12:06
3/6/2019

Kontynuujemy wątek aplikacji mObywatel, która teoretycznie powinna służyć do potwierdzania danych w “prywatnych” sytuacjach. PKW oficjalnie powiedziała nam, że graficzne zabezpieczenia aplikacji są jej zdaniem wystarczające. Tymczasem nasz Czytelnik zarejestrował kartę SIM na zrzut z ekranu, a my pytamy operatorów, czy aplikacja wystarczyłaby do uzyskania duplikatu karty SIM.

Zaraz po wyborach pisaliśmy o tym, że teoretycznie możliwe było dokonanie oszustwa wyborczego dzięki rządowej aplikacji mObywatel, która w pewnych warunkach może zastępować dowód osobisty. Powiedzmy sobie wprost, że grafika jest łatwiejsza do wytworzenia niż plastik, a urzędnicy nie weryfikują mObywatela aplikacją mWeryfikator, mimo iż jedną z zalet rządowego rozwiązania jest właśnie możliwość dokonania weryfikacji na bazie kodu QR.

PKW: Nie było sygnałów o nadużyciach

Mamy powody by pociągnąć temat dalej. Przede wszystkim Państwowa Komisja Wyborcza (PKW) odpowiedziała na nasze pytania dotyczące weryfikacji osób głosujących za pomocą mObywatela. Odpowiedź dostaliśmy w formie pięknego dokumentu. Wydrukowanego, zeskanowanego i opatrzonego własnoręcznym podpisem zastępcy przewodniczącego :). Doceniamy ten wysiłek, choć po raz kolejny przypominamy – zwykły mail będzie zawsze wystarczający.

Najważniejsza informacja znajduje się na samym końcu dokumentu. PKW “nie otrzymała sygnałów o nadużyciach związanych z tym sposobem okazywania tożsamości“. To istotne uzupełnienie wcześniejszego artykułu i dlatego wymieniamy je na pierwszym miejscu.

Równie godna podkreślenia jest informacja, że PKW dostrzega potrzebę ciągłego analizowania nowych rozwiązań takich jak mTożsamość, ale… PKW nie ma zamiaru wymagać używania mWeryfikatora w Obwodowych Komisjach Wyborczych (to ostatnie nie zostało napisane wprost, ale jednak wynika z treści pisma).

Zabezpieczenia?

My wątpimy, czy “zabezpieczenia w warstwie wizualnej” faktycznie można nazwać “zabezpieczeniami”. Pulsująca flaga czy “znak wodny” to raczej mały problem dla grafika (albo nawet średnio rozgarniętego użytkownika programów graficznych). Jeśli chodzi o hologram reagujący na akcelerometr to cóż… wystarczy zrobić ruchomy obraz i nieco poruszać smartfonem przy okazywaniu aplikacji. Powinno wyglądać dobrze. Z odpowiedzi PKW wynika, że głównym zabezpieczeniem jest ruchoma flaga.

PKW nie odniosła się do tego, że fałszowanie grafiki jest łatwiejsze niż fałszowanie plastiku. Komisja zauważyła jedynie, że w aplikacji jest zabezpieczenie przed wykonaniem zrzutu z ekranu. Niestety część naszych Czytelników bez problemu robiła zrzuty. Być może skuteczność zależy od modelu telefonu lub zabezpieczenie nie zadziała, gdy ktoś używa aplikacji do tego celu. Inne rzecz, że nie trzeba wcale robić zrzutu. Można wygenerować inny, bardzo podobny, nawet niekoniecznie identyczny obraz.

mObywatel idzie do salonu

Problem weryfikowanie mObywatela “na oko” wykracza poza wybory. Wspominaliśmy już, że taka właśnie weryfikacja zdarza się na poczcie. Nasz Czytelnik – nazwijmy go Sylwek – podzielił się z nami ciekawą historią dotyczącą mObywatela w salonie operatora GSM.

Cześć chciałem się z wami podzielić spostrzeżeniem na temat rejestracji kart sim u operatorów (…) Otóż teoretycznie wymagany jest do tego dowód osobisty present czyli plastik wręczany do ręki panu/pani która nas rejestruje w punkcie obsługi. Jednak dzis udało mi sie zarejestrować taką kartę okazując aplikacje mObywatel. Pokazałem miłemu Panu ekran smartfona ze swoimi danymi oraz zdjęciem. Dane Pan przepisał i wydal kartę sim, zarejestrowaną. Nie byłoby w tym nic dziwnego gdyby nie fakt, ze nie przepisywał danych prosto z aplikacji mObywatel, a ze spreparowanego screenshota na którym co prawda byly poprawne moje dane ale dorysowałem sobie na zdjeciu opaskę jak u pirata by sprawdzić czujność obsługi.

Ciekawa sytuacja. Rządowa aplikacja może ułatwiać obchodzenie wprowadzonego przez rząd obowiązku rejestracji karty SIM.

Czytając maila od Sylwka od razu zadaliśmy sobie inne pytanie – czy można uzyskać duplikat karty SIM okazując w salonie mObywatela? Bo jak wiecie uzyskanie duplikatu karty SIM może skutkować kradzieżą sporych sum pieniędzy, a w Polsce nie ma systemowego zabezpieczenia przeciwko tzw. SIM Swap Fraudom. Przynajmniej nie mamy takiego zabezpieczenia jakie ma Mozambik.

Tylko Orange wie, że wymaga dowodu?

Aby zorientować się w poziomie zagrożeń, postanowiliśmy spytać 4 operatorów infrastrukturalnych telefonii komórkowej, czy w ogóle możliwe jest w ich salonie uzyskanie karty SIM po okazaniu aplikacji mObywatel. Ku naszemu zdziwieniu, odpowiedział nam tylko jeden operator – Orange.

Weryfikacja klientów w salonach Orange odbywa się na podstawie tradycyjnych, fizycznych dowodów osobistych. Analizujemy możliwości wdrożenia w sieci sprzedaży aplikacji mWeryfikator, aby usprawnić obsługę klientów, którzy korzystają z mObywatela.

Czyli Orange nie dopuszcza weryfikacji “na oko” co jest bardzo dobrą wiadomością.

Po otrzymaniu tej odpowiedzi spytaliśmy Orange, czy możliwe byłoby zarejestrowanie karty SIM z użyciem mObywatela. Rzecznik prasowy operatora Wojciech Jabczyński odpowiedział nam, że “To też wymaga dowodu”. Cieszy nas, że choć jeden operator ma w tej sprawie jasne stanowisko.

Niestety Plus, Play i T-Mobile nie odpowiedziały na nasze pytania. Owszem, przeanalizowaliśmy regulaminy i wpisy na ich stronach, ale wolelibyśmy mieć jasną odpowiedź na  pytanie.

Plus pisze na swoich stronach, że rejestracja karty SIM wymaga dowodu, gdy tymczasem Sylwek zarejestrował swoją kartę właśnie w salonie Plusa. Mamy przy tym świadomość, że pracownicy mogą czasem postąpić niezgodnie z procedurami, ale jest też inna możliwość. Każdy z operatorów, którzy nigdy nie odpowiedzi, mógł zwyczajnie nie wypracować procedur dotyczących mObywatela. To niebezpieczne to pracownicy mogą wiedzieć, że jest to promowany przez państwo sposób weryfikacji. Brak wyraźnego stanowiska oznacza potencjalne ryzyko.

Nam w przeszłości udawało się uzyskać duplikat karty SIM bez dowodu osobistego. Ech… gdybyśmy mieli wtedy mObywatela, może byłoby łatwiej :).

Dobra wiadomość jest taka, że mObywatel nie wystarczy do załatwienia sprawy w banku. Sprawdzaliśmy w kilku oddziałach trzech dużych banków i odesłano nas z kwitkiem uprzejmie acz stanowczo :).

Co robić? Jak żyć?

Chcemy aby było jasne, że naszą intencją nie jest zniechęcanie do korzystania z aplikacji mObywatel. Nie uważamy również, aby taki produkt był zbędny czy zły. Poddajemy jedynie pod krytykę niektóre praktyki związane z używaniem tej aplikacji. Przypominamy, że istnieje także aplikacja mWeryfikator, która pozwala na potwierdzanie tożsamości z użyciem kodu QR. Ta aplikacja – owszem – ma swoje ograniczenia i nie zawsze działa jak powinna, ale jednak wprowadza zabezpieczenie inne niż element graficzny.

Podtrzymujemy swoją wcześniejszą poradę – chodźcie na wybory, to nikt nie wykorzysta waszego głosu, albo przynajmniej dowiecie się o nadużyciu.

Na koniec warto przypomnieć raz jeszcze, że mObywatel nie jest dowodem osobistym, ani nie jest jego elektroniczną wersją. To tylko dostarczany przez państwo alternatywny sposób potwierdzania tożsamości. Na koniec dobrze będzie zacytować pewne fragmenty z regulaminu aplikacji.

Aplikacja umożliwia potwierdzenie Twoich danych osobistych (imienia, nazwiska czy wieku) w stosunkach prywatnych (np. w razie stłuczki, najmu roweru czy mieszkania). Wiarygodność danych zawartych w Aplikacji wynika z faktu, że dane pochodzą z rejestrów państwowych i zostały pobrane przez osobę, która została zidentyfikowana przez Państwo. Dane są też przechowywane i przesyłane za pomocą aplikacji udostępnionej przez Państwo.

Nie jest natomiast możliwe posługiwanie się aplikacją w stosunkach z administracją publiczną (np. przy kontroli drogowej czy wizyty w urzędzie) ani wtedy, gdy z przepisów prawa (ustawy, rozporządzenia itd.) wynika obowiązek okazania dowodu osobistego. Aplikacja nie uprawnia również do przekraczania granicy (np. w przypadku przekraczania granic państw UE i strefy Schengen).

Zwracamy uwagę, że korzystanie z aplikacji nie zwalnia Cię z obowiązków wynikających z przepisów prawa. Zbieranie danych innych użytkowników, posługiwanie się nimi czy ich publikacja podlegają ograniczeniom prawnym wynikającym m.in. z przepisów służących ochronie danych osobowych, dóbr osobistych i prywatności.

Aktualizacja 3.06.2019 15:16
Pytania, jakie rozesłaliśmy do operatorów brzmiały dokładnie tak.

1. Czy w salonach [nazwa operatora] wydaje się karty SIM po okazaniu aplikacji mObywatel, czy tylko na podstawie dowodu osobistego?
2. Czy personel [nazwa operatora] został przeszkolony w zakresie rozpoznawania aplikacji mObywatel i możliwych podróbek?
3. Czy [nazwa operatora] rozważa użycie lub używa w salonach aplikacji mWeryfikator do weryfikowania aplikacji mObywatel poprzez skanowanie kodu QR?
Przed chwilą dotarły do nas odpowiedzi rzecznika Play Marcina Gruszki.
  1. Nie obsługujemy aplikacji mObywatel. Mamy ściśle określone procedury wymiany kart sim w POS i opierają się one na pokazaniu fizycznych dowodów tożsamości (lub innych równoważnych DO dokumentów)
  2. Nie został, ponieważ nie obsługujemy tego typu przypadków. Konsultant postępując wg procedury poprosi o fizyczny dokument
  3. Na chwilę obecną nie analizujemy takiego tematu

Rzecznik Plusa obiecał nam przesłanie odpowiedzi, natomiast T-Mobile ciągle milczy.

Aktualizacja 5.06.2019 9:27

Plus również przesłał do nas swoje stanowisko. Publikujemy je poniżej.

Obsługa klientów w punktach sprzedaży Plusa (ale również w pozostałych kanałach sieci sprzedaży) odbywa się na podstawie tradycyjnego dowodu osobistego oraz fizycznej warstwy eDowodu (warstwa elektroniczna nie jest jeszcze obsługiwana), bądź innych fizycznych dokumentów potwierdzających tożsamość, jak np. paszport. Nie jest dopuszczone okazanie danych na urządzeniu przenośnym czyli np. skorzystanie z aplikacji mObywatel.

Stosowne procedury w tym zakresie zostały przekazane do naszych punktów sprzedaży w marcu br, a w minionym tygodniu informacja ta została ponowiona, a sprzedawcy wyraźnie poinformowani, że „Forma okazania danych osobowych na urządzeniu przenośnym nie jest dopuszczona do potwierdzania tożsamości (uwierzytelniania), nie zastępuje fizycznego plastikowego dowodu osobistego i nie może być wykorzystana do obsługi klientów, weryfikacji tożsamości (uwierzytelniania) a tym bardziej realizacji jakichkolwiek transakcji.”

Zdajemy sobie sprawę, że samo okazanie aplikacji mObywatel bez wykonania weryfikacji warstwy elektronicznej jest dokładnie tyle samo warte, co okazanie kserokopii dokumentu tożsamości. Z tego też powodu we współpracy z Ministerstwem Cyfryzacji oraz NASK prowadzimy prace pilotażowe nad wdrożeniem systemu zapewniającego pełną weryfikację danych z aplikacji mObywatel w warstwie elektronicznej w różnych kanałach sprzedaży i obsługi klienta.

Po więcej informacji na temat działania systemu odsyłam do publicznego opisu działania aplikacji mObywatel i mTożsamość: https://obywatel.gov.pl/dokumenty-i-dane-osobowe/mdokumenty-potwierdzaj-tozsamosc-smartfonem

Choć Plus odpowiedział najpóźniej to najwyraźniej już wcześniej zastanawiał się nad problemem (potwierdzają to również niektóre z komentarzy pod naszym tekstem). Oczywiście zawsze może dojść do tego, że pracownicy ominą ustalone procedury i jednak wydadzą kartę na mObywatela albo nawet bez żadnej weryfikacji. Mamy nadzieje, że ten tekst pozwoli uświadomić jak najszerszemu gronu osób, że aplikacji nie można wierzyć tak jak plastikowi.

Przeczytaj także:

39 komentarzy

Dodaj komentarz
  1. Wasze źródło nazywa się “Tadeusz”, czy “Sylwek”…

    • Niechcący wyciekło ;-)

    • To zależy kto pyta.

    • Tak naprawdę to imię jest znane redakcji i nie jest ani takie, ani takie :)

    • Teraz już nigdy nie zidentyfikujemy źródła:/
      Nie wiemy czy redakcja Niebiezpiecznika, użyła za pierwszym razem pseudonimu, a za drugim pomyliła się i wpisała prawdziwe imię, czy specjalnie za pierwszym razem użyła prawdziwego, a poźniej dla “zmyłki” pseudonimu. Wszystko po to, żebyśmy pomyśleli, że za drugim razem jest prawdziwe imię, ale równocześnie, żeby zrobić ruch wyprzedzający zamienili imiona miejscami :>

    • Nie. W ogóle nie wpisałbym prawdziwego imienia wiedząc, że źródło zastrzegło swoje dane. Natomiast jeśli masz kilka pomysłów na fałszywe imie, to możesz zapomnieć które wpisałeś wcześniej ;)

  2. “… ale jest też inna możliwość. Każdy z operatorów, którzy nigdy nie odpowiedzi, …”

  3. Problem screenshotów ciekawie rozwiązała aplikacja transportu publicznego w Reykjaviku (Strætó.is). Podczas okazania ważnego biletu kierowcy autobusu, w tle pojawia się obraz z przedniej kamery urządzenia na dowód, że to nie screen.

    • Wyświetlenie półprzezroczystej grafiki na tle kamery to nie jest jakieś wyzwanie dla programisty, ale pewnie powstrzyma niedzielnych gapowiczów ;)

  4. Pracuję w Plusie i niedawno była informacja odnośnie mTożsamości, zgodnie z komunikatem aplikacja mObywatel NIE JEST HONOROWANA i nie upoważnia do potwierdzenia danych.
    Cyt:
    “Informujemy, że forma okazania tych danych na urządzeniu przenośnym nie jest dopuszczona do potwierdzania tożsamości (uwierzytelniania), nie zastępuje fizycznego plastikowego dowodu osobistego i nie może być wykorzystana do obsługi klientów, weryfikacji tożsamości (uwierzytelniania) a tym bardziej realizacji jakichkolwiek transakcji.”

  5. Jeśli uznać, że redakcja niebezpiecznika zazwyczaj nie kłamię. To obecnie możemy odrzucić osoby mające imię Sylwek i Tadeusz. Pula potencjalnych imion zmniejsza się…

  6. Dla pani z Żabki bez znaczenia, czy ma być plastik czy apka ;)

    • Żabka jest punktem pocztowym, więc przyjmuje mTożsamość jak Poczta Polska.

  7. Ja z kolei informuję, że w Top Markecie można kupić piwo na aplikacje mObywatel.

  8. Ostatnio pan policjant za spożywanie alkoholu w miejscu publicznym wylegitymował mnie na podstawie mObywatela, oczywiście bez weryfikacji smartfonem. Ministerstwo Cyfryzacji za cel obrało chyba ułatwienie fałszowania swoich danych osobowych

    • Nie wpadłeś na to, że zweryfikował Twoje dane w inny sposób?

    • Chyba widziałem co robił… Trudno by było, żeby za pomocą kartki i długopisu zweryfikował moje dane.

    • @K nie wpadłeś na to, że weryfikacja danych to nie to samo co weryfikacja osoby?
      Dane z ekranu mogą zgadzać się z danymi w PESEL itp., ale jak stwierdzisz czy dane pasują do osoby którą widzisz bez uwiarygodnienia przez (tutaj) QR?

  9. eetam, dwa razy w Plus’ie byłem z nie swoim dowodem i dwa razy dostałem duplikat karty SIM (wymiana starej karty na NanoSIM) bez problemu. Dwa razy w tym samym miejscu, przy czym pierwszy raz rok temu, drugi raz w zeszłym tygodniu. Pierwszym razem jak zapytałem czy mam się podpisać swoim czy nie nazwiskiem było zdziwienie “a to nie Pana dowód?” tak jakbym był choć trochę podobny :-D. Teraz nie pytałem.
    Tak więc dowód służy tylko do wyszukania abonenta.

  10. “Aplikacja umożliwia potwierdzenie Twoich danych osobistych w stosunkach prywatnych”
    Zdzichu, to ty? No przesss widzisz jaki mam kodzik kur.. kur.. Ku. Er. na telefonie :)

  11. A ja sprawdzałem na poczcie i bez problemu można zarejestrować karty sim na fikcyjne dane. Nawet się kobieta na poczcie śmiała, że się nazywam Jan Nowak i mam taki sam adres jak ten ze skrzynki na listy. Ciekawe czy udałoby się założyć u niej konto i zaciągnąć kredyt w Banku Pocztowym :D

  12. Co tam mObywatel. Ja kiedyś rejestrowałem kartę sim w zwykłym sklepie osiedlowym. Chyba jest jeszcze taka możliwość? I miła pani wcale nie wspominała o żadnym dowodzie potwierdzającym tożsamość Nawet jeśli PESEL jest weryfikowany z nazwiskiem na bieżąco w ichnim systemie to wystarczyło podać poprawne dane jakiegoś kolegi i hulaj dusza z komórką :D

    • Operatorzy nie mają dostępu do bazy CEL. Pozostaje zwykła walidacja nr PESEL.

  13. Dzięki artykułowi zacznie się fala wyłudzeń póki operatorzy nie przeszkolą panienek w salonach. Orange z Playem mogą pisać co chcą, a i tak pewnie dopiero po artykule zauważyli problem.

    • Wszystko zgodnie z zasadami Responsible Disclosure, nie widzę problemu.

  14. Potrzebny korektor lepszy niż słownik ;)

    • Yes, master Yoda ;)

  15. “czas aktualizacji danych”. Pulsowanie flagi może sprawdzić odbiorca danych własnoręcznie, prosząc o telefon “do ręki”, a następnie poprosić właściciela mTożsamości o ponowną aktualizację danych i zweryfikować z kodem QR i/lub własnym zegarkiem. Zawsze trochę trudniej. Oczywiście za chwilę pojawią się dedykowane aplikacje, które to będą robić, ale póki co jest nieźle.

  16. “ze spreparowanego screenshota na którym co prawda byly poprawne moje dane ale dorysowałem sobie na zdjeciu opaskę jak u pirata”
    Sądzę, że podrobionych plastików też nie zweryfikują pracownicy jakichkolwiek salonów, urzędów i banków. Istnieje jakiś system umożliwiający prawdziwą weryfikację osoby (wykluczający “błędy” ludzkie), dostępny dla takich instytucji? Największym problemem jest człowiek. Zawsze może powiedzieć, że blankiet wydawał mu się “OK” ale specjalistą nie jest. Oczywiście pomijając to, że może współpracować z jakimś oszustem.

  17. całe to deliberowanie nie ma sensu zważywszy na to, że “kolekcjonerski” plastikowy dowód osobisty można sobie kupić za parę złotych i też nikt nie będzie go przez 10 minut analizował przy sprawdzaniu :)

  18. Wyróbcie sobie dowód z chipem, używacie certyfikowanych czytników, pilnujcie swoich pinów.. to jest szansa, że nikt się nie dobierze do waszych danych

  19. Zdarzyło mi się rejestrować numer na kartę z Virgin Mobile. Zgodnie ze stroną poszukałem punktów gdzie mogę to zrobić. Pierwszy jakiś sklep nieczynny, w drugim nic nie wiedzą na ten temat. No to może frashmarket, tutaj stwierdzili że nie mają odpowiedniej klawiatury żeby wpisać dane. Miałem dość, ale okazało się że numer można zarejestrować na jednej ze stacji benzynowych. Wchodzę i mówię o co chodzi, w odpowiedzi poproszę numer telefonu a następnie PESEL. Nie pamiętam czy podawałem chociaż imię i nazwisko. Dokumentu nikt nie wymagał. Numery zarejestrowany.

  20. Płakać mi się chce jak kolejny raz widzę tego typu artykuł.

    Lata mijają, a w dalszym ciągu to nie oszust/pracownik weryfikujący/korpo mają się martwić, że będą bulić odszkodowania, tylko zwykły szary obywatel, któremu bez imienia, nazwiska i PESELu sprawcy zwyczajnie umorzą śledztwo.

    Nie mam pańskiego płaszcza i co nam pan zrobisz?

  21. To państwo jest z kartonu niestety. Wystarczy że ktoś na dowód kolekcjonerski albo dowód .jpg wyrobi konto bankowe albo potwierdzi profil zaufany. Od tego momentu może zakładać spółki,rejestrować działalność,brać kredyty. Idealny kraj do prania pieniędzy i oszustw. Myślicie dlaczego skończyły się karuzele VAT? Przestępcy poszli do Urzędu Pracy po zasiłek? Nie. Dzięki powyższemu oraz plikom JPK które pozwalają nadać pozory legalności pieniądzom Polska jest obecnie europejską pralnią pieniędzy. Ale 80% Pisuarów i Lemingów dowie się o tym za kilka lat….

  22. “Nie uważamy również, aby taki produkt (mObywatel) był zbędny czy zły”
    produkt jako taki, czy akurat nasze krajowe rozwiązanie?
    W tym drugim przypadku jeśli uważacie że nie jest zły, a wystarczy prosty html i css by dokładnie podrobić to co PKW uważa za “wystarczające zabezpiecznia”, to chyba coś nie tak z wami.

    Może się cieszycie z kroku w cyfryzacje, ale radość powinna bazować na sensownych rozwiązaniach a nie szmirze.

  23. W ogóle to bardzo ciekawe, że firmy nie respektują, ale już podczas wyborów gdzie ważą się losy milionów – to badziewie jest akceptowane.

  24. Pytanie za 100pkt do autora przekretu z arta. W jaki sposob zrobiles screena na androidzie, gdzie apka mTozsamosc ma to zablokowane (przez debug mode screen tez)?

    • na Iphonie robie screen bez problemu

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: