12:44
18/6/2010

Brute-forcing ksiąg wieczystych

Ministerstwo Sprawiedliwości udostępniło wczoraj mozliwość przeglądania ksiąg wieczystych w internecie (tutaj). Największym plusem tego rozwiązania ma być oszczędność czasu i wygoda — nie trzeba biegać do sądu i stać w kolejce po wypisy. Serwis z księgami daje jednak każdemu dostęp do informacji takich jak: imiona i nazwiska (rodziców też), PESEL-e, nazwy banków w którym są zacięgnięte kredyty. Jedyną ochroną przed wglądem w dane dowolnej księgi jest znajomość jej numeru…

Portal Podsystemu Dostępu do Centralnej Bazy Danych Ksiąg Wieczystych

Identyfikator księgi wieczystej składa się z przedrostka określającego miasto, 8 cyfr identyfikujących księgę, oraz automatycznie wypełnianego pola z sumą kontrolną. Gdybyśmy chcieli przeprowadzić enumerację dla danego miasta, wystarczy przeprowadzić 10^8 prób (100 000 000). Każde odpytanie księgi wiąże się z koniecznością przepisania CAPTCH-y (Update: ale można to obejść, sposób w komentarzach pod tekstem).

Przykładowe dane z jednej z ksiąg wieczystych

Przypominam, że kilka dni temu przez sieć przelała się ogromna fala krytyki na Apple i AT&T. Na skutek błędu programistycznego, z serwerów rejestrujących właścicieli iPada wykradziono ich adresy e-mail — wystarczyła enumeracja numerów z kart SIM.

Kto na tym skorzysta?

Ministerstwo na swojej stronie chwali się, że już pierwszego dnia z wyszukiwarki ksiąg wieczystych skorzystało ponad 100 000 osób… ciekawe ile z tych “wyszukiwań” to zapytania robotów brute-force’ujących numery i zbierających dane… ;-)

Proponuję zastanowić się wspólnie w komentarzach pod tym wpisem, do czego mogą przydać się tak zebrane dane (i czy w ogóle mogą się przydać do czegoś “niebezpiecznego”).

Aktualizacja 21.06.2010
KrystianCK donosi w komentarzach, że GIODO wyraził swoje obawy związane z tą sprawą.

Aktualizacja 25.06.2010
Kravietz w komentarzach podsunął tekst opisujący dostęp do ksiąg wieczystych jaki otrzymali komornicy. Moga oni przeszukiwać bazę ksiąg nie po numerach, a po nazwiskach…

Przeczytaj także:

87 komentarzy

Dodaj komentarz
  1. 1. Zdaje mi się, że dowolną księgę wieczystą i tak można zobaczyć w sądzie.
    2. Niektóre miasta mają więcej, niż jeden kod, np. Warszawa ma ich 6, co daje 6*10^8 kombinacji.

    BTW – nazwisko ze screena “Niebezpiecznik”? ;)

  2. A co do niebezpieczeństw z tym związanych: jedynym niebezpieczeństwem jest to, że ktoś za Ciebie wyliczy i zapłaci np. opłatę za użytkowanie wieczyste gruntu. ;)

  3. Proponowalbym napisac jakas petycje do MS, zeby przegladarka ta zostala zamknieta do czasu porzadniejszego jej zabezpieczenia – moze niebezpiecznik.pl by sie tym zajal?
    Przeciez mozna bylo latwo zrobic znacznie bezpieczniejsza wersje takiej przegladarki, gdyby oprocz numeru ksiegi trzeba bylo podac jeszcze kilka danych (nie znam sie na ksiegach wieczystych, ale chocby jakies daty wystepujace w ksiedze + jakis pesel, jesli jest, a jesli nie ma, to jakis inny numer) – wtedy juz enumeracja bylaby znacznie bardziej czasochlonna. A to co jest teraz wyglada mi na sprzeczne z ustawa o ochronie danych osobowych ;)

  4. @nivlheim
    Można zobaczyć dowolną księgę w sądzie, ale ciężko w taki sposób zautomatyzować nasycanie bazy danymi osobowymi.
    W sądzie, pod którym podlegam trzeba dodatkowo wypełnić wniosek o dostęp do KW – gdzie oprócz swoich danych podaje się cel. Tu tego nie ma.
    To ‘zabezpieczenie’ w postaci podania właściwego numeru jest, jak tłumaczą w ministerstwie, po to, by wścibscy sąsiedzi nie podglądali się wzajemnie. Ale jednak jakoś mogą.
    Tak naprawdę pierwszego dnia było 14 osób odwiedzających – 4 z ministerstwa, 6 dziennikarzy, 3 osoby prywatne i ekipa Niebezpiecznika ;-)

  5. nie ma to jak ladnie i na tacy dostac czys adres, pelne dane osobowe oraz nazwe banku w tym przypadku juz mozna cos niezle namieszac, wkoncu wiadomo ze banki przy kredytach wciskaja produkty laczone obecnie jest to konto osobiste wczesnie dawali jeszcze karte kredytowa z takimi danymi mozna juz zaszelec i cos zrobic

  6. @nivlheim
    kod jest generowany automatycznie, albo można go sobie samemu wygenerować, więc nie razy 6

    wydaje się że bezpieczeństwo skryptu polaga tutaj tylko na tym czy capatha jest bezpieczne. a dane można by wykorzystać chociażby do podszycia się pod kogoś przez telefon, tego typu dane często wystarczają do “potwierdzenia” tożsamości

  7. Powinni jak najszybciej naprawić to niedopatrzenie. Pomimo że dostęp do ksiąg ma każdy obywatel nie można pozwolić na zgranie tak newralgicznych danych przez boty. Nie wiadomo do czego duża ilość takich danych może komuś posłużyć. Nie zapominajmy że firma realizująca system bierze grubą kasę z kieszeni nas wszystkich na realizację sytemu. Nie można pozwolić im na odwalenie “fuszerki”:)

  8. gzuik: 15, podejrzałem swoją księgę.

    Myślę że problem mógłby tu załatwić jakiś naprawdę dobry captcha + ograniczenie ilości wyszukań z jednego ip/godzinę. Oczywiście przed sporym botnetem to i tak się nie obroni, ale myślę że jest mało prawdopodobne aby polskie księgi wieczyste były aż tak smakowitym kąskiem.

  9. Momentami nawet nie trzeba brute force stosować. Wystarczy w Google wrzucić np. oznaczenie sądu (np. WA3M) i trochę tego dostaniemy. Chociaż brute force zbierze nam dane systematycznie.

    No a te banki, PESELe i dane osobowe to jednak pewnie można spokojnie wykorzystać w banku (telefonicznie, gdzie często pytają tylko o naziwsko panieńskie matki :) ).

  10. Samo dobro! Można zabawić się w agenta Centralnego Biura Antykorupcyjnego.

  11. Błędem jest też autouzupełnianie cyfry kontrolnej (choć bez tego trzeba by próbować do skutku cyfry od 0 do 9).

    Najgorsze jest, że MS założyło, że to narzędzie dla “właścicieli”, a wyszło jak widać… Z drugiej strony, czy takie udostępnienie danych (imię, nazwisko, PESEL czyli też datę urodzenia) nie będzie podpadało o udostępnienie danych osobowych?

  12. Myślę, że firmę Aram/Sygnity trzeba wykopać na bruk, a programowanie za pare milionów zyli powierzyć ekipie Niebezpiecznika.

  13. @Wasyl
    Pewnie jest jakiś cel wyższy, którego ustawa się nie ima.

  14. Jak pod falą krytyki MS wsadzi tam jakiś podpis kwalifikowany w celu podejrzenia księgi to jeszcze zatęsknicie za obecną wersją :) A księgi wieczyste są jawne z założenia tak jak np. ewidencja działalności gospodarczej czy KRS.

  15. @Wasyl. Na razie nie wiem. GIODO zapytane ale milczy.

  16. @kravietz tylko w EDG i KRS masz do czynienia z podmiotami gospodarczymi a tu również z osobami fizycznymi i ich majątkiem.

    Nie twierdzę, że księgi nie powinny być jawne – muszą, choćby ze względu na bezpieczeństwo obrotu nieruchomościami, ale na litość Boską – pomyślmy o konsekwencjach: szantaż (bo znamy majątek), wyłudzenia (bo mamy sporo dostępnych danych), donosy (dla czystej złośliwości, bo ktoś ma, a ktoś nie)… Mam nadzieję, że jestem przewrażliwiony, ale naprawdę nie czuję się komfortowo wiedząc, że ktoś może dotrzeć do mojego peselu i innych danych i wykorzystać je w sposób, o którym mi się nie śniło.

  17. Problem lepszego zabezpieczenia przed crawlowaniem serwisu, który z zasady ma być publicznie dostępny to problem nietrywialny i bardzo ciekawy. Ktoś widzi jakieś skuteczne i w miarę transparentne dla grupy docelowej rozwiązanie?

    (jeśli zabezpieczanie w ogóle jest konieczne, bo ja ciągle nie jestem przekonany, że te dane są “groźne”)

  18. Przecież to wszystko jawne jest… Jedyna różnica, to fakt, iż do tej pory trzeba się było fatygować osobiście, wniosek wypełnić, odstać swoje.
    Problem, o którym się tu dyskutuje istnieje od dawna.
    Myślę, że zweryfikować należy dane, które są dostępne ‘dla ogółu’ a nie sposób ich zdobywania.

  19. DeBill: no jest jawne, ale do tej pory tak masowe ilosci danych nie byly dostepne na wyciagniecie reki. Nie wyobrazam sobie reakcji pań w sadzie, gdybys poprosil o kilkaset milionów wypisów. A teraz możesz.

  20. Można wprowadzić ograniczenie ilościowe np max 1 zapytanie na 60 sekund i 100 zapytań dziennie
    oczywiście można wykorzystać tora do automatycznych zapytań ale to już prędkość mniejsza

  21. @Piotr
    Wiem, że księgi wieczyste są jawne. Jednak udostępnienie tego typu danych w internecie, dla każdego, bez jakiejkolwiek kontroli (no dobra, jest catcha) jest chyba przegięciem.
    Gdy dane były dostępne “w budynku sądu” to czy sprawdzałeś masowo sąsiadów? Ich daty urodzenia oraz gdzie i jaki kredyt na chatę wzięli? A może mają jeszcze jakąś nieruchomość (hipoteką łączna)? Nie? Ja też nie. A teraz, z tym wynalazkiem w 5 minut mogłem sprawdzić wszystkich sąsiadów z klatki i całej wspólnoty.

  22. @Piotr Konieczny: te dane nie są ani groźne, ani tajne. Wgląd w każdą księgę wieczystą ma każdy obywatel w sądzie, więc po co robić jakieś zabezpieczenia?

  23. @Bartosz: ale teraz też masowo sąsiadów nie sprawdzisz, bo najpierw musisz trafić w ich numer księgi ;-) (update: jeśli nieruchomość jest “wspólna” to numery ksiąg sąsiadów można znaleźć). Możesz oczywiście zcrawlować wszystkie księgi, ale wydaje mi się, że wtedy zamiast enumarcji, szybciej będzie przekupić pracownika, który ma dostęp do bazy po stronie serwera :>

    @nivlheim: Wiem i też uważam, że nie są groźne (jeszcze nikt z Was mnie nie przekonał :P). 100% zgody z tym co @WinFiXXr napisał.
    A zabezpieczenia które rozważam, to tylko w kwestii ograniczenia masowego crawlingu (możemy odskoczyć od przykładu ksiąg i uogólnić: jak zabezpieczyć serwer z publicznie dostępnymi danymi przed crawligiem?).

  24. Ale przed czym dokładnie chcemysię bronić? Przed przeglądaniem w ogóle? To nie kupujcie nieruchomości na kredyt. Te księgi każdy może przeglądać w sądzie. Tu nie ma żadnej różnicy między tym co jest w sieci i w sądzie. Może przed łatwym przeskakiwaniem między księgami? Ale w sądzie też można przeskakiwać, tyle że wolniej.

    • kravietz zadał dobre pytanie. Przed czym się chronić? Moim zdaniem samo zebranie wszystkich danych nie bedzie mialo zadnej wartosci poza statystyczna. Ci którzy piszą o wyłudzeniach w banku — tutaj trzeba jeszcze “pokonać” (oszukać?) drugą przeszkodę: albo pracownika banku, albo osobę, do której dane należą. W pierwszym przypadku, ofiara nie ma się czym przejmować — odpowiedzialność spada na bank, że dał się oszukać ;) W drugim …no cóż, trzeba mieć przytomny umysł. Jeśli ktoś atakiem z danymi z ksiąg wyprowadzi w pole ofiarę, to nie oszukujmy się, wyprowadzi też każdą inną metodą…

  25. IMHO skoro księgi wieczyste są jawne to i dane osobowe w niej zawarte. Dlatego UODO nie ma tu zastosowanie, gdyż inne przepisy regulują tą kwestię. Pogóglajcie i sami zobaczycie ile danych osobowych znajdziecie na stronach różnych urzędów i uczelni (przykład – http://www.nettax.pl/dzienniki/dumf/2008/13/poz.98b.htm) P.S. Są i kwiatki zawierające więcej danych.

  26. @Piotr Mam swój numer księgi wieczystej. Tam znajduje się numer całego budynku/wspólnoty (1.11.1.1.6. Udział związany). Wystarczy do niego sięgnąć i sprawdzić dział II (Rubryka 2.3 – Właściciel wyodrębnionego lokalu).

  27. Prosta sprawa – wprowadzić logowanie i oglądanie ksiąg na podstawie składania “zamówienia” na podpisane dokumenty PDF. Wykonanie banalne, a zabezpieczy przed najprostszymi próbami wyciągnięcia masowych ilości danych. Przynajmniej tak sądzę. A ten system w obecnej formie należy po prostu oprotestować i zaskarżyć ministerstwo o złamanie ustawy o danych osobowych.

  28. Przychodząc do Sądu wypełniamy wniosek, ale nikt nie sprawdza poprawności podanych na wniosku danych. Wniosek jest po to, żeby pracownik KW mógł wpisać nr księgi wieczystej do systemu i wyświetlić daną księgę na wybranym stanowisku.
    Jeżeli dane w EKW nie byłyby kompletne to sens ich udostępniania stoi pod znakiem zapytania i nie zmniejszyłoby to kolejek w Sądach.

  29. p.s. oczywiście zamówienia na dokumenty byłyby ewidencjonowane, co ostudziłoby zapędy co poniektórych

  30. TYlko ze w sadzie musisz zostawic informacje o sobie jak chcesz obejzec czyjas ksiege. A tutaj moje dane moze sobie ktos wzisc do neicnych celow i nie bede wiedzial kto.

  31. Można rogue AP ustawić, i wyświetlać komuś, że cała Polska do Ciebie należy i trzeba płacić, płacić, płacić. ;) To atak na zaufanie do EKW plus lenistwo z chodzeniem do sądu.

  32. Myślę, że dobrym rozwiązaniem byłoby ograniczenie danych serwowanych w ten sposób:
    Podawanie właścicieli: Imię i nazwisko oraz część Peselu – powiedzmy cztery pierwsze (rok urodzenia) i 4 ostatnie cyfry – reszta gwiazdki.
    Dane o zajęciach hipoteki: informacja czy jest zajęcie, jeśli tak to w ilu bankach i być może na jaką kwotę, ale bez szczegółów w jakim banku.

  33. Zdobywszy całe księgi wieczyste może dałoby się pośredników obrotu nieruchomościami czasem ominąć… Spekuluję…

  34. Nie wiem czy ktoś zauważył, ale wystarczy raz captcha przeczytać i tym samym cookie odpytywać prawie w nieskończoność.
    Nawet nie trzeba lecieć po numerach księgi głównej, a po idKsięgi z
    t_action=przeglAkt&idKsiegi=011193215&kodEci=LU1I&numerKw=00306718&cyfraKontr=9&xml=Dz1o
    reszta nie jest nawet sprawdzana, paramter xml to jakie dane z górnej zakładki chcemy uzyskać.

  35. co do numerów ksiąg sąsiadów nic trudnego,
    nieruchomość wspólna, np:
    LU1I/00216515/8
    i mamy wykaz wszystkich mieszkań z numerami ksiąg do nich przypisanych.
    Także wszystkich sąsiadów można przeszukać.

  36. co do tajności danych, niby dane ogólnie dostępne, ale …
    nie chciałbym, żeby ktoś zrobił sobie wyszukiwarkę w której wpisując moje nazwisko zobaczy wykaz moich mieszkań z dokładnymi adresami.
    Nie jeden sprzedawca z banku z chęcią wyszuka potencjalne osoby z kredytami w drogich bankach, którym może zaproponować zmianę kredytu.

  37. @Pio: właśnie to wytropiłem, hulaj dusza bez kontusza

  38. Jeszcze jedna kwestia – samo połączenie powinno być zdecydowanie po https. Po pierwsze – zabezpieczenie wrażliwych danych podczas transferu przez niezaufaną sieć, a po drugie – możliwość weryfikacji zdalnego serwera (np. przy sprawdzaniu wpisu u notariusza – czy ktoś nam tu nie podstawia fałszywego serwera).

    Być może ekipa niebezpiecznika mogłaby zebrać co sensowniejsze postulaty i wystąpić do Ministerstwa Sprawiedliwości z wnioskiem o poprawienie konkretnie tego i owego? W ten sposób oprócz krytykowania pomoglibyśmy ulepszyć system, skądinąd bardzo przydatny.

  39. Pio: to zle ze zaproponuje ci tanszy kredyt? jeszcze mozesz na tym skorzystac :]

  40. Aha, no i koniecznie, jak zauważył Pio – captcha przy każdym zapytaniu oraz randomizacja ID. Nie chodzi już nawet o to, czy dane są przydatne czy nie, ale zwyczajnie o wymuszenie dobrych praktyk programistycznych w tym systemie.

  41. WinFiXXr: znając życie nie będzie to kredyt tańszy i zaproponowany raz na rok, tylko droższy i proponowany raz na tydzień.

  42. Wydaje mi się że, tak jak pisze Bartek, dodanie pytania o dodatkowe dane, jak PESEL czy nazwisko panieńskie nie było by dużym utrudnieniem dla osób chcących z tego skorzystać. Natomiast crawling stałby się zdecydowanie trudniejszy.

  43. W całej tej sytuacji najbardziej interesujące jest to, że jeśli takie dane wyszłyby np. z banku to byłaby medialna nagonka na instytucję, a ktoś mógłby nawet pójść siedzieć, generalnie wszyscy związani mieliby kłopoty.
    Jeśli jednak takie dane są powszechnie dostępne w instytucji państwowej to wszystko jest w świetle prawa OK.
    A co do zagrożeń… biorąc pod uwagę, że dane były i tak dostępne, to nie widzę powodu, żeby robić jakiś wielki szum z tego powodu, że są dostępne w inny sposób.
    Co do jakiś dodatkowych zabezpieczeń to podstawowe pytanie, czy jest jakieś ekonomiczne uzasadnienie (to w końcu nasze podatki to finansują) tworzenia dodatkowego modułu zabezpieczeń, jeśli i tak są dość proste sposoby ich obejścia? Chyba na ta chwilę nie. Sens miałoby wspomniane już wcześniej imienne występowanie o takie dane. Ale to melodia przyszłości…

  44. @PK: jak zabezpieczyć:
    – do wyszukiwania stosować więcej danych (np. PESEL), otwarte wtedy jednak zostaje pytanie o stosunek kosztu zabezpieczenia (w tym uciążliwości użytkowania zabezpieczanego programu) do wartości zabezpieczanych danych.
    – opóźnienia,
    – ograniczenia czasowe (1 pytanie na 10 minut, koszt: uciązliwość),
    – odsyłanie na maila,
    – konieczność podpisywania.
    Do tej pory faktycznie nie było słychać o notariuszach szantażujących swoich klientów (a oni chyba te dane mają?).

  45. edit do powyższego: oczywistości programistyczne oczywiście pomijam, bo… są oczywistościami.

  46. Luźna uwaga – bardzo dużo danych, które “intuicyjnie” uważane są za “prywatne/tajne/poufne/(…)” są w rzeczywistości zgodnie z obowiązującym prawem gromadzone i udostępniane publicznie lub “prawie publicznie”, czyli sporej grupie ludzi “uprawnionych”. Można się czasami przerazić…

  47. A ja już widzę pomysł na biznes. Kopia bazy i lub jakiś frontend do niej i udostępnienie tego (odpłatnie) obcokrajowcom, którzy o takim udogodnieniu nie wiedzą. ;)
    Jak już się tym zajmiecie, to pamiętajcie komu odpalić 10%!

  48. @PiotrB Nie bierzesz pod uwagę, że przeglądanie ksiąg wieczystych – a nie tylko sprawdzenie swojego wpis – może być normalną czynnością – np. dla developerów, inwestorów, urzędników, firm zajmujących się infrastrukturą, agentów nieruchomości i wielu innych. A więc najpierw określmy jakie są funkcjonalne wymagania wobec ksiąg wieczystych, a potem planujmy zabezpieczenia. Ja jestem trochę uprzedzony do takich dyskusji, bo właśnie w wyniku takich prowadzonych w oderwaniu od rzeczywistych potrzeb dyskusji eksperów doprowadzono do zablokowania w Polsce faktur elektronicznych czy elektronicznej komunikaci z administracją na długie lata.

  49. A odnośnie zabezpieczenia – a może by tak stworzyć konta “na osobę”, które będą “aktywowane” (weryfikowane) w najbliższym oddziale sądu? Nie oszukujmy się, jeśli będę potrzebował dostępu do ksiąg wieczystych i będę chciał je sprawdzać częściej, to nie będzie problemem przejść się do sądu (wcześniej i tak musiałbym to zrobić).
    Wtedy podejrzana aktywność mogłaby być sprawdzana a konto zawieszane. Wiadomo że osobom, które z racji zawodu (np. pośrednicy) sprawdzają księgi często, powinny mieć zwiększone limity.

  50. Niepotrzebnie siejecie panikę: wystarczy przeczytać ustawę o księgach wieczystych i hipotece:
    “Art. 2. Księgi wieczyste są jawne. […]”
    Art. 361 ust. 3. “*Każdy* może przeglądać księgi wieczyste […].”

    Jedyne zastrzeżenie można mieć tylko do wymogu podania identyfikatora księgi-niepotrzebne utrudnienie.
    Księgi wieczyste mają ujawniać obciążenia nieruchomości: przed zakupem wymarzonego domku warto rzucić na nie okiem…

  51. Dzieciaki, nie widzicie, że konkurs się skończył? Pio pokazał, że ta aplikacja WCALE nie jest zabezpieczona. Nazwisko panieńskie matki może być nawet Maria z Nazaretu. Niech by chociaż ta CAPTCHA do czegoś służyła!

  52. Zgadzam się z tym, co napisał @kravietz. Dodatkowo trzeba jeszcze uwzględnić uwarunkowania prawne. Być może fakt jawności KW, który ma dość istotne znaczenie w naszym prawie, skutecznie wyklucza wprowadzenie “dodatkowych zabezpieczeń”. Zresztą “zabezpieczenia” polegające na konieczności wpisania “swojego PESEL” nie są najlepsze, bo normalny “przypadek użycia” uwzględnia przeglądanie “nieswoich” ksiąg.

  53. @kravietz 2010.06.18 16:39 | #
    @PiotrB Nie bierzesz pod uwagę, że przeglądanie ksiąg wieczystych – a nie tylko sprawdzenie swojego wpis – może być normalną czynnością – np. dla developerów, inwestorów, urzędników, firm zajmujących się infrastrukturą, agentów nieruchomości i wielu innych.
    Ależ biorę, co innego powiedziałem pisząc: “pytanie o stosunek kosztu zabezpieczenia (w tym uciążliwości użytkowania zabezpieczanego programu) do wartości zabezpieczanych danych.”?
    Też jestem przeciwnikiem zbytnich ograniczeń, było pytanie o możliwości zabezpieczenia, to dopisałem propozycje.

  54. […] razu afera: Brute-forcing ksiąg wieczystych. Problem w tym, że Księgi Wieczyste są jawne i każdy może je przeglądać. Ja wiem, że to […]

  55. Właściwie w ogóle co można zrobić z “danymi”
    Przecież w sklepie nimi nie zapłacę
    Zasadniczo to tylko jakieś bezwartościowe literki i cyferki
    no nie ?
    Trzeba je chronić żeby ktoś mógł zarabiać
    ale tak do końca to nikt nie wie dlaczego trzeba je chronić
    bo nikt nie umie ich wykorzystać
    Od tak taka sobie praca
    Gdyby umiał to był by pewnie w rządzie albo w zarządzie ewentualnie nie rządzie
    Można je kompletować w ramach hobby :D

  56. “Bank XYZ

    W zwiazku ze zmianami dotyczacymi bezpieczenstwa systemu informatycznego Banku XYZ Uprzejmie prosimy
    Szanowna Pania Anne Kowalska
    imie ojca: Jan
    imie matki: Janina
    nr Pesel: 1234567689
    o zaktualizowanie swoich danych osobowych na stronie.
    http://bankK.xyz/aktualizacja.php

    z wyrazami szacunku,
    Obsluga XYZ

    ____
    Pragniemy przypomniec ze Bank XYZ nigdy nie prosi o podawanie hasel dostepowych droga mailowa.

    Autentycznosc maila mozesz sprawdzic na stronie http://bankK.xyz/mail.php?id=23123

    Oczywiscie duzo ladniej zredagowane itp…
    ciekawe ilo osob by nie uwierzylo ze jest to informacja od banku(bo kto ma tyle danych? ). Mysle ze adresy email tez by sie w internecie znalazly.

  57. Pierdółka:
    Nałogowo zapominam hasła do swojego konta w jakiejś sieci komórkowej. Nierzadko jako dane uwierzytelniające proszą właśnie o nazwisko panieńskie matki/pesel/adres.
    Nie przychodzi mi nic do głowy, ale o ile kilka zapytań do takiego serwisu to nie problem, o tyle zcrawleyowana baza z setkami tysięcy/milionami.. miałbym pewne opory przed zaakceptowaniem;)

  58. Jeśli się mylę to mnie poprawcie:) Czy czasem realne zagrożenie nie pojawia się wtedy gdy ktoś jakimś cudem metodą brute force pobrałby pełną bazę a potem ją posortował nie po numerze księgi ale po danych osobowych? O ile mi wiadomo ( mogę się mylić) w sądzie dostaniecie tylko informacje o pojedynczej księdze wieczystej a nie o wszystkich księgach Kowalskiego. Posiadając informacje o “majątku” Kowalskiego można ją wykorzystać w różnych celach. Myślę, że ludzie zajmujący się data maningiem potrafiliby wyciągnąć wiele przydatnych informacji. Zaczynając od związków między bankami, Kowalski, współwłaścicielami wpisanymi w danej księdze, itd.

  59. Mam znajomą w administracji i dowiedziałem się, że według ustawy księgi wieczyste są w pełni jawne. Idąc do urzędu mogę dostać do ręki treść każdej księgi za cel podając “interes prawny” czyli na przykład zainteresowanie kupnem nieruchomości i dostęp taki zawsze dostanę. Nie ma więc co panikować.

  60. “Myślę, że firmę Aram/Sygnity trzeba wykopać na bruk, a programowanie za pare milionów zyli powierzyć ekipie Niebezpiecznika.”

    @.: A skąd wiesz, że ta firma odpowiada za ten system? (potrzebne źródło)

  61. @lukasz:
    W widoku zupełnym księgi html xmlns:imsc=”aram.pl/imsc”. No dobra, to może nic nie znaczyć. Lektura press releasów z prasy branżowej i rozstrzygnięć przetargów na stronie ministerstwa naprowadziła mnie, że Aram ogólnie od lat zajmuje się projektem Nowa Księga Wieczysta w Ministerstwie Sprawiedliwości. Ostatnio Sygnity przejęło Aram. Ale nie chce mi się jakiegoś linka szukać, bo nie wiem, czy dyskusja o tym, kto dokładnie wdrożył Podsystem Dostępu – aplikację webową, czy o tym, kto profit zaksięgował i w ogóle jak bardzo przekonywać muszę. ;)

    Oczywiście ugodowy jestem, za milionik mogę nawet powiedzieć, że ta aplikacja jest bezpieczna i użyteczna – aż 100000 JSESSIONID dziennie!!! Nie można wyniszczać warszawskiego środowiska informatycznego. ;)

  62. no i jeszcze z tym haczykiem, że firma, o którą chodzi to aram.com.pl, a nie aram.pl, ale namespace’y można traktować luźno…

  63. A zauważył ktoś XPath Injection?

  64. @Piotr Konieczny:
    Na początku dyskusji zadałeś parę pytań o zabezpieczenie serwisu przed masowym crawlingiem. Jak wszystko pójdzie zgodnie z planem, to na pierwszym jesiennym OWASPie będzie o tym mowa. Generalnie zaawansowany data mining + zabezpieczenie przed nim.

    A metody są różne. Oprócz captcha, która generalnie utrudnia i zniechęca użytkowników (poza Hindusami i Chińczykami którzy rozwiązują tysiące captch za miske ryżu), istnieje pare ciekawszych metod poza statycznym sprawdzaniem parametrów/obcinaniem IP. Najskuteczniejsze co udało mi się wykombinować, to metoda przypisywania “wag” określonym parametrom requestów (useragent, IP, parametry GET/POST), które wygasają po ustalonym czasie, mierzenie trendów, wykrywanie braku typowych nagłówków + dodawanie nietypowych. Dodawanie do losowych zapytań jakiegoś JSa, który pobierze AJAXa, który odwołuje się do tego samego serwera (musi być rzadko, i nie wyłączać sesji od razu, ale po jakimś czasie – chodzi o wykrycie czy ktoś korzysta z przeglądarki rzeczywistej, czy jakiegoś odpowiednika curla). Nie jest to super sprawne pod wzgledem optymalnym, pewnie przy większym obciążeniu wyłoży serwer – ale działa. A najprostsze rozwiązanie ma google – porządna captcha, jesli przekroczysz 500 czy 1000 zapytan na godzine/dobe. Co niestety wykłada wszystkie proxy, sieci lokalne, etc…

    Jakbyś miał jakieś inne ciekawe pomysły daj znać :)

    • @gadulix: Odpiszę Ci na e-mail to, co nam udało się kiedyś wykombinować w tym temacie. Zapowiada się fajna prezentacja, trzymam kciuki.

  65. Nie można żądać PESELu bo nie każda księga wieczysta takowe dane posiada. Nazwiska panieńskiego matki to żadna nie ma (pomijam przypadki nazwisk dwuczłonowych u kobiet).
    W ogóle to takie żądania sprawiłyby, że dostęp do księgi online nie byłby do niczego przydatny – kupujący żeby sprawdzić stan prawny księgi musiałby dysponować dodatkowymi danymi sprzedawcy, co jest niepraktyczne – prościej jest iść do sądu i zażądać wglądu, czyli nic by się nie zmieniło. Potem byłyby artykuły o tym jak to się informatyzuje państwo, ile to kosztowało i kto na tym zarobił.
    Pamiętać należy, iż publiczny rejestr nieruchomości służy obrotowi czyli nabywcom, pożyczkodawcom (banki) a nie przeglądaniu swojej własnej księgi.

  66. @gadulix: dość skutecznym rozwiązaniem w części przypadków jest wprowadzenie sztucznego ograniczenia ilości odpowiedzi w jednostce czasu. Dobrze dobrane ograniczenie nie powoduje negatywnych skutków dla klienta przy normalnym użytkowaniu (czas opóźnienia nie przekracza czasu, po którym następuje reakcja “ta aplikacja wolno działa”), ale jednocześnie powoduje, że próba masowego zbierania danych staje się nieefektywna. Przykład wykorzystania tego pomysłu na etapie logowania pokazałem tu: http://threats.pl/bezpieczenstwo-aplikacji-internetowych/przyklad-opoznienia-w-trakcie-logowania (tak, wiem, że w tym przykładzie ograniczenie można dość łatwo obejść, ale chodziło o zademonstrowanie koncepcji, a nie wzorcowej implementacji).

    Skuteczność takiego podejścia zależy od tego, ile danych należy pobrać, by taki crawling się opłacał. Jeśli będzie to różnica typu 15 minut a 24 godziny, to zabezpieczenie jest iluzoryczne, jeśli jednak pobranie takiej ilości danych, które prezentują jakąś wartość zajmie wiele dni, a w tym czasie pobrane dane tracą aktualność, takie opóźnienia mogą być skuteczne.

  67. @ Pawel Golen: Dokladnie, nawet nie pare dni, ale pare miesiecy – albo innego czasu, kiedy te dane staja sie nieaktualne, albo jestesmy w stanie w jakis sposob (automatycznie, a nawet i recznie, poinformowani jakims pseudo-inteligentnym systemem ostrzegania) przerwac crawling istotnie wczesniej.

    Chodzi tez o taki system, ktory wykryje statystycznie anomalie nie tylko pochodzace z jednego IP, ale tez przynajmniej ostrzeze o crawlujacym botnecie (w takim przypadku nawet 50 komputerow to duzo) szukajac jakichs cech wspolnych zapytan.
    A takze o system, ktory bedzie zauwazal nawet malo intensywny, ale dlugotrwaly crawling (chociazby reczny, albo bez emulowania przegladarki – np. boty oparte o xdotool, takie tez sie pisalo :) ) – chodzi o wykrycie jakiejs konsekwentnych dzialan (np. jak ktos przeszukuje codziennie 1000 wpisow z kolejnych kategorii).

    Swoja droga, szukam jakis podstaw prawnych ktore mozna by zaaplikowac do spraw zwiazanych z crawlingiem – bo racje sa 2 – jedni mowia ze crawlic mozna wszystko, bo Internet jest jawny (jesli robots.txt nie mowi no-follow) i to jest normalne katalogowanie, jak wyszukiwarki tresci. A drudzy mowia, ze nie mozna crawlic danych mimo ze sa pokazywane jawnie – bo to kopia cudzej pracy (np. dane osobowe, uszeregowany zbior gier, etc….). Oraz co mozna uznac za “ominiecie” zabezpieczen – inkrementacje po ID, uzywanie tego samego obrazka captchy wiele razy, i tak dalej…
    Ktos ma jakies wiarygodne informacje ?

  68. […] klienta… albo przelecieć całą przestrzeń identyfikatorów (i tu powracamy do problemu z ochrony serwisu z księgami wieczystymi przed enumeracją identyfikatorów/atakami […]

  69. Taki zbiór danych ewidentnie podpada pod UODO. Nie jest problemem posiadanie pojedynczych rekordów jak przy tradycyjnym dostępie ale bazy owszem i dziwię się GIODO że nie przypilnowała a wręcz chyba dopuściła taką niezabezpieczoną przed data miningiem stronę. A nr. ksiąg sąsiadów – żaden problem – bierzemy wyrys gruntów – dzwonimy do najbliższego wydzialu geodezji z numerem/numerami działek z pytaniem o numer księgi dla danej działki/działek.

  70. No, to teraz jak mi wyleci z glowy pesel, bede mogl go poszukac przez google! ;-) A na powaznie – jakos nieswojo sie czuje wiedzac ze tyle danych mozna znalezc w sieci. I wiem – jestem paranoikiem…

  71. Znajomość imienia, nazwiska, PESELu i adresu wystarczy do zrobienia dowodu osobistego, a z tym juz mozna chulac do woli. Z ksiegi wiadomo nawet do ktorego banku masz isc wyplacic pieniadze z konta.
    PoC do tego juz byl
    http://wiadomosci.wp.pl/kat,9922,title,Jak-w-filmie-wyrobil-falszywy-dowod-w-urzedzie-miasta,wid,12309966,wiadomosc_prasa.html?ticaid=1a62a
    m.

  72. Chyba admini wzięli do siebie te wszystkie uwagi, na stronie ekw przerwa techniczna :)

  73. @Mi$iek: Wykop zrobił swoje.

  74. GIODO wyraził swoje wątpliwości w rozmowie z reporterem Polskiego Radia – http://www.giodo.gov.pl/259/id_art/3572/j/pl

  75. Dostęp do ksiąg online poprzez ePuaP +blokada “masowego” przeglądania.
    Dokładnie na takich samych zasadach jak przeglądamy księgę w sądzie. Trzeba się wpisać, podać powód, etc.

  76. jasne, nie ma lepszej zabawy, niż przegladanie ksiag wieczystych. nie widzie generalnie powodu, zeby sie tym przejmowac – jakos niezbyt mnie interesuja ksiego sasiadow. a nie sobie maja co chca… a ze ktos przegladnie moje? moze sie wybrac do sadu i zrobic dokladnie to samo. z takim ryzykiem godzimy sie w momencie gdzie zostaje umieszczony jakikolwiek wpis w publicznie dostepnym rejestrze.

  77. Uzupełnienie – jaką wartość dodaną mają elektroniczne księgi wieczyste:

    http://www.rp.pl/artykul/4,498944_Nie_ukryje_sie_dzialki_i_domu_przed_egzekucja.html

    Strach pomyśleć jak to wyglądało (nie wyglądało) dotychczas…

    • Zaktualizowałem tekst, dzięki za informację.

  78. Tak tylko dodam że chciałem spojrzeć w księgę – potrzebna była..
    I wyszło..
    The page cannot be found

    a główna strona
    http://ekw.ms.gov.pl/
    szczyci się
    “Trwa aktualizacja serwisu.”

    czuję się bezpieczniej. ;)

  79. Nie przesadzajcie! Te wszystkie dane zawsze były dostępne. Ważne informacje możesz dopiero mieć zaglądając do dokumentów kw, do których dostać już nie jest tak łatwo. Mnie np duzo bardziej interesowałyby dostępne archiwalne rysunki nierychomości, gdyż w ewidencjach powielokroć jest jeden wielki kicz. Tak naprawdę jak chcecie zebrać dane o osobie wejdzcie sobie na nasza klasę czy facebook. Chętnie bym zajrzał w wasze kw, ale nie wiem które to one ;-), a tak poważnie zawsze w sądzie rejonowym irytował mnie tłum agentów nieruchomości okupujących zawieszające się komputery, którzy bezmyślnie patrzyli w ekran przerysowywując zagadkowe dla nich tabelki.

  80. […] że nikt nie lubi, jak się go wypytuje o dane lub publikuje się jego dane (por. problemy z księgami wieczystymi). Warto jednak w każdym takim przypadku mocno zastanowić się, jaki realny użytek (korzyści) […]

  81. trochę ta dyskusja o Księgach Wieczystych jest oparta na błędnych przesłankach. Po ierwsze treść ksiąg wieczystych jest jawna. W związku z czym wszelkie dywagacje na temad udostępnienia są bezprzedmiotowe. Po drugie treść księgi wieczystej (dział drugi- właściciel) nie podaje danych umożliwiających jednoznaczną identyfikację osoby. Brak adresu zamieszkania. Fakt, że podawany jest numer PESEL ale to tylko dla ksiąg gdzie niedawno dokonywany był obrót to on także nie pozwala przypisać księgi do konkretnej osoby bez dotarcia do danych osoby mającej konkretny numer PESEl.

  82. PESEL z definicji jest uznawany za dane wrażliwe. Nie trzeba do niego dołączać imienia i nazwiska.

  83. […] PS. Podobne błędy pozwalające na enumerację parametru i pozyskiwanie danych klientów opisywaliśmy już w kontekście iBOOD.pl, serwisu telefonów Regenersis — a nad samą enumarcją i ochroną przed nią zastanawialiśy się także na przykładzie rządowego serwisu z księgami wieczystymi. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: