8:24
25/7/2017

Biznes.gov.pl to rządowy serwis usługowo-informacyjny dla przedsiębiorców. Jeden z naszych Czytelników – Łukasz – zalogował się do niego przez Facebooka i trafił na konto innej osoby (Cezarego). W ten sposób Łukasz uzyskał dostęp do danych tej osoby (m.in, do informacji o imieniu matki i dacie urodzenia).

O zdarzeniu poinformowaliśmy Ministerstwo Rozwoju, które jest odpowiedzialne za wspomniany serwis. Odpowiedź ministerstwa dostaliśmy 14 lipca – istnienia błędu nie potwierdzono.

Zaczęliśmy sami logować się do Biznes.gov.pl, rozpytywaliśmy znajomych, przeszukaliśmy pobieżnie fora. Nie udało nam się reprodukować błędu, ale wczoraj dostaliśmy od Ministerstwa Rozwoju kolejną wiadomość w tej sprawie.

W uzupełnieniu odpowiedzi przesłanej 14 lipca, informujemy, że do Ministerstwa Rozwoju nie docierały wcześniej sygnały o przypadkach błędnego logowania do serwisu biznes.gov.pl. Przywołany przez Pana problem wynikał z błędu w oprogramowaniu, który został zdiagnozowany i usunięty. Jego zasięg obejmował kilku użytkowników serwisu. Zainteresowani użytkownicy zostali poinformowani o podjętych działaniach. Dziękujemy za zainteresowanie i zwrócenie uwagi na problem. Jednocześnie informujemy, że rozszerzony został zakres prowadzonych testów oprogramowania i monitoring serwisu biznes.gov.pl w celu podwyższenia bezpieczeństwa systemu i uniknięcia podobnych incydentów w przyszłości.

Cieszymy się, że ministerstwo było równie uparte w poszukiwaniu przyczyn. Cieszymy się również z zapowiedzi rozszerzenia testów i monitoringu rządowego serwisu. Dodamy, że niektóre państwowe instytucje reagują o wiele wolniej na zgłoszenia znacznie poważniejszych błędów, ale ten temat rozwiniemy niebawem.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

11 komentarzy

Dodaj komentarz
  1. Logowanie do strony rządowej za pomocą FB.. To już samo w sobie brzmi podejrzanie..

    • Eeetam, ważne, że fejsbók nie jest rosyjski.

    • Tak samo, jak choćby możliwość powiązania swojego konta w mBank z profilem na FB… -_-

  2. W ogóle bym logowanie przez facebooka do rządowych stron wywalił. Kto normalny tak robi?

    • Amerykanów można by zrozumieć, bo to ich serwis :)

      BTW: To się raczej nazywa “partnerstwo publiczno-prywatne w przetwarzaniu danych osobowych” :)

    • Mnie bardziej interesuje, na jakiej podstawie prawne jakikolwiek urząd umieszcza skrypty fb na prowadzonych stronach.
      O ile się orientuję (poprawcie mnie, jeżeli się mylę), ale nie matkiej podstawy w związku z czym działania takie są bezprawne i w dodatku faworyzują konkretny podmiot gospodarczy wręcz reklamując go na swoich stronach…

    • @krzyszp, ale zdaje się nie ma też podstawy by tego nie robić… Prawo nie nadążą za rzeczywistością, a urzędnicy widać chcą być “cool i blisko ludzi”.

  3. Są 2 metody logowania: przez FB i przez Profil Zufany. Czyli w miarę bezpieczny PZ i kompletnie niezaufany FB. Powinny być obie metody równie bezpieczne. Na FB można być kim się chce a poza tym FB to taki elektroniczny śmietnik.

    • > Na FB można być kim się chce
      Do czasu, aż nie poproszą o zweryfikowanie tożsamości. Regulamin portalu jasno mówi, że dane muszą być prawdziwe i administracja zastrzega sobie prawo usunięcia fake kont.

  4. Poza tym Facebook w ten sposób śledzi odwiedzających daną witrynę rządową. To wystarczy, by go z niej wywalić raz a dobrze.

    • No chyba, że jakimś cudem instytucja zawarła NDA dotyczącą danych osobowych, a w ogóle to warto popytać urząd (w trybie UODIP) o umowę partnerstwa publiczno-prywatnego podpisaną z Facebookiem :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: