13:52
10/5/2016

Wczoraj napisał do nas Tomasz, który ma syna w wieku przedgimnazjalnym. Żona Tomasza postanowiła, idąc z duchem czasu, zgłosić syna do gimnazjum drogą elektroniczną. I tu stała się rzecz magiczna…

Przytoczmy konwersację rodziców:

— Super! Samo się wypełniło! — rzekła żona.
— Jak to samo? — brew Tomasza uniosła sie w zaciekawieniu.
— No normalnie wpisałam PESEL i się wypełniło

Oto, jak zareagował Tomasz:

no to pozbierałem szczękę z podłogi i do kompa. chwila hakowania i mamy:

13173017_1402900896402335_2752919016986507735_o

dajemy POST’a z peselem a w odpowiedzi dostajemy wszystkie dane dziecka łącznie z adresem zamieszkania!!! Ja wiem że ograniczone geograficznie, ale znamy zakres dat urodzeń uczniów biorących udział w rekrutacji, checksumę peselu też wyliczyć nie trudno, skrypt pętla i… no właśnie.

Trudno nie podzielić obaw Tomasza o możliwość zautomatyzowania procesu enumeracji danych osobowych dzieci w wieku gimnazjalnym, choć jak sam zauważa, dopełnienie następować może tylko po podaniu odpowiedniego wieku oraz miejscowości. Problem w tym, że można wyjść poza miejscowość naszego czytelnika (Gliwice) a także poza wiek charakterystyczny dla gimnazjalistów. System umożliwia bowiem rekrutacje także do innych typów szkół i w innych miastach:

Nabór_-_Wdrożenia

System twierdzi też, że gwarantuje “dużo wyższe bezpieczeństwo”:

Nabór_-_O_projekcie

Aby dowiedzieć się na czym to dużo wyższe bezpieczeństwa polega oraz jak dokładnie działa system naboru, a także jak PCSS walczy z nadużyciami, wystosowaliśmy zapytanie do PCSS. Oto odpowiedź Piotra Grzybowskiego:

Z pozycji Menadżera Produktu Nabór (który wdrażany jest w 30 miastach w Polsce) oraz w konsultacji z Działem Bezpieczeństwa PCSS pragnę zapewnić, że opisana sytuacja dotyczyła tylko i wyłącznie jednego wdrożenia prowadzonego w mieście Gliwice dla szkół gimnazjalnych i była związana z konkretnym wymaganiem, jakie tam wystąpiło.

Przyczyną wprowadzenia możliwości pobrania danych na temat ucznia na podstawie Jego numeru PESEL, była duża liczba przypadków podawania przez Rodziców nieprawdziwych informacji dotyczących obwodu, do którego przypisany jest uczeń. W efekcie implementacji funkcji zabezpieczającej przed takim nadużyciem,
system Nabór stał się nieodporny na inne nadużycie, co zostało odnotowane przez Państwa Czytelnika. W związku z tym faktem funkcja została już wyłączona i nie będzie można z niej dalej korzystać.

Niebezpiecznik: W jaki sposób system do obsługi naboru ogranicza możliwość nadużyć związanych z podaniem przez kogoś PESEL-u należącego nie do swojego dziecka?

Piotr Grzybowski, PCSS: Obecnie system nie pozwala na nadużycie związane z podaniem przez Rodzica PESEL-u należącego nie do swojego dziecka. Wyjątkowo taka sytuacja miała miejsce w przypadku rekrutacji do klas pierwszych gimnazjów w Gliwicach. Sytuacja taka nie miała miejsca w przypadku jakiejkolwiek innej rekrutacji. W przypadku poświadczenia nieprawdy przez Rodzica i wprowadzenia do systemu niewłaściwego nr PESEL jest to weryfikowane przy składaniu papierowego podania w szkole.

NBZP: Czy podanie dowolnego poprawnego PESEL-u spowoduje zwrócenie danych, jeśli nie – w jaki sposób wykonawca systemu ogranicza podawane PESEL-e (sprawdzajac datę urodzenia, sprawdzając miejscowość?)

PG: Obecnie system nie posiada funkcjonalności umożliwiającej pozyskanie danych na podstawie nr PESEL. Sytuacja dotyczyła jedynie nr PESEL ograniczonej liczby dzieci wyłącznie w przypadku rekrutacji do klas pierwszych gimnazjów w Gliwicach. Dotyczyło to jedynie tych dzieci, których dane wcześniej zostały podane przez rodziców w szkołach podstawowych na deklaracjach dot. wyboru gimnazjów. W przypadku poświadczenia nieprawdy przez Rodzica i wprowadzenia do systemu niewłaściwego nr PESEL jest to weryfikowane przy składaniu papierowego podania w szkole.

NBZP: Jakie dokładnie dane mogą być zwrócone poprzez podanie przez rodzica / ucznia numeru PESEL (imię, nazwisko, adres, ?)

PG: Obecnie system nie zwraca żadnych danych po podaniu PESEL-u, wyjątkowo taka sytuacja miała miejsce jedynie w przypadku rekrutacji do klas pierwszych gimnazjów w Gliwicach, gdzie zastosowano mechanizm autouzupełniania danych wcześniej podanych przez Rodziców w szkołach podstawowych na deklaracjach dot. wyboru gimnazjów.

Podsumowując, wedle PCSS problem dotyczyły tylko jednego wdrożenia (tylko Gliwic, z których pochodzi nasz czytelnik) i powstał w wyniku “łatania” innego problemu. Dane, które można było pozyskać (imię, nazwisko, adres) nie dotyczyły wszystkich obywateli (ogólnopolska baza PESELi) a jedynie dzieci, których dane wcześniej zostały podane przez rodziców w szkołach podstawowych.

O komentarz poprosiliśmy także doktora Pawła Litwińskiego, adwokata i współzałożyciela kancelarii Barta Litwiński:

Administrator danych osobowych ma prawny obowiązek ochrony danych osobowych m.in. przez udostępnieniem danych osobom nieupoważnionym (art. 36 ust. 1 ustawy o ochronie danych osobowych). Tymczasem zastosowany mechanizm w sposób bardzo prosty umożliwia dostęp do szczegółowych danych osobowych po podaniu numeru pesel – co istotne, do danych osobowych dzieci. Wygenerowanie numeru pesel w tym kontekście nie wydaje się trudne.
Co jednak najbardziej istotne, autor systemu stawia znak równości pomiędzy faktem wpisania numeru pesel dziecka, a byciem uprawnionym do poznania danych osobowych tegoż dziecka. Takie postępowanie, poprzez brak weryfikacji tożsamości tego, kto uzyskuje dane z systemu, to nieporozumienie, które może prowadzić do udostępniania danych dzieci osobom nieupoważnionym.
W tym kontekście wydaje się, że mogło w tej sprawie dojść do popełnienia przestępstwa z art. 51 ust. 1 ustawy o ochronie danych osobowych – udostępnienie danych osobom nieupoważnionym. Powstaje też pytanie o ew. odpowiedzialność na gruncie art. 52, czyli za naruszenie zasad zabezpieczenia danych.

Jak widać, skutki prawne nieprzemyślanej do końca funkcjonalności systemu mogą być poważne. Błąd — wedle deklaracji PCSS — już został usunięty, a możliwość enumeracji PESEL-i zablokowana. Co więc pozostaje osobie polującej na dane związane z obywatelem? Wizyta u lekarza…

Twojego miasta nie obsługuje system PCSS? Udaj się do lekarza

Dostęp do podobnego systemu “autouzupełniającego dane” na podstawie PESEL-u mają także lekarze i wykorzystują go do wystawiania zwolnień (55 sekunda):

Jak zauważa jeden z naszych czytelników:

“Czy nie wystarczy jeden lekarz który da niepowołanej osobie dostęp do portalu żeby na hurtową skalę wyciągać dane z rejestru pesel?”

Nasuwa się bardzo proste pytanie. Czy jeden nieuczciwy lekarz nie wyciągnie zbyt wielu danych? Co się stanie, jeśli ktoś wejdzie w posiadanie danych uwierzytelniających do konta konkretnego lekarza?

Podpytaliśmy o tę sprawę ZUS. Dowiedzieliśmy się przede wszystkim, że lekarze posiadają dostęp do danych osobowych na podstawie art. 55a ust. 2 Ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa. W związku z tym przepisem prawa lekarze, którym Zakład udostępnia dane osobowe uzyskują status odbiorcy danych w rozumieniu przepisów ustawy o ochronie danych osobowych.

Po tym krótkim wyjaśnieniu prawnym przejdźmy do ważnych kwestii technicznych.

Uzyskanie dostępu jest rejestrowane

System ten odnotowuje informacje o lekarzach, którym dane zostały udostępnione oraz dacie tego udostępnienia. Odnotowywanie tych informacji stanowi wykonanie przepisu §7 ust. 1 pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji (…) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. — wyjaśnił Radosław Milczarski z biura prasowego ZUS.

Co więcej, system odnotowuje informacje o każdym uzyskanym dostępie oraz informacje o tym, czy w związku z tym dostępem lekarz wystawił i przekazał do Zakładu zaświadczenie lekarskie.

Na podstawie ww. informacji istnieje możliwość śledzenia, analizy i wykrywania działań lekarzy, uzyskujących dostęp do danych osobowych, które mogą być potraktowane jako nadużycie — zapewnił Radosław Milczarski.

Lekarzu! Pilnuj haseł!

Powyższa informacja jest istotna nie tylko dla pacjentów, ale także dla lekarzy. Jeśli jakiś lekarz utraci swoje dane uwierzytelniające, ktoś może wykorzystać jego konto do nadużyć. Wówczas to lekarz może mieć problem. Mamy nadzieję, że lekarze nie będą robić takich rzeczy jak zapisywanie haseł na kartkach walających się po biurku w przychodni.

Warto także wspomnieć, że jeszcze przed wprowadzeniem e-zwolnień przedstawiciele Naczelnej Rady Lekarskiej wyrażali obawy o lekarzy starszej daty, którzy “nie używają komputerów” i mogą mieć problem z samym wystawianiem zwolnień. Pytanie brzmi, czy tacy lekarze nie będą stanowili ogniwa w łańcuchu bezpieczeństwa? Informatyzacja służby zdrowia zawsze będzie się nieco gryźć z obszarem prywatności. Usługi ZUS to jedno, ale większym problemem może być tzw. Platforma P1, która ma dawać dostęp do elektronicznej dokumentacji medycznej. Kiedy już utworzymy elektroniczne bazy z danymi zdrowotnymi, pojawi się wielu zainteresowanych dostępem do tych informacji…

PESEL to nie tylko twoja jawna data urodzenia i płeć

Jak więc widzicie, zostawiając gdzieś (czy przekazując komuś) PESEL, możecie ułatwić dotarcie do waszego imienia, nazwiska i adresu zamieszkania. Pozdrawiamy z tego miejsca studentów, których PESEL-e wykładowcy udostępniają podczas publikacji wyników egzaminów. W gablotach. Na korytarzach uczelni.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

75 komentarzy

Dodaj komentarz
  1. Jak wszystko w tym kraju, g*wno i amatorka. Cała ta informatyzacja skończy się tym, że wszystkie nasze dane będą publicznie dostępne dla każdego.

    • No dobrze, będą dostępne. Obywatele Szwecji muszą żyć ze świadomością, że dostępne są w Internecie nie tylko daty urodzenia ale i miejsca zamieszkania i jakoś z tym żyją. Wystarczy podać imię i nazwisko …

    • Grunt to pojechać po własnym kraju, nie mając pojęcia jak jest za granicą. Twój komentarz to g*wno i amatorka.

    • To nie do końca jest tak, że Polska jest zawsze be. To jest dość powszechny dylemat na znalezienie złotego środka pomiędzy dostępną funkcjonalnością, a bezpieczeństwem. Rozwiązaniem idealnym byłoby wyposażenie każdego obywatela w elektroniczny podpis, ale niestety nie jesteśmy jeszcze na tym levelu ;) Póki co niestety stan powszechnej wiedzy o bezpieczeństwie cyfrowym (nie lubię przymiotnika “cyfrowy” w odniesieniu to teleinformatyki, ale tak się przyjęło) jest nadal fatalnie niski NA CAŁYM ŚWIECIE. Ludzie po prostu nie rozumieją, że umieszczając COKOLWIEK w sieci właśnie to upublicznili, przy czym w zależności od poziomu zabezpieczeń termin upublicznienia może być z zakresu od “już” do “w bardzo odległej przyszłości”. Przecież nie tak dawno temu nastąpił wyciek danych ludzi z Ashley Madison, a większość z nich to byli obywatele tzw. wysokorozwiniętych krajów. O kolejnym głośnym medialnie przypadku o nazwie the fappening nie wspomnę. Tam byli ludzie naprawdę bogaci, których spokojnie byłoby stać na zatrudnienie profesjonalisty od bezpieczeństwa danych. Ja rozumiem, że w Polsce nadal pokutuje to nieuzasadnione poczucie niższości, ale prawda jest taka, że akurat pod tym względem na całym świecie widać dość zbliżony, bardzo niski poziom uświadomienia…

    • Obywatele Szwecji?
      Ci sami co w imię tolerancji dają gwałcić własne dzieci i kobiety? To dałeś przykład najbardziej zlewaczonego państwa…

    • @leszek: Szwecja nie jest wzorem do naśladowania w niczym, więc przykład bardzo nietrafiony.

    • @Ninja: na jakiej podstawie twierdzisz, że podaję Szwecję jako wzór do naśladowania w czymkolwiek? Podaję jako przykład niefrasobliwości. Z jednej strony fajne rozwiązanie bo mogę sprawdzić kiedy znajomy ma urodziny i korzystając z google maps mogę obejrzeć sąsiedztwo jego domu. Z drugiej strony w pełni się zgadzam, że przyjęte tam rozwiązanie to pewna forma ekshibicjonizmu.

    • @leszek: na takiej podstawie, że podałeś Szwecję jako przykład konkretnego zachowania, więc wywnioskowałem, że ten kraj jest dla Ciebie wzorem. Odnośnie daty urodzin…wiesz, możesz zapytać znajomego. Jestem zdania, że informacje na temat ludzi nie powinny sobie leżeć i czekać aż ktoś po nie sięgnie, a zamiast tego powinny być udostępniane zainteresowanemu po uprzednim kontakcie z osobą “sprawdzaną”, po otrzymaniu zgody.

    • Co do Szwecji to na wielu stronach gdzie robi sie zakupy podajacodpowiednik peselu automatycznie wskakuje adress zamieszkania(takie ulatwienie przy zakupach i wysylce).Sek w tym ze ostatnie 4 cyfry ktore sa niejawne mozna wyliczyc i wpasowac je przez co bedziemy miec juz wszystkie dane.W sumie to mozna wszystko sprawdzic.Sms numer i wlasciela samochodu a za darmo info o samym samochodzie, przegladach itp.Mozna rowniez za oplata sprawdzic wiarygodnosc finansowa obywatela z ta roznica ze w tym przypadku sprawdzany otrzymuje informacje kto zarzadal taich danych.

    • @ASD: Odstaw prawackie stronki, bo przedawkowałeś.

  2. Oj tam. Nie tylko studenci tacy biedni. W KRS mamy PESELe wszelkich wspólników spółek kapitałowych, członków zarządów czy rad nadzorczych. To nawet często ciekawsze “cele” od studentów, z całym dla nich szacunkiem. I nie trzeba biegać po korytarzach uczelni.

  3. Dziękuję za pozdrowienia, ale u mnie na uczelni operuje się numerami indeksów, nie PESELami :p

    • Czytaj ze zrozumieniem – to nie było pozdrowienie dla Ciebie :)

  4. W CEIDG można sobie pobrać adresy wszystkich firm, które dla jednoosobowych działalności pokrywają się z miejscem zamieszkania właściciela. Wszystko zgodnie z prawem, specjalny wyjątek w ustawie o ochronie danych osobowych. It’s a feature, not a bug…

    • Nieprawda. To, że część (może nawet sporo) osób ma rejestrację na miejsce zamieszkania nie znaczy, że tak jest zawsze.

  5. M prawdę rzecze. Nie zapominajmy również, że podpis elektroniczny (certyfikowany) jest autoryzowany PESEL, który również każdy może “podejrzeć”.

  6. “Pozdrawiamy z tego miejsca studentów, których PESEL-e wykładowcy udostępniają podczas publikacji wyników egzaminów.”: Nie tylko w gablotach – wystarczy dołączyć do pierwszej lepszej grupy związanej z rocznikiem jakiegoś kierunku(raczej nikt nie bawi się w weryfikację osób dołączających), żeby uzyskać dostęp do imienia, nazwiska, numeru indeksu i PESEL-u znajdujących się w wynikach z egzaminu.

    • E tam ja się w to bawię, po wysypie przyjmowanych z dupy osób dodających spamerskie ogłoszenia z drugiego końca polski, tylko potwierdzone osoby są w grupie :D

    • A to ciekawe, bo na mojej uczelni wyniki kolokwiów są podawane tylko z numerami indeksów… I nie ma to znaczenia czy elektronicznie, czy wywieszona lista. Jedynie lista obecności (papierowa) u niektórych z wykładowców zawiera imię, nazwisko i numer indeksu. 0 peselu. Widać, są “óczelnie” i Uczelnie.

    • Nie wiem jak jest u was na uczelniach, ale u mnie na usosie jak wpiszesz w wyszukiwarce po zalogowaniu dowolny nr indeksu, to osoba powinna się wyszukać. A dodam że to uczelnia państwowa i podobno prestiżowa

  7. Ale odpowiedzi tego rzecznika zakrawają o twarde ctrl+c/ctrl+v

  8. To inna ciekawostka, która też mnie kiedyś tknęła. Niestety było to już dość dawno, więc szczegółów nie pamiętam, ale dotyczyła dostępu do WiFi w Szpitalu MSWiA w Szczecinie. Wystarczyło podać _chyba_ PESEL i reszta formularza wypełniała się sama (imię, nazwisko, reszty pól nie pamiętam). Niestety nie miałem możliwości i czasu podejrzeć chociażby kodu strony, ale też wywołało to ciarki na plecach…

  9. A z drugiej strony przychodzi użytkownik do systemu i marudzi, że musi uzupełniać dane, a on by chciał tylko PESEL podać i samo się powinno uzupełnić.

    Inaczej mówiąc trafiło na kogoś, kto lubi uzupełniać dziesiątki rubryczek na stronach www (najlepiej z wieloekranowym wizardem) i ma problem.

    Jak to mawiał pewien stary bosman – wszystkich panienek w porcie nie zadowolisz.

    • Jest to do zrobienia. System może podać dane (i tylko te) które zalogowany użytkownik o takim identyfikatorze wprowadził. Tu nie było żadnej takiej weryfikacji. Coś obawiam się, że nawet nie musiał by być zalogowany…

    • Wystarczającą weryfikacją byłby PESEL + pierwsze imię.

    • @vanitas, ale mówimy właśnie o pierwszym wprowadzeniu danych. Skąd system ma wiedzieć, że wprowadzam dane własnego dziecka? A jednocześnie zapewnić, że nie zmusza cię do podawania informacji, które gmina już posiada i nie powinna od ciebie ich wymagać (patrz art 220 KPA)?

      Możemy inaczej – graf zależności obywatelskich i jazda. W dowolnym momencie wiesz kto z kim i jak jest spokrewniony, skoligacony oraz wiesz czy np. małżeństwo nie zostało rozwiązane albo nie straciliśmy praw do dzieci. Idziemy w tą stronę? Wtedy, proszę bardzo podajesz swój PESEL i system pozwoli ci tylko na pracę z danymi określonych osób w rodzinie.

  10. Wydaje mi się, że podobnie zachował się system Gimnasio w Krakowie. Pod koniec kwietnia wypełniałem dane córki. Ponieważ nie jest zameldowana w gminie Kraków, wystarczyło podanie PESELu do inicjacji procesu tworzenia konta. Nie dam sobie teraz głowy uciąć, ale też pamiętam u siebie uniesioną brew, gdy nagle pola wypełniły się danymi.

  11. Burza w szklance wody. Przecież powiedziano, że do rejestracji online przy użyciu PESEL ma dostęp ograniczona grupka osób, tj. których rodzice podali potrzebne dane w formie papierowej. Poza tym, mając datę urodzenia NIE można wygenerować całego nr PESEL. W artykule wspomina się o możliwość wygenerowana sumy kontrolnej ale autor zapomniał, że w numerze PESEL jest to ostatni znak, który jest obliczany na podstawie PIERWSZYCH 10 ZNAKÓW. Mimo, że algorytm jest prosty, bo każda kolejna cyfra posiada swoją wagę przez którą jest mnożona, to wciąż niewiadome jest, jaka jest 7, 8, 9 i 10 cyfra. Także raczej mało prawdopodobne jest (a jeśli komuś mało, to czy istnieje system w 100% niepodatny na próby manipulacji?) aby komuś udało się wygenerować prawidłowy PESEL i to ucznia zarejestrowanego w systemie. Równie dobrze można wygrać w totolotka.

    • Przecież znając datę urodzenia można przelecieć skryptem po wszystkich nieznanych znakach, od 0000 do 9999 (bo niby czemu nie?) i generować ostatni znak z tychże. W populacji 186 tys. (Gliwice) będzie ok. 1860 osób urodzonych w konkretnym roku (statystyka dla 13-latków), a o dokładnie tej dacie urodzenia ok. 5. W sumie z daty można wyciągnąć kilka ogarnialnych peselów, imion, nazwisk i adresów dzieci. Gdzie tu totolotek?

    • Już widzę, jak ten “13-latek od statystyki” generuje te PESELE grupki dzieciaków ze szkoły. Gra niewarta świeczki. Założę się, że nikomu by się nie chciało

  12. Ja tylko czekam aż wprowadzi się taki system wszędzie. Z jednym dodatkowym krokiem pomiędzy “wpisujesz pesel” a “wszystko się samo wypełnia”–mianowicie logowanie do banku czy użycie bezpiecznego certyfikatu w celu uwierzytelnienia. 5 sekund, 100% bezpieczeństwa*.

  13. Czemu w większości Waszych screenów nie widać? Nawet adblocka wyłączałem “:/”

    • a na czym przeglądasz stronę? na każdej przeglądarce nie widzisz?

    • Potwierdzam, w Safari na najnowszym stabilnym OS X. Pewnie przez PL znaki w nazwie obrazków.

    • Na safari w iOS też lekka lipa

    • A w Internet Explorerze wszystko cacy :P

    • Jak Safari to pewnie dziwne kodowanie polskich znaków. Jest UTF-8 i Safari UTF-8 ;)

  14. pcss.pl nie sprawdza numeru PESEL pod kątem daty urodzenia dziecka. Można zatem podać PESEL każdej osoby nawet pełnoletniej.

  15. Potwierdzam, w Safari na najnowszym stabilnym OS X. Pewnie przez PL znaki w nazwie obrazków.

  16. W Krainie Grzybów jest dobrze, w Krainie grzybów jest bezpiecznie, Kraina Grzybów trwać będzie wiecznie.

    Teraz te wszystkie dane od 1 grudnia 2016 będzie posiadać nasz polski rząd, hakerzy i w końcu nasi znajomi. Dane medyczne jeżeli są przechowywane w systemach informatycznych powinny być zanonimizowane, zaś numer je identyfikujący zapisany w tradycyjnej karcie pacjenta. Bez danych pacjenta takie dane będą mało wartościowe, co najwyżej przydatne studentom medycyny.

  17. “Administrator danych osobowych ma prawny obowiązek ochrony danych osobowych m.in. przez udostępnieniem danych osobom nieupoważnionym (art. 36 ust. 1 ustawy o ochronie danych osobowych).”

    Powinno być albo taki był zamysł “Administrator danych osobowych ma prawny obowiązek ochrony danych osobowych m.in. ‘PRZED’ udostępnieniem’ […]

  18. Dopiero teraz widać jaki błąd popełniono, tworząc PESELe z jawną datą urodzenia. W tamtym czasie nikt pewnie nie myślał, czym to może grozić. Teraz to już musztarda po obiedzie. Chociaż chodzi mi taka myśl po głowie: a gdyby tak wygenerować każdemu nowy PESEL na podstawie starego, przepuszczając go przez jakiś tajny algorytm, tak aby osoby urodzone nawet tego samego dnia miały zupełnie inne cyfry.
    Ja wiem, że “tajny algorytm” może stać się jawny, ale to już inna para kaloszy.

    • @Therminus, nie musi być tajny wystarczy, że będzie miał charakter funkcji nieodwracalnej.

    • @Koziołek to nie tak działa, jakbyś miał jawną funkcję nieodwracalną, ciągle na podstawie daty urodzenia byłbyś w stanie wygenerować 10000 kandydatów

  19. A co maja powiedzieć “ofiary” Panama Papers? Przecież nie godzili się na upublicznienie pewnych danych :P

  20. A przecież wystarczyłoby poza podaniem PESEL prosić o podanie imienia i nazwiska. Dopiero jeśli dane będą poprawne to system zwracałby dane teleadresowe…..

  21. Sranie w banie. Jak chcecie numery PESEL i adresy zamieszkania to polecam wybrać się do sądu po wyciąg z Księgi Wieczystej. Kosztuje to grosze, nikt Was nie sprawdza, wyciągów można sobie wziąć kilka. Polecam jakiś blok z wielkiej płyty.

    • Ale po co gdziekolwiek chodzić? Masz nr KW własnego mieszkania? Nie ruszając się sprzed kompa i nie płacąc ani grosza sprawdzasz dane wszystkich swoich sąsiadów będących właścicielami mieszkań. Imiona, nazwiska, pesele, imiona rodziców, wartość kredytu hipotecznego i nazwę banku. Chcesz zdobyć takie dane właścicieli mieszkań z (prawie) dowolnego bloku? Również nie ruszasz się sprzed kompa, płacisz pewnej spółce z o.o. jedyne 30 zł za budynek.

  22. Dawniej e-dziennik Vulcan (Optivium +NET) był podatny na coś takiego :) Sam zgłaszałem ;v

  23. Trzeba zrobić tak, żeby PESEL przestał być używany do uwierzytelniania w tym kraju.
    Wprowadzić dowód osobisty z czipem. Do autoryzacji np. w urzędzie czy banku włożenie chipa do czytnika i potwierdzenie PINem. Wtedy nawet jak czyjś PESEL wycieknie, to ktoś nie znając PINu i nie mając chipa nie nie zrobi.

    • Już tak miał być ale pewnie koperta była za cienka i nie doszło do skutku.

  24. Prawda jest jedna i podstawowa, dane raz podane/wprowadzone do internetów są dostępne i tyle, jedni łatwo uzyskują do nich dostęp inni muszą się trochę napocić ale jak im zależy to je pozyskają.

    No i jedna zasada żaden system nie jest aż tak bezpieczny żeby przewidzieć czynnik ludzki, możemy mieć miliard w najlepszym sejfie na świecie ale jak damy komuś klucz to nie dziwmy się że zostajemy z zerem na koncie.

    Zastanawiam się czy taki lekarz na tych bardzo długich studiach ma takie zajęcia jak informatyka i nauka poszanowania danych pacjenta żeby zrozumiał dlaczego często zmieniane hasło i hasło w postaci #@@#@#@%^&*!122Wddd!! jest dużo bezpieczniejsze niż admin1.

  25. @Niebezpiecznik, @Czytelnicy

    Jeżeli chodzi o ZUS, jeżeli lekarz spróbuje wystawić e-ZLA, to pacjent otrzymuje na swoim koncie w ZUS wiadomość, że “lekarz jan kowalski (numer prawa zawodu: xxxx) w dniu XXXXX uzyskał dostęp do Twoich danych osobowych”.

    Jeżeli chodzi o lekarzy i personel pomocniczy, każdy świadczeniodawca (tj. przychodnia lekarska) posiada dostęp do e-WUŚ od 2013 r. Po wpisaniu nr PESEL pacjenta, operator widzi status ubezpieczenia pacjenta, jego imię i nazwisko.

    Oprócz tego, niektóre programy do ewidencji pacjentów działają w taki sposób, że po wpisaniu nr PESEL jest sprawdzane ubezpieczenie i na tej podstawie są uzupełniane w programie którego używa przychodnia imię i nazwisko pacjenta.

    Jakby ktoś chciał uzyskać czyjeś dane, zastanówmy się: czy w rodzinie lub wśród znajomych nikt nie posiada lekarza, pielęgniarki, położnej? Sprawdzenie w e-WUŚ jednego pacjenta (lub kilku) to nic – zawsze można powiedzieć, że miał przyjść na wizytę i zadzwonił poinformował że rezygnuje.

  26. I jeszcze jedna ciekawa historia.
    Gdy kilka lat temu aplikowałem na pewną uczelnię, to akurat musiałem skorzystać z komputera i aplikacji WWW tego uniwersytetu. Na początek wymagała ona podania numeru PESEL, a dalej nie pamiętam co się otwierało, chyba jakieś konto na uczelni na potrzeby rekrutacji. Przeglądarka WWW na uczelni posiadała włączoną opcję uzupełnainia / podpowiadania treści w formularzach na podstawie historii. W ten sposób po wpisaniu pierwszych dwóch cyfr PESELa, mogłem wybrać na który PESEL chcę się zalogować. :)

  27. W Polsce nie ma realnej ochrony danych osobowych i trzeba sobie w końcu zdać z tego sprawę. Znając poziom wyszkolenia i poszanowania tych danych w instytucjach publicznych i tak dziw bierze, że do dzisiaj nie było wycieku na miarę tego https://niebezpiecznik.pl/post/wyciek-danych-49-milionow-turkow/

  28. CTRL+F -> Obecnie system nie

    Pan Grzybowski chyba próbował was zahipnotyzować.

  29. Wyjątkowo podoba mi się odpowiedź pana Menadżera Produktu Nabór :))
    Chłopina się najwyraźniej zapętlił. Na cztery różne pytania pada jednakowa odpowiedź: “wyjątkowo taka sytuacja miała miejsce jedynie w przypadku rekrutacji do klas pierwszych gimnazjów w Gliwicach, gdzie zastosowano mechanizm autouzupełniania danych wcześniej podanych przez Rodziców…”
    Widać że nadaje się na Menadżera ;) Nie ma pojęcia o czym mówi, ale mówi.

  30. 1. Mam pomysł, żeby dostęp do rejestrów jawnych otworzyć wyłącznie dla osób logujących się poprzez PUAP. Jawność jawnością, ale nie powinna oznaczać ona anonimowości.
    2. Do systemu ZUS-PUE : moim zdaniem jest zabezpieczony wystarczająco, bo każdy dostęp lekarza przez moduł zwolnień eZLA do danych pacjenta jest potwierdzany pacjentowi w formie wiadomości o takiej mniej więcej treści : “w dniu .. o godzinie… lekarz XYZ o numerze prawa 1234 uzyskał dostęp do Twoich danych”
    Więc każdy z nas (posiadając dostęp do PUE – tu konieczna duża akcja edukacyjna) jest informowany o każdej sytuacji wglądu do danych, nawet jeśli nie zakończyła się ona wystawieniem zwolnienia !

    • Taka sama akcja edukacyjna jak w bankach Nie podawaj nikomu loginu i hasła i nie loguj się na stronach weryfikacyjnych bo bank nigdy o to nie prosi.
      To głupkowate społeczeństwo i tak niczego z tych akcji “edukacyjnych” nie zrozumie.

  31. Czy ktoś tu aby nie przesadza z tą ochroną danych osobowych ? Kiedyś były książki telefoniczne a i teraz dane istotnej liczby Polaków są dostępne w CEIDG i jakoś ludzie z tym żyją. Robienie jakiejś afery z tego że czyjeś nazwisko da się znaleźć w internecie, podczas gdy miliardy ludzi piszą o sobie WSZYSTKO na portalach społecznościowych jest lekko śmieszne.

    • Gdyż albowiem różnica polega na tym ze sam sobie możesz o sobie pisać sobie gdzie tam sobie chcesz a nawet jeszcze gdzieś…. a danych osobowych innych osób są święte i tylko osoby których dotyczą mogą je sobie profanować gdzie sobie tylko chcą :D

  32. jakos nikt nie pokusil sie o analize ile to jest danych, a szkoda. najpierw nalezy policzyc a potem gdybac czy sie da albo czy sie nie da.

    numer seryjny jest 3 cyfrowy (0-9), w 4 cyfrze jest plec (nieparzysta==mezczyzna, parzysta==kobieta)

    czyli peseli dla jednej konkretnej daty urodzin jest 10000 (a dla konkretnej plci 5000, mozna sobie wygenerowac np. wszystkie dziewczynki)

    nie wiem na ile wydajny jest system pcss, ale zakladajac ze obsluzy 1 POST/100ms 1 date urodzin mozemy przeskanowac w ciagu 17 minut (1000s). 365 dat (czyli caly rocznik) skanujemy w 4.2 dnia.

    oczywiscie mozemy proces mozno zoptymalizowac jesli interesuja nas tylko dziewczynki to zajmie to polowe czasu (2.1 dnia, czyli od piatku wieczorem do niedzieli, pewnie zaden admin nie bedzie patrzyl w logi wtedy i nie zobaczy anomalii). pozatym histogram urodzin nie jest jednolity w ciagu roku, zwykle w czerwcu-sierpniu jest ich duzo wiecej, czyli 1/4 zbioru do przeszukania. podsumowujac wszystkie dziewczynki z danego rocznika urodzone od czerwca do sierpnia mozemy przeskanowac w ciagu 25 godzin (zakladajac przepustowosc systemu 100ms/POST)

    czy to duzo? czy to malo? sami sie zastanowcie.

    VY 73

    • @a Ilość numerów pesel dla 1 daty to 2000, ponieważ mamy 5 cyfr: 1 cyfra to płeć (2 wartości), 1 cyfra to suma kontrolna wyliczana z pozostałych 10 cyfr peselu a pozostałe 3 są z zakresu 0-9 (co daje tylko 1000 kombinacji). Zakładając ze PCSS obsłuży 1 POST/100ms to 1 datę urodzin możemy przeskanować w ciągu 3.5 minut a 365 dat skanujemy w 20.5 godzin.

    • Furiia, mylisz sie.

      cyfry 1-6 data (do miesiaca dodawana jest stala jesli rok >2000, >2100 itd), cyfry7-9 serial, cyfra 10 robi i za serial i za plec, cyfra 11 suma kontrolna (dodawanie z mnozeniem z wagami 1 3 7 9, potem modulo 10 i to odjete od 10 jesli dobrze pamietam)

      10 cyfra (w ktorej zakodowana jest rowniez plec) moze byc dowolna cyfra 0-9, jesli jest nieparzysta to mezczyzna, parzysta to kobieta. czyli tak jak podalem 10000 dla danej daty, albo 5000

      zobacz sobie specyfikacje pesela, jest dostepna w internecie.

      osobna kwestia to czym tak naprawde jest serial, bo raczej nie jest to prosty inkrement. kiedys byly teorie spiskowe ze cos jeszcze tam jest zakodowane.

      VY 73

    • @a Rzeczywiście masz rację. Źle pomyślałem, że cyfra odpowiedzialna za płeć jest binarna.

  33. Ostatnio Politechnika Warszawska, wprowadziła “mega bezpieczny” system logowania do WIFI, wymagający danych:
    Login: numer_indeksu
    Hasło: PESEL+pierwsza_litera_imienia_matki_wielką_literą_bez_polskich_znaków

    I wszystko fajnie, gdyby kartka ta nie wisiała między dwiema gablotami. W jednej nazwiska+pesele, w drugiej nazwiska+numery indeksów ;)

  34. W dzisiejszych czasach bezpiecznym może się czuć tylko ktoś kto nie używa komputera , telefonu lub innego ustrojstwa :D Przez tysiące lat ludzie dawali radę żyć bez tego a teraz nagle okazuje się ,że przez jakiś gó*wno warty kawałek struktury krzemowej ludzie tracą często i gęsto dorobek całego życia :D Tak ma wyglądać cały ten WASZ postęp drodzy POSTĘPACY ? :D Nikt nie panuje nad zasobami internetu i nikt nigdy nie będzie bo to jest jeden wielki śmietnik a najśmieszniejsze jest to ,że w całym tym śmietniku ZAWSZE ktoś wygrzebie coś na kogoś innego.

  35. Chciałbym, jako obywatel, mieć dostęp na swoim koncie do informacji na temat tego kto i ile razy odpytywał takie bazy danych. Jest to możliwe, ale nie ma jeszcze takiej kultury, że tak to nazwę.

  36. A kto ma się tym zająć, partyjni szefowie tzw. cyfryzacji.

  37. Z P1, o którym wspominacie w tekście to nie do końca tak. Wprawdzie CSIOZ cierpi na rozdwojenia jaźni (raz stoi: “Głównym celem Projektu „Elektroniczna Platforma Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych” (P1) (…)” tylko po to, by potem wyczytać: “tworzenie, gromadzenie, analizowanie i udostępnianie elektronicznej dokumentacji medycznej pacjentów”).
    Jednak faktycznie platforma P1 była tworzona jako baza zasobów o zdarzeniach medycznych nie przechowująca samej (pełnej) dokumentacji medycznej (ta miała być wymieniana bezpośrednio pomiędzy świadczeniodawcami poprzez autoryzowane przez pacjenta zapytania do P1) tylko podstawowe dane jak datę zdarzenia, specjalizację lekarza, rozpoznanie, PESEL.

  38. Współczuję właścicielom nieruchomości oraz wspólnikom i członkom zarządu spółek.

  39. I znowu KwidzyŃ a nie Kwidzyn na screenshocie.

  40. Zobaczyłem Microsoft IIS i od razu wiedziałem, że to kolejny “rewelacyjny system zapewniający niespotykane dotychczas bezpieczeństwo danych przy jednoczesnym usprawnieniu procesu X”. Czy to się kiedyś w Polsce skończy i takie systemy zamiast Silverlighta, (n)appletów Javy, .NET (server-side) i serwerów na Windowsie zaczną używać stabilnych, bezpiecznych i rozsądnych zestawów technologii?

  41. Idealny kontent dla Januszy Big Data

    https://www.facebook.com/januszebigdata/

Odpowiadasz na komentarz zygmunt

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: