mam ponosić konsekwencje.

  9. Nie mówcie, że w BIG/BIK-ach też można przejmować konta :D . Teraz, to już pozamiatane.

    Ciekawe jak sobie radzą z problemem za granicą? Ok, credit freeze… Zrobią kiedyś u nas i pewnie też złodziej będzie mógł nadpisać stan blokady :) .

    Jedyna rada, żeby nas nie oskubali do końca, to… trochę kasy w skarpecie. Przynajmniej będzie za co żyć, zanim pozbędziemy się komornik za nieswoje długi.

    • No oczywiście.
      Posiadanie wszystkich środków w postaci elektroniczniej jest, że się tak eufemistycznie wyrażę, nieroztropne.

  10. Rozumiem jeszcze jakoś logowanie do PZ via bank, ale poczta? Pytanie kiedy InPost będzie nalegał, żeby mogło to się odbywać w Żabkach czy Orlenie – no bo przecież to takie ich “quasi” placówki a też świadczą usługi pocztowe…

    Byłem święcie przekonany, że to logowanie via banki to dla chętnych (lubiących bankom sprzedać kolejną swoją daną typu info o PZ) i jak nie wyrażam zgody (czyli nie korzystam z ich usług), to taka metoda nie jest dostępna (nie mówiąc, że można raz z banku A raz z B itp…) i pozostaje tylko tradycyjnie “login, hasło, SMS”.

  11. A i jeszcze jedno: Czy to oznacza, że żeby założyć PZ osobie, która jego nie ma, to wystarczy mieć konto w banku (lub na poczcie) i tyle? Kiedyś to dodatkowo trzeba było podejść do US lub Urzędy Gminy/Miasta etc…

    • Tak. W sensie ta osoba ma mieć konto w banku. Po prostu domniemuje się wtedy że skoro chętny na PZ na nazwisko Kowalski ma konto w banku na nazwisko Kowalski to jest Kowalskim bo go uprzednio w banku zweryfikowano.
      Która to weryfikacja w czasie kont zakładanych zdalnie przez kuriera oraz kont zakładanych przez potwierdzenie przelewem z innego konta troszkę traci na wartości.

  12. To już jest po prostu komedia z tymi wyłudzeniami danych, a rząd zamiast coś z tym zrobić to apeluje – jak ostatnio – żeby pilnować swoich danych, jakby tego się dało upilnować, gdy taki niby “tajny” ciąg znaków jest powszechnie wymagany do wszystkiego i – co najlepsze – nie można go zmienić.

    A wystarczyłoby wprowadzić prosty przepis – jeżeli zgłaszam bankowi/firmie pożyczkowej że ktoś na mnie zaciągnął zobowiązanie to bank/firma pożyczkowa w ciągu 24h anuluje moje zobowiązania i dalej martwią się oni, bo to oni dali się nabrać, co ja mam do tego że mają dziurawe procedury?

  13. No dobra, ale co ma do tego wszystkiego Profil Zaufany? Po co oszust go przejmował? PZ można co najwyżej podpisać komuś wniosek o 500+, a nie założyć konto w banku. Równie dobrze mógł na tej samej poczcie, tym samym dowodem, założyć rachunek w Banku Pocztowym i to w nim wziąć kredyt. Meritum artykułu to kolekcjonerskie dowody osobiste, a problemy z nich wynikające nie znikną jeszcze przez dekady.

    • Ja bym bardziej się zastanowił nad możliwością utworzenia PZ dla kogoś kto go nie miał.
      Jeśli to można zrobić via bank (i tylko wystarczy konto bankowe do tego), to można potem zarządzać taką osobą w ZUSie, USie itp podając tam np swój numer konta bankowego. Do tego wnioskowanie o te wszystkie wsparcia Covidowe bez wychodzenia z domu – wg mnie sky is the limit

    • Jak masz dostęp do PZ to możesz wyciągnąć dane aktualnego i rzeczywistego DO oraz już niedługo PJ (Prawo Jazdy).

  14. RE: W sensie ta osoba ma mieć konto w banku. Po prostu domniemuje się wtedy że skoro chętny na PZ na nazwisko Kowalski ma konto w banku na nazwisko Kowalski to jest Kowalskim bo go uprzednio w banku zweryfikowano.
    Która to weryfikacja w czasie kont zakładanych zdalnie przez kuriera oraz kont zakładanych przez potwierdzenie przelewem z innego konta troszkę traci na wartości.

    No ale już jakiś czas temu np dokumenty bankowe straciły status dokumentów państwowych (takich jak np akt urodzenia). Była zdaje się o to batalia sądowa/konstytucyjna, żeby nie można było traktować wszelkich dokumentów bankowych jako domniemanych rzeczywistych zdarzeń wiarygodnych z mocy ustawy. A teraz rozumiem potwierdzenie/założenie PZ – jako profilu uwiarygadniającego osobę jako obywatela w internecie (w stosunku do np. urzędów państwowych) może być kreowane de-facto przez bank (czyli podmiot prywatny)? To może niech jeszcze dowody osobiste wydają i akty małżeństwa? Czy to trochę nie za duże prerogatywy dla banków jako takich?

    • @wko

      Dokładnie o tym rozmawiamy. Jeśli potrzebujesz case study, proszę oto przypadek, który obsługiwałem kilka lat temu:
      – starsza pani przykuta do łóżka, potrzebuje wymienić dowód osobisty, ponieważ jej dowód stracił ważność, a do uzyskiwania świadczeń zdrowotnych potrzebny ważny
      – nie ma możliwości wożenia jej po urzędach, nawet z opiekunem, ze względu na stan zdrowia
      – ma konto w banku, który umożliwia potwierdzenie Profilu Zaufanego (nie wszystkie umożliwiają)
      – loguje się samodzielnie do banku i z moją asystą zakłada Profil Zaufany
      – robię jej zdjęcie według wytycznych ministerialnych
      – uploaduje zdjęcie i składa poprzez profil zaufany wniosek o wymianę dowodu osobistego
      – wniosek jest przyjęty
      – po upływie jakiegoś czasu przyjeżdża do jej domu pani urzędnik z Urzędu Miasta, weryfikuje zgodność danych i wręcza nowy dowód a kasuje stary
      – klientka zadowolona

      Teraz szukajcie luk ;)

  15. Jakie są ubezpieczenia dostępne obecnie na rynku od kradzieży tożsamości? Wiem że jest TUE (internet podpowiada to nie jest product placement )

  16. Prośba do Niebezpiecznika w kontekście artykułu, czy znane są wam jakieś procedury umożliwiające unieważnienie/zablokowanie PZ przez jego właściciela?
    Na stronie pz.gov.pl w faq jest wiele przydatnych informacji, ale nie ta.

  17. Czy wyłączenie opcji “Logowanie za pomocą zewnętrznego dostawcy tożsamości” w sekcji “Dopuszczalne metody logowania” nie załatwia sprawy? Czy to jedynie uniemożliwia logowanie się przez Bank jeżeli tam już jest profil zaufany? A jeżeli się spróbuje przez inny bank stworzyć nowy profil, to się uda?

    • nie widzę takiej opcji, gdzie ją znalazłeś? Możesz podać ścieżkę?

    • @jdkd?

      Zarządzanie kontem > Szczegóły konta > Edytuj

    • @Jan

      U siebie mam ustawione tylko “Logowanie za pomocą hasła” i “Uwierzytelnianie dwuskładnikowe podczas logowania hasłem” i po próbie zalogowania przez bank i przekierowaniu z niego do PZ, strona wyrzuca info “Ustawienia konta użytkownika uniemożliwiają logowanie za pomocą zewnętrznego dostawcy tożsamości.”, więc wychodzi na to, że się nie da.

    • @abc

      No też spróbowałem, mam konta w dwóch różnych bankach.
      Normalnie loguje się poprzez login i hasło do PZ.
      Po wyłączeniu tej opcji w PZ, spróbowałem w pierwszym banku i od razu po zalogowaniu dostałem info że nie posiadam profilu zaufanego w tym banku.
      A w drugim banku to po zalogowaniu pojawiła się strona do stworzenia PZ i ze aktualny PZ zostanie wycofany. Nie potwierdziłem bo boję się że kompletnie sobie zepsuje PZ i będę musiał gdzieś chodzić po urzędach żeby to odkręcać :)

  18. “w sytuacji wzięcia pożyczki na nasze dane nie możemy pokpić sprawy i nie ma czegoś takiego jak “domniemanie niewinności”. To na ofierze będzie spoczywał obowiązek poinformowania firmy pożyczkowej, że doszło do wyłudzenia.”

    TOTALNA PATOLOGIA! Zreszta nie tylko w tej dziedzinie – zauwazylem ze w ostatnich czasach dochodza do glosu absolutnie chore i pozornie bezsensowne (zazwyczaj absolutnie niemoralne) zasady moralne i prawa… patrz tutaj:
    ABSOLUTNIE PODSTAWOWYM RACJONALNYM I JEDYNYM (REALNIE) MOZLIWYM ROZWIAZANIEM KONCEPTU POZYCZKI JEST TO ZE TO POZYCZKODAWCA UDOWADNIA DLUG POZYCZKOBIORCY – JEST TO LOGICZNE, ZGODNE Z INTERESEM STRON I CALEBO SPOLECZENSTWA BO UDOWODNIENIE ZE SIE DLUGU *NIE MA* JEST NAJZWYCZAJNIEJ W SWIECIE NIEMOZLIWE… CO NAJWYZEJ MOZNA +/- UJAWNIC OSZUSTWO, natomiast co ma miejsce w rzeczywistosci to pozyczkodawcy kreujacy taka “rzeczywistosc” w ktorym sie udowania ze nie jestej koniem, udajacy ze ofiara udowodnila brak pozyczki kiedy jest “zbyt silna” i jest ryzyko ze jak bedzie sie szarpac to ktos ko* w koncu ruszy glowa i w pokerowym sensie “sprawdzi” to ich cale go*no…

    • Ps. Specjalnie dla prostaczkow, ktorych przerosnie koncowka i zaczna pie* o belkocie, wyjasnienie:
      1) Wymyslamy sobie kozystny dla nas pseudomechanizm: “Kazdy wisi mi dwie duze banki”
      2) Jako *uzasadnienie* podajemy *opt-out* udajac ze to to samo (ew. twierdzimy, ze skoro jest opt-out to sama relacja jest dobrowolna)
      3) Opt-out jest uznaniowy i upierdliwy zeby zlapali sie tylko ludzie ktorzy nie narobia nam klopotow, np. piesza pielgrzymka krakow-gieront po zaswiadczenie od certyfikowanego przez nas druida.
      4) Opt-out jest generalnie respektowany, zeby sprawiac wrazenie praworzadnosci – robimy smutna mine ze ludzie wymiguja sie od oddawania tych dwoch baniek (i to jest ” przeklamana rzeczywistosc”) kiedy prawdziwa rzeczywistoscia jest to ze nikt zadnego dlugu nie ma.

      Generalnie zasada jest taka ze tworzy sie duzo “kroków” a wiekszosc ludzi jest w stanie utrzymac w glowie tylko koncepty o ograniczonym stopniu skomplikowania, i jak im sie nawrzuca procedur i innego go* to, ze niemaja zadnego dlugu juz sie “nie miesci”…

      Prawo jest tutaj dobrym przykladem – poniewaz sa realne przeslanki do przestrzegania olbrzymiej wiekszosci praw, ale wiekszosc ludzi przestrzega prawa bo prawa sie przestrzega, a potem wychodza takie cyrki jak 3 rzesza, stalinizm czy inne patologie…

    • @WkurzonyBialyMis90210

      Zgadzam się z tym. Wszystko oparte na blefie i szukaniu frajera. Porównanie z pokerem jest trafne.

      A prawo w takim kształcie to zarządzanie społeczeństwem przez wytworzenie haków na każdego i uruchamianie ich w miarę potrzeby.

      No i tak się zastanawiam, na ile jeszcze można odwrócić ten trend. Czy jesteśmy na to za słabi, czy jednak jeszcze nie.

  19. PsPs. Mechanizmem sa tutaj “łatwe” pozyczki uznawane przez prawo(?) pomimo ewidentnego zaniedbania pozyczkodawcy polegajacego na braku wystarczajacego potwierdzenia tozsamosci pozyczkobiorcy. Natomiast mechanizmem ktory wykorzystano do stworzenia tego wypaczenia/patologi byl e-sąd uznajacy EWIDENTNIE nieistniejace dlugi…

  20. To po raz kolejny potwierdza, że instytucja typu poczta polska powinna już być dawno zlikwidowana.

  21. Sama idea PZ szczytna i wygodna ale jeśli ktoś jest w stanie założyć lub przejąć czyjąś cyfrową tożsamość za pomocą wizyty na poczcie, to znaczy że implementacja zawiodła.

  22. Dla testu aktywowałem bankiem PZ, następnie w ustawieniach PZ wyłączyłem logowanie przez serwisy zewnętrzne, a włączyłem przez hasło+sms. Następnie w tym samym banku jeszcze raz aktywowałem PZ i… logowanie serwisami zewnętrznymi znów się aktywowało. Patologia…

    • @GM

      U mnie mając ustawione tylko “Logowanie za pomocą hasła” i “Uwierzytelnianie dwuskładnikowe podczas logowania hasłem”, po próbie zalogowania przez bank i przekierowaniu z niego do PZ, strona wyrzuca info “Ustawienia konta użytkownika uniemożliwiają logowanie za pomocą zewnętrznego dostawcy tożsamości.”, więc nie wiem dlaczego tak masz.

    • Bo widzisz, na *to* konto się nie zalogujesz. Ale przez niektóre banki możesz w takim przypadku utworzyć nowe konto, które unieważni PZ na poprzednim koncie (wtedy przychodzi tak jak w artykule opisano mail o unieważnieniu PZ).

  23. Zadziwiający i wręcz mocno dający do myślenia jest ten opór przed zrobieniem takiego rozwiązania jak właśnie ten centralny ‘credit freeze’. Problem wyłudzeń na PESEL jest znany od lat ale wciąż kompletnie nic się z tym nie robi.

    • Pytanie komu jest najbardziej na rękę zachowywanie obecnego stanu rzeczy ?

    • Bzdura. Nie potrzeba żadnych nowych rejestrów, zabezpieczeń ani rozwiązań, bo to tylko kolejne warsty, które będzie się dało ominąć. Najprostsze i najskuteczniejsze jest przestrzeganie przez sądy prawa którr już jest: domniemania niewinności. To bank ma udowodnić, że ktoś mu jest winny poeniądze a nie odwrotnie. Gdyby sądy tego wymagały, banki starały by się weryfikować ludzi. Do tego za niesłuszne pomówienie o kredyt solidne odszkodowanie dla ofiary. Lewe kredyty skończyły by się raz dwa.

  24. Idea “Profilu Zaufanego” jest zła od początku do końca, bo to jest single point of failure.

    Sam nie posiadam PZ bo uważam go za zło m.in. z wyżej wymienionego powodu.

    Zastanawiam się, czy nie warto by go sobie aktywować, żeby uniemożliwić założenie przez kogoś innego. Czy założenie PZ spowoduje, że nikt nie uzyska do niego dostępu przez jakieś kretyńskie “jednym kliknięciem” z interfejsu banku albo poczty?

    • Nie boj, nie boj. Jak nie masz PZ to Ci go w razie potrzeby zaloza!

  25. Zajrzałem na swój PZ, czy jak ustawie uwierzytelnienie dwuskładnikowe to wystarczy aby sie od tego uchronić? Powinno.
    Wyłączyłem też uwierzytelnienie przez zewnetrznego dostawce, okienko jest odhaczone, ale wciąż widze nazwę swojego banku

  26. Wydaje mi się, że dość mało położyliście na to nacisk, ale że kluczowym problemem jest brak rzetelnej weryfikacji. Firmy pożyczkowe jak i banki mają obowiązek (na podstawie Ustawy AML) zebrać szereg danych o osobie (w tym obywatelstwo, państwo urodzenia czy numer i seria dokumentu stwierdzającego tożsamość), szerszy niż w przytoczonym tekście, a następnie dokonać odpowiedniej WERYFIKACJI danych. Zakłada się zaś, że nawiązywanie relacji przez internetu lub stronę trzecią (np. kuriera) to jest wyższe ryzyko i powinny być dodatkowe środki ostrożności w tym dodatkowe elementy weryfikacji. Firmy pożyczkowe i banki mają obowiązek mieć tak ustawione systemy by wiedziały komu świadczą usługi (np. dodatkowo sprawdzić w bazie pesel lub bazie dowodów osobistych). Jeśli faktycznie skala problemu udzielania pożyczek na cudze dane jest spora, to prawdopodobnie problem leży w systemach weryfikacji tożsamości. Tylko jeśli faktycznie te systemy aż tak zawodzą jak piszecie, to mamy większy problem niż to, że kowalski ma do spłaty 1 tys zł. W takim razie nasz system może być z łatwością wykorzystywany do prania kasy lub finansowania terroryzmu.

    • > Firmy pożyczkowe i banki mają obowiązek mieć tak ustawione
      > systemy by wiedziały komu świadczą usługi (np. dodatkowo
      > sprawdzić w bazie pesel lub bazie dowodów osobistych).

      Coś nie pasuje w tym co napisałeś. Firmy pożyczkowe nie mają dostępu (i na szczęście!) do rejestru PESEL ani do ewidencji dowodów osobistych.

    • Jak najbardziej firmy pożyczkowe i banki zgodnie z prawem mogą mieć (nawet niektóre chyba mają) dostęp do bazy PESEL i dowodów i dobrze. Po to właśnie jest taki dostęp, żeby korzystać z niego i weryfikować klientów. Problem w tym, że nie wszyscy mają (wystąpili o dostęp), a same systemy są wolne i nie spełniają oczekiwań rynku. Po to właśnie mogą mieć dostęp żeby sam pesel, imię i nazwisko + fałszywe dane nie było wystarczające. Odpowiednie zweryfikowanie danych z bazą pesel wykazałoby, że to jest fraud.

  27. Fajnie byloby wiedziec z jakich uslug korzystal Pan Kajetanem przez ostatnie pol roku, w ktorych podawal PESEL, czy byly to np.
    – kredyty w malych firmach
    – kredyty w bankach
    – nowe konta w bankach
    – konta w innych firmach (jakich? medyczne, BIK, inne?)
    – umowy notarialne (u ilu notariuszy?)
    – skany dokumentow (np. dowodu)
    – inne?
    Czy Pan Kajetan prowadzi dzialalnosc i jego PESEL znajduje sie w monitorach sadowych?

    Wydaje mi sie ze gdyby porzadnie zrobic taka checkliste dla wszystkich poszkodowanych to moznaby zlapac ktoredy te dane wyciekaja (przynajmniej czesciowo).
    Sam bylem nie tak dawno temu celem ataku spersonalizowanego i mam podejrzenie skad wyciekly szczegolowe dane, ale chyba nie ma miejsca gdzie mozna zglosic takie “miekkie” dowody.

    • Dowodowo w sądzie polegniesz, nawet jeżeli będziesz miał pewność, co do miejsca wycieku. Nawet jeżeli potwierdzi to setka fachowców od bezpieczeństwa.
      Bezpieczeństwo danych, w czasach, gdy każdy ma przy sobie aparat fotograficzny to jest fikcja.

    • Zawsze pozostaje jeszcze proces poszlakowy

    • @RAV

      Zgadzam się co do aparatu fotograficznego. I co do tego że ciężko będzie udowodnić źródło wycieku. Niektóre wypłynięcia danych mogą być bardzo indywidualne, typu że pojedynczy pracownik HR używa pojedynczego skanu dowodu do wzięcia pojedynczej pożyczki.

      Ale agregując dane może się udać 1) wytypować źródła wycieków masowych. Bo ludzie są pazerni i często gdy scenariusz zadziałał, powtarzają go. 2) zbudować statystykę, która może posłużyć jako argument przy edukacji ludzi i negocjowaniu zmiany prawa, 3) określić prawdopodobieństwo że w danej sytuacji nastąpi wyciek danych, co za tym idzie policzyć ryzyko. I dlatego pomysł usera @Matematyk jest rokujący – pod warunkiem że nie ograniczylibyśmy się tylko do jednostkowego przypadku @Kajetan.

      PS. Wiem że w aktualnej sytuacji ciężko uwierzyć, że można tworzyć prawo i strategie (inne niż wizerunkowa) w oparciu o twarde dane, a nie – o nadzieje, resentymenty i opinie. Ale że po każdej epoce dzikoromantycznej następuje porządkowanie spraw przez pragmatyków, to i tutaj w końcu to przyjdzie.

    • @RAV
      jeszcze dodam, chodzilo mi o to, ze dane sluza do namierzenia zrodel wyciekow, a potem juz odpowiednie sluzby zaczynaja zbieranie “twardych” dowodow ktore przejda w sadzie. Na razie takiego procesu nie ma i z tego co czytam to policja czesto rozklada rece (zreszta nie tylko w takich sprawach). Rozumiem ze lepszym pomyslem jest zabezpieczenie w innych punktach (czyli np. lepsza weryfikacja itd.), ale taki proces jak opisalem wydaje mi sie tez by sie przydal

    • dodatkowe miejsca gdzie żąda się peseli/dowodów:
      -przedszkola i żłobki (prywatne i publiczne)
      -ośrodki zdrowia
      -ubezpieczalnie
      -kadry pracodawców
      -wypożyczalnie sprzętu sportowego

  28. Chcialbym zauwazyc, ze ostatnie aktualnosci w PZ pochodza z 21.02.2019. To jest skansem, na ktory mam wrazenie, ze juz wszyscy, mowiac wprost: leja od gory. Tu nawet nikt nie udaje, ze cos sie zmienia.

  29. A wystarczyłby jeden prosty akt prawny powiązany z prostym mechanizmem i jedną bazą danych: jako obywatel masz prawo zablokować swoje dane na okoliczność kredytowania, wchodzenia w spółki, żyrowania, etc. Idziesz do urzędu, pokazujesz dowód osobisty (zakładam, że Państwo tu by zadbało o sprzęt i szkolenia), urzędnik zaznacza, że “blokujesz się” i każda instytucja finansowa, zaufania publicznego, notariusz, operator, ma obowiązek sprawdzić, czy Twoje dane nie są zablokowane. Jeżeli tego nie zrobi, to przyjmuje na garb wszelkie zobowiązania. Jakby banki zaczęły bulić za niekompetencję swoich pracowników i mechanizm by się odwrócił (to one by musiały udowodnić, że wziąłeś $, a nie ty, że nie wziąłeś), to problem momentalnie by się rozwiązał.
    Ale o czym my tu mówimy. Dla zarządzających tym krajem, to abstrakcja. A od dobrych 20 lat Polską zarządzają tumany. Nikomu nie ujmując, ale, w czasach, gdy studiowałem było kilka słodkich określeń na absolwentów historii, socjologii, politologii, filozofii.
    Spójrzcie na kompetencje ministrów – ostatnim rozgarniętym ministrem, jakiego pamiętam, był nieodżałowany Religa, który miał pojęcie jak się organizuje leczenie na różnych szczeblach. Miał wiedzę, pomysły, ale żadnego zaplecza politycznego, no i niestety dopadła go choroba.
    Co może wiedzieć o zarządzaniu czymkolwiek koleś, który przez 10 lat próbował zrobić magisterium z historii. Jakiś profil zaufany? Autoryzacja, autentykacja, dane wrażliwe?
    Czasem zdarzy się, że podsekretarze stanu w ministerstwie mają jakiekolwiek pojęcie o robocie. Ale nie mają przebicia więc istotne z punktu widzenia interesu społecznego, akty prawne nie powstają, lub powstają buble.
    Zapytałem znajomego prawnika, dlaczego w Polsce mamy tak niską jakość prawa, skoro w Sejmie 10% stanu osobowego to prawnicy. “To absolwenci prawa, a nie prawnicy.” – odpowiedział.
    Świat idzie do przodu, zmiany technologiczne dokonują się z dnia na dzień, a w Sejmie zasiada, według oficjalnych danych, raptem 7 inżynierów! I przeszło 300 tumanów, dla których polityka była jedynym wyjściem.
    Kradzież profilu zaufanego?! A co to profil zaufany?

    • @RAV

      Ta, patrząc na podejście wielu, dla nich profil zaufany to metoda dodatkowej kontroli obywatela :D albo chwalenia się jacy jesteśmy nowocześni ;)

      Dlatego IMHO dopóki nie będziemy mieli (technolodzy) reprezentacji politycznej, nic się tu nie zmieni. Tylko że zwykle mamy ciekawszą robotę i brzydzi nas macanie się z osobami żyjącymi z polityki lub lobbingu.

    • Taaa… A potem wchodzi do urzędu przestępca z kolekcjonerskim dowodem kupionym na cebulowym forum i wyłącza blokadę :)

      PS Z całym szacunkiem do dorobku Religi… zmarł na raka płuc, bo palił (tak, całe 10% nowotworów płuc jest z innych przyczyn niż palenie). Z kolei jego następczyni była przeciwniczką ustawy antynikotynowej, bo ograniczenie smrodzenia na przystanku autobusowym, to zamach na jej wolność. Jakie państwo, tacy ministrowie zdrowia.

  30. Aha, żeby nikt mi nie zarzucił, żem stronniczy – minister cyfryzacji, po polonistyce, co wprowadzał DAB na terenie PL. Tak się na tym znał, że do dziś to nie działa jak należy…

  31. Czy nie mając założonego profilu zaufanego polecacie założyć go zanim zrobi to oszust by w razie czego mieć chociaż jakiś ślad w postaci email związanego z zmiana np sposobu logowania?

  32. Czy jeśli ktoś nie posiada profilu zaufanego to czy warto go założyć zanim zrobi to oszust aby w razie czego zorientować się, że coś jest nie tak gdy otrzymamy informacje np emailem o zmianie sposobu logowania?

  33. KRS mym pasterzem, nie brak mi niczego…

  34. Michał Boni – i wszystko jasne. Czego się nie dotknął to syf zrobił.
    Od reformy sytemu emerytalnego wprowadzając OFE bez skończenia przepisów o tym co dalej ze środkami po osiągnięciu emerytury i przeniesieniu ich z OFE do Zakładu Ubezpieczeń Emerytalnych (o ile środki w OFE chwalono, że należą do uczestnika to już dla funkcjonowania ZUE nie było gotowego przepisu)
    Po wprowadzenie podpisu elektronicznego.

    • PiS rządzi od 5-6 lat
      wiceministrem cyfryzacji jest Adam A.
      czy coś zrobili, aby uszczelnić system Profili Zaufanych?

      Nie, bo Adam A. nie ma kompetencji informatyka, a PiS bawi się stołkami.

  35. Jak się kontaktujecie z ministerstwem cyfryzacji którego już nie ma?

  36. […] ubiegły poniedziałek pisaliśmy o przejmowaniu Profili Zaufanych w celu dokonywania wyłudzeń pożyczek. Temu rodzajowi oszustwa bardzo trudno przeciwdziałać, bo choć przestępca potrzebuje […]

  37. …no to w końcu PZ or not PZ?

  38. “coraz częściej obserwujemy, że oszuści tworzą lub przejmują konta w BIK właśnie w celu utrudnienia ofierze odkręcania oszustwa i po to aby usprawnić sobie jego realizację” – w jaki sposób przejmują konta w BIK? Z tego co widzę, to musieliby przejąć maila żeby odzyskać hasło. Co daje profil zaufany w tym kontekście?

  39. Czy jeśli nie mam powiązanego PZ z kontem w banku to jestem bezpieczny? Z tego, co udało mi się ustalić to nie jest możliwe powiązanie takiego PZ z kontem.

    Dostałem maila o powiązaniu mojego PZ z kontem w Millenium oraz prośbę o zmianę hasła/aktywację konta z linkiem. Po zalogowaniu na mój PZ wszystko wydaje się ok (jeśli byłby założony nowy profil to chyba ten by się zdeaktywował?). Dodam tylko, że nie dostałem SMSa, jedynie maila. Potem zauważyłem, że PZ wysłał tego maila na mój adres, tylko że bez kropki (rejestrowałem się podając kropkę pomiędzy imieniem i nazwiskiem w mailu). Próbowałem się zalogować bez kropki i nie działa. Wysłałem też prośbę o przypomnienie mojego loginu podając adres bez kropki i nie dostałem żadnego maila, co sugeruje, że nie ma konta założonego na ten mail (musiałbym kliknąć w link w mailu, żeby aktywować prawdopodobnie).

    Chciałbym się upewnić, że jestem bezpieczny.

    Kusi trochę, żeby kliknąć w ten link o aktywację konta i założyć hasło – mógłbym chyba sprawdzić kto próbował założyć konto?

    • Da się powiązać PZ z kontem w banku. Bardzo często banki wymagają tego jeśli chcesz skorzystać z funkcji”urzędu w banku”

  40. Ostatnio przeszedłem telefoniczną “weryfikację” w telekomie podając NIP swojej firmy (który rzecz jasna można znaleźć w Googlach). Zdołałem wysłać nową kartę sim na adres nie znany operatorowi…
    Czy ktoś ma pomysł co z takimi wynalazkami robić???

  41. Profil zaufany można unieważnić logując się na pz.gov.pl. Jeśli nie pamiętamy danych do logowania bądź zostały zmienione przez oszusta należy udać się z dowodem osobistym do punktu potwierdzania PZ i złożyć wniosek o unieważnienie. Pracuje w takim punkcie i bardzo często uniewazniam profile głównie z powodu braku dostępu do emaila lub numeru komórki. Nigdy nie interesuje mnie co się stało. Nasz klient nasz Pan. Wnosi o unieważnienie, ja uniewazniam i klient zakłada nowy. Pozdrawiam

  42. Fałszywy dowód na dane ofiary – nie ukrywajmy – da się zdobyć nie wychodząc z domu. Jak to jest – nie wychodzę i nie zdobyłem. Może ktoś mnie oświecić, żebym był bardziej świadomy? Czy tylko oszuści mogą wiedzieć jak?

  43. A imię i nazwisko, pesel czy adres bez problemu można sobie pobierać z ksiąg wieczystych.

  44. […] w trakcie załatwiania wszelkich spraw urzędowych przez internet: podpisywanie wniosków profilem zaufanym, logowanie się do e-usług, takich jak e-Pacjent (skierowania, zwolnienia, informowanie o kwarantannie), można łatwo stracić swoją tożsamość: https://niebezpiecznik.pl/post/oszusci-przejmuja-profile-zaufane-w-celu-wyludzenia-pozyczek-strach-p… […]

  45. Droga Redakcjo,
    Mam pytanie do poniższego fragmentu:
    “Na to konto ok. trzy dni później oszust wpłacił 100 zł, a potem wykonał płatność na 32 złote, prawdopodobnie w celu założenia konta w Biurze Informacji Kredytowej.”
    W BIK nie ma żadnej usługi, która kosztowałaby 32 zł. W BIK są usługi, które kosztują 24 zł, 39 zł, 99 zł (klienci indywidualni) oraz 29 zł, 39 zł, 199 zł (firmy).
    Skąd więc wniosek, że płatność 32 zł była związana z BIK?

  46. Wczoraj dostałem powiadomienie o próbie resetu hasła przez PZ. Problem w tym, że ja tego nie robiłem a uwierzytelnienie i konto jest założone przez mBank. (Informacji o poprawnej zmianie hasła nie było) ale jestem dość przerażony, bo do samego wysłania tego powiadomienia wg. ich strony potrzebny jest mój e-mail + PESEL. Pytanie czy można coś zrobić i ew. zweryfikować jak to powiadomienie było wysłane?

  47. Dwa pytania do powyższej historii (nie zauważyłem żeby te informacje się pojawiły ale może to moje przeoczenie):
    – skąd osoba trzecia miała te dane, na podstawie których
    stworzony został falsyfikat dowodu tj. imie, nazwisko, pesel – czy udało sie to ustalić?
    – jak można założyć kolejny PZ skoro już istniał z tym peselem?

  48. […] Jeśli korzystałeś z usług firmy Ent Broker to bezpieczniej będzie założyć, że Twoje dane wyciekły. Przejrzyj dokumenty lub przypomnij sobie jakie dane przekazałeś tej firmie. Jeśli były wśród nich numery dokumentów, wskazane będzie unieważnienie (w urzędzie) oraz zastrzeżenie (w banku) dokumentów. Uwaga: to są dwie różne czynności, o których możesz dowiedzieć się więcej m.in. z tekstu pt. Wyciekły moje dane, co robić?). […]

  49. W projekcie o nazwie “profil zaufany” są rażące błędy projektowe. Czy to w ogóle było jakkolwiek konsultowane ze specjalistami ds. bezpieczeństwa? bo ja wątpię. może to przejrzał jakiś wewnętrzny dział bezpieczników, i na tym się skończyło.

    tak nawiasem, skoro mam profil w pewnej instytucji, to czemu po założeniu profilu gdzie indziej i jego przejęciu, nie ma vacatio legis na nowy profil, a stary nie jest trzymany jako nieaktywny w celu ponownej aktywacji? jak mi się coś nie podoba, to idę do jednej lub drugiej instytucji. i mam czas na reakcję.

    jeśli mam założony profil powiązany z podpisem certyfikowanym, to czemu taki profil jest równie łatwy do wykradzenia?

    co innego tworzenie nowego profilu zaufanego, wtedy powinno być wykonanie poszukiwania po danych osobowych, losowo aż się trafi po różnych dostępnych instytucjach. to powinno być obowiązkowe. jak się trafi, to też vacatio legis i kontakt telefoniczny lub nawet listowny.

    ja to się sam zdziwiłem jak zapomniałem hasła do profilu który założyłem w ZUS. no zapomniałęm, bo moje repozytorium z hasłami szlag trafił. ale zobaczyłem że bank w którym mam konto też ma profil, więc założyłem. przeszło bez problemu, ale patrzę, 2 kolejne maile i sms-y. pierwszy to unieważnienie profilu w ZUS, drugi utworzenie profilu w banku. no fajnie myślę sobie, znalazłem błąd. zgłosiłem to jako błąd i do ZUS i do Banku. z obydwu źródeł dowiedziałem się, że tak ma właśnie być. ręce mi opadły, i pomyślałem sobie: no to będą teraz niezłę jaja, mam nadzieję że mnie to nie dopadnie. i tyle co myślę o tych wszystkich profilach. dziurawe to jak sito.

    btw. dowód osobisty ma tzw. kod QR. czy nie można by w nim zawrzeć dodatkowego niby sekretnego numeru będącego przedłużeniem numeru seryjnego dowodu? jeśli nie pokazywałoby się dowodu byle gdzie, to weryfikacja QR Code byłaby lepsza niż nic, jeśli przy “starannej” weryfikacji zdalnej nawet się nie bada wypukłości, farby zmienno kolorystycznej, a tym bardziej sprawdzenia w UV na 2ch długościach fali, bo ludzie promienników UV nie mają – no chyba że mamy do czynienia z szalonym akwarystą z rafą koralową w zbiorniku.

    w sumie to najlepiej by było aby dowód był jednak elektroniczny, i potrafił podpisać chipem wiadomość, potwierdzając autentyczność dowodu. niech to robi powoli, ale chip w dowodzie. innego sensownego wyjścia nie widzę, plus sprawdzenie czy taki “długi” numer dowodu jest zarejestrowany w bazie państwowej.

    podsumowując, przepisy są zbyt optymistyczne, daleko wyprzedzają technologię, która jest nadal wybrakowana. możliwości techniczne są, ale nie są zaimplementowane.

  50. Jak zlikwidować Profil Zadufany?

  51. Marzy mi się BLOKADA ZACIĄGANIA KREDYTU NA ZAWSZE z jednoczesnym *milion zł odszkodowania dla ofiary, jeżeli BANK mimo blokady – da lewy kredyt xD mur beton nagle okazałoby się że taka blokada była możliwa, gdy jakiś bank zapłaci karę

  52. […] I tyle. Rekomendujemy wykonanie tej akcji każdej osobie, która ma profil zaufany. A jeśli ktoś profilu zaufanego nie ma, niech sobie założy czym prędzej, zanim przestępcy zrobią to za niego w okienku na Poczcie Polskiej. […]

  53. Miałem przygodę z przejęciem PZ. Trzeba wyłączyć “Logowanie za pomocą zewnętrznego dostawcy tożsamości”, czyli logowaniem bankiem i włączyć “Uwierzytelnianie dwuskładnikowe podczas logowania hasłem”. Logowanie bankiem włączać tylko na chwilę, gdy potrzeba potwierdzić tożsamość przy załatwianiu jakiejś sprawy.

  54. W jaki sposób można usunąć/unieważnić profil zaufany założony przez bank?

  55. Co z tego, że dowody mają zabezpieczenia, jak instytucje państwowe nie mają żadnych narzędzi do weryfikacji i muszą robić to “na oko”? Nawet najlepsze zabezpieczenia na nic się nie zdadzą, jak nie ma procedury ich weryfikacji.

    Skoro dowody maja znaki widoczne w specjalnym świetle, to wstawić do każdego urzędu sprzęt pozwalający je uwidocznić. Do tego najprostszy i najtańszy sposób: zwykła strona rządowa, na którą logują się urzędnicy i mają formularz z możliwością wpisania: Imiona, Nazwisko, PESEL, numer dowodu, inne dane z dowodu i w odpowiedź z CERT: Dane poprawnie zweryfikowane, oto zdjęcie petenta z systemu, do porównania. W przypadku błędu: “Dane niepoprawne. Proszę powiadomić petenta o konieczności stawienia się w Urzędzie Stanu Cywilnego.”. Strona nie zwracałaby nic więcej, żadnych danych itp. więc nie naruszałaby prywatności bardziej, niż okazanie dowodu. Przy tym wszystkie odpytania do bazy monitorować w myśl RODO.
    W przypadku mObywatel, taka weryfikacja byłaby jeszcze szybsza, bo urzędnik nie musi nic przepisywać z dowodu, tylko przyjąć ten kod.

    Niestety, w państwowych instytucjach, myślenie nie jest mocną stroną.

  56. […] Pamiętacie zapewne, nasz artykuł sprzed kilku miesięcy, o tym jak można (było?) przejmować czyjeś profile zaufane przez okienko na poczcie “weryfikując się” […]

  57. […] się, co ktoś może zrobić z tymi danymi w Waszym imieniu. Jak Wam brakuje pomysłów, to służymy […]

  58. Tak naprawdę to jest jeszcze jeden bardzo niebezpieczny i chyba możliwy scenariusz. Po uzyskaniu dostępu do PZ można zgłosić zgubienie/zniszczenie dowodu, a następnie złożyć wniosek o nowy dokument nawet z własnym zdjęciem. Później korzystając z elektronicznej warstwy dokumentu można zakładać konta w bankach bez wychodzenia z domu.

  59. […] listopadzie anno pandemini 2020 pisaliśmy o tym, że możliwe jest przejęcie czyjegoś Profilu Zaufanego i wykorzystanie go np. do wzięcia pożyczki na czyjeś […]

  60. Banki trzeba przycisnąć i tyle. Nikt tego z polityków nie zrobi niestety.

  61. […] Niestety, przez całe lata można było wskazywać pozornie drobne niedoróbki takie jak możliwość nieautoryzowanej zmiany metody autoryzacji, możliwość podrobienia podpisu ePUAP, ujawnianie numeru PESEL użytkownika PZ, niedociągnięcia […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: