13:39
7/5/2020

Wczoraj otrzymaliśmy informacje o niepokojących próbach kontaktu, które dotyczyły kilku osób z różnych części Polski. Jedyne co udało nam się ustalić, że łączy te osoby, to fakt iż były one na kwarantannie. Osoby te relacjonowały, że odebrały telefon od kogoś, kto przedstawiając się za pracownika Ministerstwa Cyfryzacji, Kazimierza “Szmita”, prosił o “uzupełnienie brakujących danych”. Ciężko powiedzieć jak brzmi nazwisko, może to być Szmid, Schmitd, etc., dlatego stosujemy zapis fonetyczny.

fot. depositphotos.com

Pokaż dowód do kamerki

Kazimierz Szmit dzwonił z numerów:

+48 225568403
+48 532519883
+48 532519893

i proponował rozmówcom instalację aplikacji Microsoft Teams i dołączenie do videokonferencji, w ramach której mieli oni pokazać mu dowód osobisty zbliżając go do kamery w swoim urządzeniu. Szmit prosił też o podanie “adresu zamieszkania w Polsce”.

Uspokójmy, że nie chodziło tu o infekcję telefonu rozmówcy. Szmit nie przekazywał złośliwego linka do aplikacji Microsoft Teams, a kazał ją pobrać z oficjalnego sklepu. Odrzucał też prośby o rozmowę na WhatsAppie, tłumacząc “że jest mniej bezpieczny” (głos narratora: nie jest).

Nasi rozmówcy byli zdezorientowani. Zastanawiali się skąd ktoś z Ministerstwa miałby mieć ich numer telefonu. Po rozmowach udało się ustalić, że każda z tych osób miała lub wciąż ma zainstalowaną rządową aplikację Kwarantanna Domowa. Zastanawialiśmy się więc, czy ktoś nie wykorzystał przypadkiem opisywanego przez nas niedawno błędu dotyczącego prywatności w aplikacji Kwarantanna Domowa, który umożliwia sprawdzenie, czy dany numer jest — czy nie jest — osobą na kwarantannie. To tłumaczyłoby pozyskanie numerów osób, które faktycznie są na kwarantannie.

Natychmiast po otrzymaniu wiadomości, wysłaliśmy też zapytanie do Ministerstwa Cyfryzacji z prośbą o komentarz, czy prowadzi tego typu akcję “uzupełniania danych” w tak dziwny sposób i czy Pan Szmit/Szmitd/Schmitd istnieje. Nie otrzymaliśmy odpowiedzi na wszystkie z zadanych pytań, ale krótkie oświadczenie, z którego wynika, że:

Pan Szmit jest prawdziwy. I faktycznie prosi o pokazywanie dowodów do kamery 😳

Nie prowadzimy „akcji uzupełniania danych” użytkowników aplikacji „Kwarantanna domowa”. Numery telefonów, które Państwo wskazaliście są wykorzystywane przez pracowników Ministerstwa Cyfryzacji zajmujących się potwierdzaniem tymczasowych profili zaufanych. Więcej o tej e-usłudze przeczytacie Państwo tutaj – https://www.gov.pl/web/gov/zaloz-profil-zaufany Pracownicy potwierdzający tymczasowe profile zaufane nie mają dostępu do danych użytkowników aplikacji „Kwarantanna domowa”. Z użytkownikami aplikacji „Kwarantanna domowa” mogą kontaktować się jedynie osoby obsługujące infolinię dedykowaną użytkownikom apki.

Ministerstwo nie potwierdziło personaliów wskazywanej przez rozmówców osoby, ale ktoś o tak brzmiących danych w MC pracuje.

Czy to dobry pomysł?

Redakcja Niebezpiecznika stoi na stanowisku, że niezależnie od powodu i tego jak ktokolwiek się przedstawi w rozmowie telefonicznej, nigdy nie powinniście przekazywać mu żadnych danych. Ani adresu, ani PESEL-u, ani tym bardziej nie zgadzać się na prowadzenie wideorozmowy i pokazywanie dokumentów do kamerki.

Pamiętajcie, że jeśli ktoś Was nagra lub zrobi zdjęcie jak machacie dowodem do kamery, to może to potem wykorzystać, wraz z innymi Waszymi danymi, do zaciągnięcia pożyczki na Wasze konto albo otwarcia rachunku bankowego, aby zrobić z Was słupa.

Mamy jednak obecnie w taką sytuację, że być może niektórzy dla własnej wygody zdecydują się na kompromisy. Jeśli zrobią to świadomie — ich prawo i ich ryzyko. Do przetwarzania danych z dowodów są w Polsce uprawnione pewne firmy i instytucje na mocy odpowiednich ustaw. MC jest jedną z nich i w przeciwieństwie do wielu innych dostęp do wyglądu Waszych dokumentów ma.

Proces (komunikacji) weryfikacji do poprawy?

Coś jednak w tym procesie Ministerstwa Cyfryzacji chyba nie zagrało, skoro kiedy ruszyła “weryfikacja nową metodą”, ludzie — słusznie — są zaniepokojeni i zgłaszają ten incydent jako próbę wyłudzenia danych.

Nie wiemy, być może Ministerstwo niezbyt mocno komunikuje obywatelom, jak taka weryfikacja profilu będzie przebiegać. Być może urzędnicy niezbyt jasno tłumaczą o co chodzi. A być może, rozmowy weryfikacyjne są odbywane z dużym opóźnieniem w stosunku do czasu złożenia przez kogoś wniosku (tak, że osoba zapomina, że o coś takiego wnioskowała). Coś tu jednak chyba trzeba lekko skorygować w tym procesie weryfikacji, skoro budzi wśród osób lęk.

Jedna z osób, którą po wyjaśnieniach MC uspokoiliśmy, że dzwonił do niej prawdziwy urzędnik, a nie oszust, odparła, że:

o taki profil to jeśli wnioskowałem, to mogłem wnioskować bardzo dawno temu, jedyne co mi przychodzi do głowy, to że robiłem to przed wyborami. W ostatnich tygodniach nie przypominam sobie składania takiego wniosku

Co ciekawe, w ministerialnej instrukcji stoi, że do rozpoczęcia rozmowy z urzędnikiem potrzebny jest kod, będący numerem wniosku. Nasi rozmówcy również nie przypominają sobie, aby Szmit im taki numer podawał.

Spodziewamy się, że nie tylko jeden urzędnik, którego telefony zaniepokoiły naszych Czytelników, odpowiada za taką weryfikację na Polskę. Być może inni, urzędnicy rozmowę prowadzą inaczej lub kontakt nawiązują z osobami proszącymi o profil zaufany w jakiś inny sposób, bardziej zapadający im w pamięć i dlatego rozmowy nie budzą obaw, a my nie mamy zgłoszeń.

Dlatego dajcie znać, jeśli przeszliście taką weryfikację i napiszcie jak ona wyglądała. Oraz z jakiego miejsca (strony, aplikacji) trafiliście na formularz składania wniosku o tymczasowy profil zaufany. Dajcie też znać, jeśli ostatnio ktoś do Was dzwonił, poprosił o pokazanie dowodu do kamery, a Wy tego nie zrobiliście i do teraz uważaliście, że dzwonił do Was oszust.

Weryfikacja tożsamości na odległość to nie lada wyzwanie. Jak to zrobić, aby mieć pewność, czy to faktycznie kolega z pracy do mnie pisze kiedy siedzę na pracy zdalnej? Jak bezpiecznie przesłać mu dokumenty, nie łamiąc firmowych polityk i nie narażając ich na wyciek? Lepiej komunikować się Microsoft Teamsami czy Skypem? A może żadnym z tych narzędzi?

Praca zdalna to nie jest prosta sprawa. Można popełnić wiele błędów i spowodować wyciek danych. Dowiedz się jak nie narażać swojej prywatności i danych klientów pracując spoza biura, na prywatnym lub służbowym sprzęcie. Porady i przydatne narzędzia poznasz podczas naszego 2 godzinnego webinaru poświęconemu bezpieczeństwu pracy zdalnej. Kliknij tu aby zobaczyć nagranie!

Przeczytaj także:



21 komentarzy

Dodaj komentarz
  1. A czemu nie MRZ? Przecież tam są wszystkie potrzebne dane.

  2. To wygląda jak strzał w stopę.
    Najpierw aplikacja, teraz to.
    Aż strach co dalej

    • Później będzie czip w szczepionce (nie żartuję).

      geekweek. pl/news/2020-05-02/bill-gates-osoby-nieszczepione-na-covid-19-nie-beda-mogly-funkcjonowac-w-spoleczenstwie/

  3. Od niedawna ruszyła akcja zakładania tymczasowego ePUAPu. Odbywa się to w podobny sposób – może ktoś szykuje sobie nagrania pod zakładanie kont na inne osoby?

    • Miałam telefon, gdzie pani z Ministerstwa Cyfryzacji przedstawiła się z imienia i nazwiska. Wiedziała jaką sprawę załatwiałam ostatnio przez ePUAP, i poinformowała, że wysyła mi tam na skrzynkę instrukcję, jakie dodatkowo kroki są niezbędne do zrobienia w ePUAP z uwagi na ich błąd techniczny. Rozmowa odbyła się bez weryfikacji poza pytaniem, czy ja to ja.

  4. Fajna aplikacja do kontroli obywateli. Rządowe czipy zbyt kontrowersyjne ale pójść inna droga i przez rzekomą panedmie można zmusić obywatela do instalacji rządowego oprogramowania szpiegowskiego.
    Nice Try M. C.

  5. Jakby wybory miały być kopertowe, to już spodziewam się bandziorów udających listonoszy roznoszących koperty wyborce. Przychodzi taki do jakiegoś emeryta i prosi o wypełnienie karty do głosowania no i tego oświadczenia z peselem i od razu mu jej przekazania.
    Czy to jest aż takie trudne do zrobienia?

  6. Takie są proceduty przy zakładaniu tymczasowego profilu zaufanego, że wymagane jest spotkanie z urzędnikiem online.
    https://www.gov.pl/web/cyfryzacja/tymczasowy-profil-zaufany–juz-jest

    Ja bym się bał wysyłać zdjęcia lub filmy mojego dowodu osobistego, ale jak ktoś lubi ryzyko to jego wybór.

  7. Bez pokazania japy urzędasa, nawet bym nie zaczął gadać do kam.

    • A ja bym mu kazał s…padać na drzewo.

  8. Zapomnieliście dodać reklamę szkolenia na końcu.

    • Dzięki! Specjalnie dla Ciebie dodałem.

    • “hurr durr, jakim prawem śmiecie coś reklamować! Powinniście pracować za darmo, bo NALEŻY MI SIĘ darmowy dostęp do wysokiej jakości treści w takiej postaci jak JA uznam!” – typowe podejście kogoś, kto nieubłaganie zmierza w stronę bycia Januszem.

  9. A może ktoś się podszywa pod pana Szmita?

  10. Potwierdzanie dożywotniego profilu zaufanego powinno odbywać się poprzez 3 krotne logowanie do banku (nie częściej niż raz na miesiąc). Co to za idiotyzm aby iść fizycznie do urzędu, aby potwierdzić profil elektroniczny. Ponadto czym różni się zdalne potwierdzanie tożsamości dowodem od wizyty w urzędzie? O dacie ważności nie wspominając. W Polsce jak w lesie.

  11. Tymczasowy Profil Zaufany można zakładać od jakiś 2 tygodni. Jest on ważny jedynie 3 miesiące. Jego założenie rzeczywiście wymaga wideorozmowy, której nagranie ma być przechowywane przez stronę rządową przez aż 20 lat (sic!).

  12. (…) poprosi o okazanie dowodu tożsamości w taki sposób, by mógł przeczytać jego treść.  
    Gorszej bzdury chyba nie słyszałem <<< od kogo, jak od kogo, ale od speców z MC oczekiwałbym większego profesjonalizmu.

  13. Mnie zastanawia , że “Jedyne co udało nam się ustalić, że łączy te osoby, to fakt iż były one na kwarantannie”
    Może wysoka temperatura, złe samopoczucie i ogólna, nie do pozazdroszczenia kondycja zaciemniła i zdeformowała zrozumienie całej sytuacji? Czy są podobne zgłoszenia od osób zdrowych i nie przebywających na kwarantannie?

  14. Pan Kazik Schmidt pracuje w MC na II p gmachu przy ul.Krolewskiej Niestety :(
    Jeśli tak mają się sprawy z ePUAPka to naprawdę szkoda że p. Annie Strezynskiej zabrakło czasu żeby wywalić to cudo do kosza

  15. > naprawdę szkoda że p. Annie Strezynskiej zabrakło czasu żeby wywalić to cudo do kosza

    Ale duży żal do pani minister Streżyńskiej, że umożliwiła pozyskanie tzw. Profilu Zaufanego przez logowanie się do banku.

    Jest w interesie banków by jak najwięcej ludzi zakładało tam konta. Z bezpieczeństwem zakładania kont bywało i bywa różnie – konta “na kuriera” polegają na dostarczeniu klientowi umowy przez kuriera, który teoretycznie ma sprawdzić dowód osobisty, a w praktyce nie robi tego albo robi pobieżnie (nic dziwnego – spieszy mu się, a i nie jest przeszkolony do wykrywania fałszywek).

    Efekt jest taki, że wystarczy założyć na kogoś racunek bankowy albo przejąć dostęp do niego, i już można szaleć w Profilu Zaufanym – wszystkie zdjęcia do poprzednich dowodów osobistych, poprzednie adresy zameldowania, dane medyczne z NFZ i mnóstwo innych – trafiają do nieuprawnionej osoby.

    Profil Zaufany jest oczywiście intensywnie reklamowany przez Ministerstwo Cyfryzacji.
    Ja go nie mam i nigdy nie założę, bo idea dostępu jednym kliknięciem do wszystkich danych o mnie, jest makabryczna.

    Państwo powinno ograniczać zbieranie danych, a zebrane po pewnym czasie kasować, a nie archiwizować.

  16. Tych z ministerstwa pogrzało.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: