25/7/2017
Biznes.gov.pl to rządowy serwis usługowo-informacyjny dla przedsiębiorców. Jeden z naszych Czytelników – Łukasz – zalogował się do niego przez Facebooka i trafił na konto innej osoby (Cezarego). W ten sposób Łukasz uzyskał dostęp do danych tej osoby (m.in, do informacji o imieniu matki i dacie urodzenia).
O zdarzeniu poinformowaliśmy Ministerstwo Rozwoju, które jest odpowiedzialne za wspomniany serwis. Odpowiedź ministerstwa dostaliśmy 14 lipca – istnienia błędu nie potwierdzono.
Zaczęliśmy sami logować się do Biznes.gov.pl, rozpytywaliśmy znajomych, przeszukaliśmy pobieżnie fora. Nie udało nam się reprodukować błędu, ale wczoraj dostaliśmy od Ministerstwa Rozwoju kolejną wiadomość w tej sprawie.
W uzupełnieniu odpowiedzi przesłanej 14 lipca, informujemy, że do Ministerstwa Rozwoju nie docierały wcześniej sygnały o przypadkach błędnego logowania do serwisu biznes.gov.pl. Przywołany przez Pana problem wynikał z błędu w oprogramowaniu, który został zdiagnozowany i usunięty. Jego zasięg obejmował kilku użytkowników serwisu. Zainteresowani użytkownicy zostali poinformowani o podjętych działaniach. Dziękujemy za zainteresowanie i zwrócenie uwagi na problem. Jednocześnie informujemy, że rozszerzony został zakres prowadzonych testów oprogramowania i monitoring serwisu biznes.gov.pl w celu podwyższenia bezpieczeństwa systemu i uniknięcia podobnych incydentów w przyszłości.
Cieszymy się, że ministerstwo było równie uparte w poszukiwaniu przyczyn. Cieszymy się również z zapowiedzi rozszerzenia testów i monitoringu rządowego serwisu. Dodamy, że niektóre państwowe instytucje reagują o wiele wolniej na zgłoszenia znacznie poważniejszych błędów, ale ten temat rozwiniemy niebawem.
Logowanie do strony rządowej za pomocą FB.. To już samo w sobie brzmi podejrzanie..
Eeetam, ważne, że fejsbók nie jest rosyjski.
Tak samo, jak choćby możliwość powiązania swojego konta w mBank z profilem na FB… -_-
W ogóle bym logowanie przez facebooka do rządowych stron wywalił. Kto normalny tak robi?
Amerykanów można by zrozumieć, bo to ich serwis :)
BTW: To się raczej nazywa “partnerstwo publiczno-prywatne w przetwarzaniu danych osobowych” :)
Mnie bardziej interesuje, na jakiej podstawie prawne jakikolwiek urząd umieszcza skrypty fb na prowadzonych stronach.
O ile się orientuję (poprawcie mnie, jeżeli się mylę), ale nie matkiej podstawy w związku z czym działania takie są bezprawne i w dodatku faworyzują konkretny podmiot gospodarczy wręcz reklamując go na swoich stronach…
@krzyszp, ale zdaje się nie ma też podstawy by tego nie robić… Prawo nie nadążą za rzeczywistością, a urzędnicy widać chcą być “cool i blisko ludzi”.
Są 2 metody logowania: przez FB i przez Profil Zufany. Czyli w miarę bezpieczny PZ i kompletnie niezaufany FB. Powinny być obie metody równie bezpieczne. Na FB można być kim się chce a poza tym FB to taki elektroniczny śmietnik.
> Na FB można być kim się chce
Do czasu, aż nie poproszą o zweryfikowanie tożsamości. Regulamin portalu jasno mówi, że dane muszą być prawdziwe i administracja zastrzega sobie prawo usunięcia fake kont.
Poza tym Facebook w ten sposób śledzi odwiedzających daną witrynę rządową. To wystarczy, by go z niej wywalić raz a dobrze.
No chyba, że jakimś cudem instytucja zawarła NDA dotyczącą danych osobowych, a w ogóle to warto popytać urząd (w trybie UODIP) o umowę partnerstwa publiczno-prywatnego podpisaną z Facebookiem :)