8:24
25/7/2017

Biznes.gov.pl to rządowy serwis usługowo-informacyjny dla przedsiębiorców. Jeden z naszych Czytelników – Łukasz – zalogował się do niego przez Facebooka i trafił na konto innej osoby (Cezarego). W ten sposób Łukasz uzyskał dostęp do danych tej osoby (m.in, do informacji o imieniu matki i dacie urodzenia).

Łukasz mógł się poczuć jak Cezary

O zdarzeniu poinformowaliśmy Ministerstwo Rozwoju, które jest odpowiedzialne za wspomniany serwis. Odpowiedź ministerstwa dostaliśmy 14 lipca – istnienia błędu nie potwierdzono.

Zaczęliśmy sami logować się do Biznes.gov.pl, rozpytywaliśmy znajomych, przeszukaliśmy pobieżnie fora. Nie udało nam się reprodukować błędu, ale wczoraj dostaliśmy od Ministerstwa Rozwoju kolejną wiadomość w tej sprawie.

W uzupełnieniu odpowiedzi przesłanej 14 lipca, informujemy, że do Ministerstwa Rozwoju nie docierały wcześniej sygnały o przypadkach błędnego logowania do serwisu biznes.gov.pl. Przywołany przez Pana problem wynikał z błędu w oprogramowaniu, który został zdiagnozowany i usunięty. Jego zasięg obejmował kilku użytkowników serwisu. Zainteresowani użytkownicy zostali poinformowani o podjętych działaniach. Dziękujemy za zainteresowanie i zwrócenie uwagi na problem. Jednocześnie informujemy, że rozszerzony został zakres prowadzonych testów oprogramowania i monitoring serwisu biznes.gov.pl w celu podwyższenia bezpieczeństwa systemu i uniknięcia podobnych incydentów w przyszłości.

Cieszymy się, że ministerstwo było równie uparte w poszukiwaniu przyczyn. Cieszymy się również z zapowiedzi rozszerzenia testów i monitoringu rządowego serwisu. Dodamy, że niektóre państwowe instytucje reagują o wiele wolniej na zgłoszenia znacznie poważniejszych błędów, ale ten temat rozwiniemy niebawem.

Przeczytaj także:

11 komentarzy

Dodaj komentarz
  1. Logowanie do strony rządowej za pomocą FB.. To już samo w sobie brzmi podejrzanie..

    • Eeetam, ważne, że fejsbók nie jest rosyjski.

    • Tak samo, jak choćby możliwość powiązania swojego konta w mBank z profilem na FB… -_-

  2. W ogóle bym logowanie przez facebooka do rządowych stron wywalił. Kto normalny tak robi?

    • Amerykanów można by zrozumieć, bo to ich serwis :)

      BTW: To się raczej nazywa “partnerstwo publiczno-prywatne w przetwarzaniu danych osobowych” :)

    • Mnie bardziej interesuje, na jakiej podstawie prawne jakikolwiek urząd umieszcza skrypty fb na prowadzonych stronach.
      O ile się orientuję (poprawcie mnie, jeżeli się mylę), ale nie matkiej podstawy w związku z czym działania takie są bezprawne i w dodatku faworyzują konkretny podmiot gospodarczy wręcz reklamując go na swoich stronach…

    • @krzyszp, ale zdaje się nie ma też podstawy by tego nie robić… Prawo nie nadążą za rzeczywistością, a urzędnicy widać chcą być “cool i blisko ludzi”.

  3. Są 2 metody logowania: przez FB i przez Profil Zufany. Czyli w miarę bezpieczny PZ i kompletnie niezaufany FB. Powinny być obie metody równie bezpieczne. Na FB można być kim się chce a poza tym FB to taki elektroniczny śmietnik.

    • > Na FB można być kim się chce
      Do czasu, aż nie poproszą o zweryfikowanie tożsamości. Regulamin portalu jasno mówi, że dane muszą być prawdziwe i administracja zastrzega sobie prawo usunięcia fake kont.

  4. Poza tym Facebook w ten sposób śledzi odwiedzających daną witrynę rządową. To wystarczy, by go z niej wywalić raz a dobrze.

    • No chyba, że jakimś cudem instytucja zawarła NDA dotyczącą danych osobowych, a w ogóle to warto popytać urząd (w trybie UODIP) o umowę partnerstwa publiczno-prywatnego podpisaną z Facebookiem :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: