9:49
28/9/2017

Od poniedziałku dostępna jest nowa e-usługa zgłaszania utraty dowodu. Procedura jest maksymalnie uproszczona, ale to ułatwia uzyskanie dostępu do danych obywatela. Jeśli nie stosujecie logowania dwustopniowego do Profilu Zaufanego to od teraz macie dobry powód, aby zacząć je stosować.

Nowa e-usługa jest dostępna na stronie Obywatel.gov.pl. Co ciekawe, równolegle ciągle dostępna jest stara wersja usługi na ePUAPie.

Zbyt wiele danych?

Nowa e-usługa jest szybka, wygodna i ładnie wygląda. Logujesz się przez Profil Zaufany i tylko kilka kliknięć dzieli Cię od zgłoszenia utraty dowodu. Dostrzegliśmy jednak tyci problem z bezpieczeństwem. Gdy tylko przejdziemy przez logowanie, naszym oczom ukaże się taki oto wniosek. Nic w nim nie wypełnialiśmy. Zamazane dane zostały uzupełnione automatycznie. I to właśnie może być problemem.

Dane pobrane z państwowych rejestrów i wyświetlone na ekranie to:

  1. urząd, w którym wydano ostatni dowód;
  2. numer dowodu;
  3. PESEL;
  4. imię, nazwisko, nazwisko rodowe;
  5. data urodzenia;
  6. data wydania dowodu;
  7. organ wydający dowód;
  8. zdjęcie z dowodu.

Mamy wszystko, co jest potrzebne do przygotowania odpowiedniego “kolekcjonerskiego” dowodu. Co prawda szykują się przepisy przeciwko takim kolekcjom, ale jeszcze ich nie uchwalono.

System pokazuje również coś w rodzaju obrazu dowodu, ale to akurat nie jest oryginalny obraz. W oryginalnym dowodzie na mniejszym zdjęciu byłby dodatkowo umieszczony rok z terminu ważności. Na rewersie u dołu znajdowałby się kod złożony z liter, cyfr i wielu znaków “<“, a pod niebieską kreską nie byłoby napisu. Zdjęcie byłoby poprzecinane liniami z tła. To co widać to tylko dane nałożone na wzór dowodu w sposób podobny, jak wygląda to w e-usłudze składania wniosku o nowy dowód.

Gdzie widzimy problem? Te wszystkie dane są podane po zalogowaniu się przez Profil Zaufany. Wystarczy więc zdobyć dane do logowania się do PZ i już mamy wszystkie dane z dowodu (łącznie ze zdjęciem!). Ponieważ Profil Zaufany można wyrobić przez bank, to samo ryzyko pojawia się po przejęciu danych logowania do banku.

Pytaliśmy Ministerstwo Cyfryzacji o jego opinię na ten temat. Pytania zadaliśmy przedwczoraj i wiemy, że ktoś już pracuje nad odpowiedzią dla nas. Uzupełnimy ten tekst gdy tylko dostaniemy odpowiedź.

Mam Profil Zaufany. Co robić? Jak żyć?

Jeśli korzystacie z Profilu Zaufanego radzimy wam stosować uwierzytelnianie dwuskładnikowe (2FA). Kiedyś pisaliśmy o możliwości obejścia tego zabezpieczenia w ePUAPie i wówczas rzecznik ministerstwa cyfryzacji przyznał, że mniej niż 2% użytkowników korzystało z tej opcji. Niestety na ePUAP nie jest już dostępne przesyłanie kodów jednorazowych na e-mail więc w celu korzystania z 2FA trzeba podać państwu swój numer telefonu. A wiemy, że nie każdy chce podać swój numer telefonu do Państwowej bazy danych (zwłaszcza że wiadomo jak beznadziejnie niektóre instytucje chronią tego typu informacje dotyczące obywateli).

W banku też warto mieć włączone uwierzytelnianie dwuskładnikowe (nie tylko jeśli logujemy się przez niego do PZ).

Nawiasem mówiąc już wcześniej istniała e-usługa sprawdzania danych w rejestrze dowodów osobistych. Z tej e-usługi dowiecie się o człowieku jeszcze więcej. Ci, którzy posiadali stare “książeczkowe” dowody, mają ujęty w rejestrze kolor oczu i wzrost. Można też prześledzić gdzie ktoś był zameldowany na przestrzeni lat. Jednak dostęp do sprawdzania danych z rejestru dowodów odbywa się na nieco innej zasadzie. Konieczne było wysłanie wniosku przez ePUAP i podpisania go Profilem Zaufanym, co z kolei wymagało podania kodu jednorazowego (czyli było zabezpieczenie dwuskładnikowe niezależnie od tego, czy ktoś miał włączone 2FA przy logowaniu do profilu).

A ten PESEL to po co?

Skoro już podejmujemy temat państwowych e-usług to przypomniała nam się jeszcze jedna rzecz. Nie ma ona związku z dowodami, ale ma związek z logowaniem się do państwowych e-usług.

Osoby zakładające Profil Zaufany przez bank muszą mieć jakiś login. Banki proponują PESEL jako login, co samo w sobie może wzbudzać wątpliwości. Co gorsza, login jest wyświetlony w prawym górnym rogu strony w czasie pracy na ePUAPie, czyli istnieje ryzyko, że osoba stojąca za waszymi plecami pozna wasz PESEL gdy załatwiacie sprawy w e-urzędzie.

W przypadku gdy konto nie zostało założone przez bank, PESEL można odczytać wchodząc w ustawienia profilu. Też się tam znajdzie w całej okazałości.

Naszym zdaniem to również nie jest najlepszy pomysł. Projektując bezpieczne e-usługi zawsze należy rozważyć, czy wyświetlanie czegoś na ekranie jest niezbędne. Do zgłoszenia zastrzeżenia dowodu nie jest, naszym zdaniem, potrzebne wyświetlenie na ekranie wniosku wszystkich danych z dowodu. Po co? Jak ktoś stracił dowód i zgłasza jego kradzież na policji, też nie ma tych danych przed oczami. One nie są do tej operacji w żaden sposób potrzebne i nie powinny być pokazywane użytkownikowi, bo w ten sposób ktoś kto uzyska dostęp do konta ePUAP będzie mógł je pobrać.

Przeczytaj także:

37 komentarzy

Dodaj komentarz
  1. Przy wszelkich zbiórkach podpisów (wybory, referenda itp) też jest wymagany PESEL jak i dane zamieszkania.

  2. każdy przelew bankowy (np. wszystko-egro zakup żarówki) to pełne dane. brak tylko PESELu

    • Masz tylko imię, nazwisko i adres. Nie ma żadnych danych dowodu osobistego.

  3. 2FA przez sms można obecnie łatwiej przejąć niż email, poszukajcie na google ‘ss7 2fa hack’.

    • Z tym że “można” przejąć SMS to się zgadzam, ale z tym że “łatwiej to bym nie przesadzał ;-)

    • najtańsza publicznie dostępna oferta SS7 to kilka tysięcy $ za m-c + opinii o tym nie ma za wiele.
      chyba, że wiesz o czymś, o czym my nie wiemy

  4. Idąc tym tokiem rozumowani to nigdzie nie można mieć danych bo wszędzie mogą się włamać. Nie ma co rezygnować z wygody tylko dlatego że coś gdzieś komuś coś.

    • Ale po co ci podczas zastrzeganiu dowodu zdjęcie twojej twarzy, wyświetlenie twojego peselu czy numeru dowodu i innych jego szczególow? Do zgłoszenia kradzieży wystarczy urzędowi info, że chcesz go zastrzec (czyli tylko wymiana danych w kierunku ty->urząd — wymiana w 2 strony nie jest potrzebna).

    • Powinien tam być tylko formularz na Imię i Nazwisko oraz PESEL plus jakiś input/textarea do opisania przyczyny zgłoszenia. I koniec. Reszta danych powinna się wyświetlać wyłącznie urzędnikowi odbierającemu zgłoszenie.

    • Wiecie – 95% społeczeństwa nie ma nic do ukrycia i jest gotowa być osobami publicznymi. Tego też chce rząd.

    • To raczej idąc Twoim tokiem rozumowania, wszystkie możliwe dane powinny być wszędzie wyświetlane.

      Nie w tym sedno tego artykułu. Chodzi o to, że te dane które są tam wyświetlane nie są do niczego potrzebne i niczego nie ułatwiają. Jeśli w jakikolwiek sposób przyspieszałyby lub upraszczały proces składania wniosku – spoko, niech tam zostaną. Niestety w tym przypadku nie spełniają absolutnie żadnej roli – umożliwiają jedynie dostęp osobie która potencjalnie zdobędzie dane logowania do jeszcze większej ilości danych osobowych.

    • Nie no, bez przesady, to już lekka paranoja… Te dane są wyświetlane zautoryzowanemu użytkownikowi. Więc dyskusja toczy się troszkę wokół absurdalnego pytania, czy wolno właścicielowi dowodu wyświetlać na stronie www informacje, które są na dowodzie. A jak ktoś nie ufa mechanizmom autoryzacyjnym to niech tam nie zakłada konta.
      Dowód pokazujemy w wielu miejscach, nawet Pani w Żabce, kupując piwo – dziwne z tym nikt nie ma problemu.

      Co do zasady, pełna zgoda, jeśli te dane nie są potrzebne do zastrzeżenia, to nie powinny być wyświetlane. Ale.. takich przykładów można mnożyć setki, np.
      – Po co, logując się do bankowości elektronicznej, mamy wyświetlone stany wszystkich kont, jak chcemy tylko zrobić przelew? Ktoś kto stoi za nami pozna nasz stan konta!
      – Po co, logując się do poczty, są wyświetlane przeczytane już kiedyś maile? Ktoś kto stoi za nami dowie się, że dostaliśmy maila od Marioli w zeszłym tygodniu!

      To jest robione dla przejrzystości, łatwości obsługi itp. Po to, żeby użytkownik z zadowoleniem pokiwał głową “Tak, to jest faktycznie mój dowód i właśnie ten dowód chcę zastrzec”.

    • no niestety bezpieczeństwo nigdy nie idzie w parze z wygodą i to nie tylko tyczy się it, jazda z zapiętymi pasami bezpieczeństwa w samochodzie nie zawsze jest wygodna szczególnie po kilku godzinach jazdy to samo jazda w kasku na motorze/rowerze, zamykanie posiadłości na kilka zamków czy parkowanie fury na oddalonym od domu strzeżonym parkingu/garażu itp. itd.
      albo bezpieczeństwo i rezygnacja z wygody, przynajmniej częściowa albo vice versa, It is your choice :)

  5. Już wcześniej na stronie obywatel.gov.pl była usługa, która pozwala podejrzeć własne dane w rejestrze PESEL (również takie, których nie ma w dowodzie). Do tej usługi jest logowanie właśnie przez ePUAP.

    • Z tym, że jej użycie wymagało kodu sms. Tutaj tego nie masz.

  6. Zastanawiam się nad założeniem profilu, ale biorąc pod uwagę to, jak lekkomyślnie cyberbezpieczeństwo traktowane jest przez polski rząd, mam poważne wątpliwości…

    • może lepiej załóż… bo jeszcze ktoś Tobie założy i co wtedy…. a może już założył? (tak jak to było kiedyś z ZUSem) :/

  7. A to nie jest tak, że na skrzynkę ePUAP musi trafić wniosek podpisany profilem zaufanym w postaci XML’a z danymi o dowodzie jaki ma być unieważniony? Czyli tak czy siak ktoś powinien zobaczyć dane wniosku, który podpisuje.

  8. I tak najlepsze są rejestracje w szpitalach i przychodniach :D

    Imię i nazwisko proszę!
    Adres!
    Telefon kontaktowy!

    Człowiek chce przekazać takie rzeczy dyskretnie bo za plecami kolejka ludzi, ale dosłownie wszędzie rejestratorki siedzą za szybą zupełnie jak w jakimś kantorze, jakby ktoś miał napadać na te przychodnie…

    To napad, wydaj mi moją kartę i zarejestruj bez kolejki! :D

    • > rejestratorki siedzą za szybą

      Żeby chorób nie łapać od pacjentów.

    • Masz rację ale jest to też odrobina Twoja wina ponieważ nie wymagasz od pani “rejestratorki” aby szanowała Twoje dane i ustawę o ich ochronie.
      Ja kilka razy już zwracałem takim paniom uwagę (nie tylko w przychodni ale również na jakiejś poczcie, etc.) i w większości przypadków się peszą. Ze 2 razy próbowały wchodzić w dyskusję, że to nie dane osobowe ale prośba o rozmowę z przełożonym kończyła temat.
      Raz się tylko zdarzyło, że pani do końca twierdziła, że ma mnie w dupie i będzie robiła co jej się podoba oraz, że nie usunie moich danych z bazy. Złożyłem oficjalną skargę na którą dostałem odpowiedź w przepraszającym tonie i zapewnienie, że to był jednostkowy przypadek ;)

    • Ale to też wina pacjentów którzy stoją nad głową. W jednym ze szpitali wyznaczono 2m linię za którą należy wchodzić pojedynczo. Jakie były pretensje pacjentów zanim się nauczyli i ile bluzgów poleciało na obsługę która tylko dbała o ich prywatność. Bo pal licho imię i nazwisko ale sąsiad dowie się do jakiego lekarza się rejestrujesz.

    • Poznański szpital na Krysiewicza i umawianie się na USG przebija wszystko. Okno, szyba, otwór jak na list, na szybie mikrofon a po obu stronach na górze komputerowe głośniki. Czy muszę jeszcze tłumaczyć jak to działa? ;o) Oczywiście okienko jest w głównym holu zaraz przy wejściu :-]

    • Najlepsze jest podawanie w SupherPharm PESEL kiedy zapomni się karty klubowej “D
      – ma Pani kartę?
      – nie
      – to proszę podać PESEL
      – ……..

  9. I teraz co gorsze – założyć profil i bać się o wycieki danych czy nie zakładać i bać się że ktoś założy na nasze dane i dostanie pełny dostęp do wszystkiego w naszym imieniu… :)

  10. Piotrze , masz rację z tym że wymiana danych w dwie strony nie jest konieczna ale jak w takim razie zaautoryzować transakcję zastrzeżenia i wymiany dowodu żeby ktoś celowo nie zgłosił zablokowania dowodu i wymiany na nowy?

    • To proste – zamiast wyświetlać wszystkie dane system powinien o nie poprosić, np. o PESEL i nazwisko panieńskie matki. Szansa że ktoś tego o sobie nie wie chyba jest bardzo mała, a że nie wie tego ktoś obcy – duża. Do tego ponownie 2FA i już jest sporo zabawy dla złośliwca.

  11. Dzięki na nagłośnienie tego. Ostatnio zmieniałem dowód przez ePUAP i też mnie przeraża poziom zabezpieczeń na tym portalu.

    A co powiecie na dziadostwo jednego operatora komórkowego, który też nie wiem czemu wyświetla PESEL tuż po zalogowaniu i nic sobie nie robi z próśb o usunięcie tego. Nawet po przeniesieniu do konkurencji wciąż istnieje u nich konto z moim PESEL (nie da się usunąć go z poziomu użytkownika) !

  12. Ciekawe co minister odpowiedziałby na takie pismo:
    Ja niżej podpisany, nie zezwalam na przekazywanie moich danych osobowych prywatnej spółce XXX bez mojej pisemnej zgody.

  13. A nie idzie tutaj wprowadzić potwierdzenia SMSowego przy ponownym zalogowaniu do PZ? O ile po raz pierwszy się rejestrujemy to wiadomo, że złodziej naszego dowodu nie zgłasza :) Chyba prosto i bez ogromnych kosztów.

    No, ale co tam.. takie kwiatki tylko za pieniądze polskich podatników. Ktoś wie ile kasy na to poszło? Oni tak sami z siebie czy to z przetargu sprawdzone firmy informatyczne?

  14. Ciekawe czy da się kolejno enumerować zdjęcia Panie Piotrze. Sprawdził Pan?

  15. Już sam fakt, że jquery ładuje się tam z zewnętrznego CDNa, jest karygodny.

  16. Czemu ma służyć ten system? Informacje o utracie DO można złożyć przy okazji składania wniosku o nowy dokument, a dla własnego interesu i zgodnie z informacją propagowaną na stronie dokumentyzastrzezone.pl, “UTRACONE DOKUMENTY NALEŻY NAJPIERW ZASTRZEC W BANKU”.

  17. To, że w takiej usłudze nie ma podpisania PZ/certyfikatem mnie szokuje.
    Dane, ok. A jak ktoś chce złośliwie komuś zastrzec dowód? Dowodu nie da się “odstrzec”.

  18. Używam PZ i wiem że już od dawna jedynym słusznym i wymaganym uwierzytelnieniem są SMSy.

  19. Poprawione, szacun dla MC za szybką reakcję.

  20. Pesel nie jest tajny. Było tu ostatnio jeden z kolegów podał że pesel widnieje w KRS jeśli jesteście udziałowcami jakiejkolwiek spółki. Naprawdę skompletowanie informacji o jakiejś osobie dla zawziętego to żaden problem. Dodatkowo za 25zł można w nieoficjalnym rejestrze nieruchomości sprawdzić dodatkowe informacje. I nawet nie trzeba nic udostępniać o sobie na fejsbuku. Dodatkowo przedsiębiorcy jednoosobowi są trafieni bo w CEIDG są ich adresy domowe/zameldowania bo przecież kto w przebłysku paranoi rejestruje firmę na wirtualne biuro?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: