11:01
16/2/2018

Wyobraź sobie długiego PDF-a z wykazem nazwisk i danych kontaktowych urzędników skarbówki, nierzadko z ich prywatnym numerem telefonu komórkowego. Wyobraź go sobie udostępnionego w internecie, tak że pobrać może go każdy. Kto mógłby coś takiego opublikować i po co?

Skarbówka ćwiczy!

Do niedawna na stronie B4sportonline.pl dało się znaleźć plik PDF zawierający dane osobowe urzędników skarbówki. Plik miał 135 stron i zawierał następujące dane 2992 osób:

  • jednostka skarbowa, w której dana osoba pracuje;
  • dyscyplina sportu, w której dana osoba startuje (ew. status “kibic”);
  • imię i nazwisko,
  • e-mail,
  • numer telefonu.

Większość urzędników podawała służbowe e-maile i chyba również telefony (przy niektórych był nawet numer wewnętrzny). Zdarzały się także numery telefonów komórkowych oraz e-maile wyglądające na jak najbardziej prywatne.

Kto to wymyślił?

Bez problemu można było ustalić, że lista ma związek z odbywającymi się co roku Mistrzostwami Polski Skarbowców, które są organizowane przez Fundację Skarbowości. Fundacja skorzystała z B4SportOnline.pl czyli “platformy zapisów do kompletnego zarządzania zawodami sportowymi“.

Pytanie tylko, czy lista uczestników stała się dostępna publicznie w wyniku błędu platformy, czy też organizator imprezy (Fundacja) zażyczył sobie jej opublikowania? Z takim pytaniem zwróciliśmy się do obu podmiotów. Jako pierwszy odpowiedział nam Tomasz Łukawski z B4SPORT.

nasza firma wyłącznie udostępnia platformę na to wydarzenie, treści na niej publikowane są przez Organizatora lub na ich zlecenie. W tym przypadku plik został opublikowany na stronie zapisów za poleceniem Fundacji Polski Skarbowców – Organizatora. Zgodnie z wytycznymi raport miał być upubliczniony, tak aby każdy uczestnik mógł zweryfikować swoje dane jak i uczestnictwo w danej dyscyplinie. W przypadku jakichkolwiek wątpliwości i pytań, uważam że należy zwrócić się bezpośrednio do Organizatora Mistrzostw.

Oczywiście zwróciliśmy się również do fundacji. 7 lutego wysłaliśmy e-maila i dwukrotnie dzwoniliśmy na wszystkie numery telefonów, jakie znaleźliśmy na stronie. Niestety nikt nie odpowiedział ani nie oddzwonił. Wysłaliśmy też wiadomość przez Facebooka. Cisza. Napisaliśmy z pytaniami do Ministerstwa Finansów uznając, że może dobrze by było gdyby ktoś z resortu zwrócił na to uwagę.

Dopiero na początku tego tygodnia wspomniany plik zniknął ze strony B4Sport. Skontaktował się z nami również przedstawiciel fundacji Sławomir Dworski. W rozmowie telefonicznej wyjaśnił, że przedstawiciele fundacji nie sądzili, iż plik będzie dostępny dla każdego, włącznie z osobami nie rejestrującymi się do zawodów. Fundacja po raz pierwszy skorzystała z B4Sport i najwyraźniej doszło do pomyłki.

Sport bywa niebezpieczny… dla prywatności

Mówi się, że sport to zdrowie, ale z jakiegoś powodu mieliśmy ostatnio wiele doniesień o sportach, które są niezdrowe —
przynajmniej dla naszej prywatności. Popularna wśród sportowców aplikacja Strava sprawiła, że wojskowe bazy ujawniły się na mapach. Dzięki nam, kibice reprezentacji Polski dowiedzieli się także, że zdjęcia ich dowodów osobistych były możliwe do podejrzenia przez każdego internautę.

Sport jest wspaniały bo jednoczy ludzi, ale to “jednoczenie” często oznacza gromadzenie danych o ludziach w jednym miejscu. Obok ryzyka kontuzji istnieje także ryzyko dla prywatności. Skręconą kostkę można wyleczyć. Skutki wycieku danych mogą być trudniejsze do usunięcia…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

22 komentarzy

Dodaj komentarz
  1. O wreszcie coś ciekawego do Pobrania :-)

    • Teraz będzie można pokazać publicznie gęby tych działających na szkodę prywaciarzy pseudo urzędników . Ciekawy jestem czy ktoś zdecyduje się powiązać te dane z FB i całą resztę ,żeby tych ludzi piętnować .

    • Nawet jeśli urząd jest nieuczciwy (a nie chodzi np. o obowiązujące prawo), to jeszcze daleka droga od tego, żeby każdy urzędnik był zły. Jak wszędzie – są dobrzy, są źli.

  2. Ma ktoś linka?

  3. Takie rzeczy należy przemilczeć.

  4. Nie, żebym się dopatrywał jakichś teorii spiskowych, ale zawsze dajecie takie newsy za późno, gdy już nic nie można znaleźć.

    Wierzę, że to tylko przypadek, lecz uważam, że, na przyszłość, powinniście przemyśleć swoje postępowanie.

    • No zgadnij, dlaczego czekamy do momentu w którym danych nie da się pobrać ;)

    • zastanawiam się, czy to była ironia czy on tak faktycznie?

    • nie wiem czy smiac sie ze taki slaby troll czy plakac ze ktos naprawde tak mysli :o

    • Jeszcze lepsze pytanie: dlaczego w Gugiel nie zarchiwizował i nie ma linku “Kopia”?

    • kto miał pobrać to i tak już pobrał ;)

  5. Buziaczek.pl bardzo profesjonalna domena na maila

    • Adres mailowy na buziaczek.pl można (było?) założyć jako alias posiadając konto mailowe na o2.pl Często można było to wykorzystywać do rejestracji w miejscach, gdzie potrzebny był prawidłowy mail, a nie przechodziły domeny wykorzystywane w tzw. “10 minut mail”. Nie były one stałe i każdej chwili można było je usunąć albo zmienić. Właściciel konta na o2 miał możliwość posiadania do 10 aliasów w różnych domenach grupy o2. Innymi domenami były np.: go2.pl, prokonto.plm 10g.pl, prokonto.pl czy dobrytata.pl. Teraz sprawdziłem i dostępne są jedynie: fajne.to, superbox.pl, wir.pl i xboxer.pl :)

  6. Skoro raz wrzucone do Internetu pliki trzeba uznawać za dostępne dla każdego, na zawsze, to nie ma sensu czekać, aż coś wygaśnie. Wpadka to wpadka. Nikt nie mówi o podawaniu linków w artykułach, to wiadomo, że jest zabronione.

  7. Już niedługo na podstawie art. nowej ustawy o ochronie danych osobowych – tych danych nie będzie trzeba cenzurować. Wystarczy, że to przejdzie: http://legislacja.rcl.gov.pl/docs//2/12302950/12457674/12457675/dokument329506.pdf

    W końcu jesteście dziennikarzami i nie będziecie musieli spełniać artykułu 5 RODO (GDPR – 2016/679).

    • Pierdzenie w zatłoczonym tramwaju też nie jest zakazane, jednak ktoś dobrze wychowany postara się tego nie robić.

  8. Hehe … a wam się wydaje że kogo zatrudniają w urzędach do działu tzw Organizacyjnego … największego bystrzaka?!!? Gwarantuję że albo siedzi tam cwaniak który wie jak zarobić na zamówieniach … albo największa oferma którą gdzieś trzeba było upchać bo to żona/kochanka/córka/wnuczka jakiejś “szychy” wyżej.

    • Draco Fail, a czytać ze zrozumieniem to ty umiesz czy tylko trollowac? Przecież to nie urząd stoi za wyciekiem tylko organizator mistrzostw sportowych czyli Fundacja Skarbowości im. JP II

  9. @mariusz_stronikeiwicz – stary jak patrzę na Twoje komentarze to nic się nie dzieje, ale jak je czytam to żygać mi się chce. Matka cię porzuciła i świnie cie wychowywały czy jak?

  10. A jest tam jeszcze jeden pdf – nie ma może maila, ale jest imię i nazwisko i miejscowość oraz przedział wiekowy – czy to nie są dane osobowe?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: