9:39
4/7/2018

Osoby logujące się do rządowych serwisów z użyciem Profilu Zaufanego czasami widzą dane innych osób, np. w Emp@tii lub EKRS. Sprawa jest bardzo niepokojąca, a problem sygnalizowany jest przynajmniej od miesiąca. Coraz trudniej uwierzyć, że to niepowiązane pojedyncze przypadki.

Cudze dane w Emp@tii…

Otrzymujemy zgłoszenia dotyczące błędów podczas logowania się do systemu emp@tia w celu wypełnienia wniosku 500+ lub 300+ korzystając z Profilu Zaufanego.

Jak pisze nasz Czytelnik:

(..) zostaniemy zalogowani jako INNY UŻYTKOWNIK (w moim przypadku była to MARZENA KLIM. Nie wiem czy nieprawidłowo wyświetla tylko imię i nazwisko czy faktycznie pobiera z PZ dane innej osoby.

Jeśli Pani Marzena nas czyta, z chęcią się z nią skontaktujemy. Namierzyliśmy kilka osób o tym nazwisku ale zgadujemy, że nie wszystkie korzystają z Profilu Zaufanego.

..oraz w EKRS

Bardzo podobny problem zasygnalizował nam inny Czytelnik, który korzystał z systemu EKRS Ministerstwa Sprawiedliwości, aby wykonać czynności dla swojego klienta. Wiemy, że EKRS i Profil Zaufany to dwie różne bajki, ale…

Do rejestracji w tym systemie należy w formularzu podać adres e-mail oraz hasło jakie chcielibyśmy mieć do logowania. Od pewnego czasu następnym krokiem jest autoryzacja podpisem kwalifikowanym lub właśnie epuap. W tym przypadku autoryzacja miała odbyć się epuap- przy użyciu bankowości elektronicznej. Konto epuap założone bez problemu, dane
po zalogowaniu sprawdzone, zgadzają się… Natomiast po założeniu konta w ekrs i próbie zalogowania do systemu  w prawym górnym rogu pojawiają się dane zupełnie nieznanej mi/klientowi osoby… System co prawda chce weryfikacji poprawności konta przy pomocy linku, hasła które otrzymuje na właściwy e-mail, ale mam opory by to zrobić, w końcu to system sądowo-ministerialny, który podczas zakładania straszy odpowiedzialnością karną. Infolinia po 1h10min oczekiwania poinformowała mnie, że jestem 17 w kolejce (na początku byłem 39). Zgłoszenie e-mail najpierw dwukrotnie przyszła odpowiedź, że wiadomość nie została przeczytana, potem łaskawie nadano nr sprawie….

Czyli obydwa przypadki wydają się mieć coś wpólnego. Wygląda to tak, jakby autoryzacja Profilem Zaufanym w innych serwisach rządowych (EKRS, Emp@tia) powodowała zalogowanie się na konto przypisane do innej osoby lub pobranie z cudzego konta przynajmniej części danych innej osoby.

Czytelnik zgłaszający ten drugi przypadek dodatkowo sprawdził swoje konto ePUAP, zmienił hasło i sprawdził metody autoryzacji profilu. Nic nie wskazywało na błąd po jego stronie.

Oczywiście próbowaliśmy logować się przez ePUAP na swoje konta w różnych rządowych serwisach. Mieliśmy to szczęście, że wszędzie dane się zgadzały. Gdybyście mieli chwilkę to też spróbujcie i dajcie znać w komentarzach jeśli zobaczycie coś dziwnego. Najlepiej logujcie się Profilem Zaufanym w innych instytucjach i sprawdzajcie na jakim koncie jesteście.

Dowodzik na cudze dane? Niekoniecznie

Nie słyszymy o podobnym problemie pierwszy raz. W numerze 19 (11-17 V) tygodnika NIE znalazł się artykuł Mateusza Cieślaka pt. “…i kamieni kupa”. Dziennikarz NIE w charakterystyczny dla tego pisma sposób opisał, że zobaczył dane innej osoby korzystając z ePUAP-u do wyrobienia sobie nowego dowodu osobistego. Ale nie tylko Mateusz Cieślak miał ten problem.

Jak ustaliłem, nieznana liczba całkowicie przypadkowych osób w Polsce ma dostęp do profili zaufanych różnych osób. Moja rozmówczyni wyrobiła sobie dowód osobisty. Wniosek przyjęto, dowód przygotowano. Dopiero przy jego odbiorze moja rozmówczyni zorientowała się, że na dowodzie jej są wyłączynie zdjęcie, imię oraz nazwisko. Wszystkie pozostałe dane należały do kogoś innego – pisał Mateusz Cieślak.

Próbowaliśmy się kontaktować z Panem Mateuszem, ale bezskutecznie. Tymczasem on bezskutecznie próbował uzyskać wyjaśnienia od Ministerstwa Cyfryzacji. Co jednak istotne (i czego nie napisano w NIE) ta sytuacja została wyjaśniona i wydaje się nie mieć nic wspólnego z opisywanymi przypadkami (zob. aktualizację pod tekstem).

Wypadałoby coś wyjaśnić

Dodatkowo niepokojące jest to, że ani COI ani MC nie wyjaśniły przyczyn niedawnej awarii Systemu Rejestrów Państwowych. Czy ona mogła mieć coś wspólnego z wyciekami z ePAUP-u? Może nie, ale czy ktoś będzie miał na tyle odwagi by wreszcie oznajmić obywatelom próbującym ale nie mogącym korzystać z cyfrowej Polski — co jest grane? Rozumiemy, że nie zawsze można dyskutować o szczegółach, ale w tym przypadku chodzi o systemy isototne dla wszystkich obywateli i utrzymywane za ich pieniądze. A wciąż nie działające poprawnie.

Nie od dziś przyglądamy się problemom ePUAP-u. Nawet autor  tego systemu przyznaje, że nie można mu ufać, a była minister Anna Streżyńska przyznawała, że najchętniej “zaorałaby” ten projekt. Co gorsza, ePUAP współpracuje z innymi systemami dalekimi od doskonałości (np. PUE ZUS) co przekładało się na słabą ochronę danych. Nie chcemy sugerować, że informatyzacja jest zła. Ona jest niezbędna, ale musi być robiona solidnie. A w ostatnich tygodniach, bardziej te systemy nie działają niż dzialają. W 2018 roku, to przede wszystkim smutne…

Aktualizacja 4.07.2018, 12:34

Po publikacji tego tekstu skontaktował się z nami Karol Manys z biura prasowego Ministerstwa Cyfryzacji. Okazało się, że sprawa pana Mateusza Cieślaka (dziennikarza NIE) została wyjaśniona i pan Cieślak otrzymał od ministerstwa odpowiedź. Wyjaśnienia dostał również drugi pan Cieślak, na którego profil zalogował się dziennikarz NIE.

Jak się zapewne domyślacie, w przypadku opisanym przez dziennikarza NIE istotna była zbieżność nazwisk. Inaczej niż w przypadkach opisanych przez nas dzisiaj, gdzie zbieżności nazwisk nie było. Mimo iż zasadniczy problem jest we wszystkich przypadkach ten sam (logowanie na cudzy profil), przyczyny wystąpienia problemu mogą być różne.

Karol Manys zauważył jeszcze, że dziennikarz NIE miałby problem z wyrobieniem sobie dowodu na cudze dane. Dlaczego? Ponieważ kody autoryzacyjne i tak przychodziłyby na telefon drugiego pana Cieślaka. Tamten przypadek można rozpatrywać najwyżej w kategoriach ujawnienia danych osobowych i oczywiście problemu technicznego dla użytkownika.

Już wczoraj pytaliśmy Ministerstwo o to, czy wszystkie trzy przypadki mogą mieć coś wspólnego. Znamy już odpowiedź dotyczącą przypadku pana Cieślaka. Czekamy na efekty sprawdzania dwóch pozostałych przypadków. Wypada podkreślić, że Ministerstwo Cyfryzacji i COI szybko zareagowały na nasze pytania i zgłoszenie, ale potrzebne było zebranie dodatkowych informacji.

Aktualizacja 4.07.2018, 13:53

Pół godziny temu otrzymaliśmy poniższe oświadczenie z biura prasowego Ministerstwa Cyfryzacji.

Panie Redaktorze,

informujemy, że w ramach systemów nadzorowanych przez Ministerstwo Cyfryzacji i administrowanych przez Centralny Ośrodek Informatyki dane obywateli są bezpieczne. Z Profilu Zaufanego nie wyciekają żadne dane.

Opisane przypadki są intensywnie wyjaśniane we współpracy z właścicielami systemów eKRS i Emp@tia, tj. Ministerstwem Sprawiedliwości i Ministerstwem Rodziny, Pracy i Polityki Społecznej.

Ministerstwo Cyfryzacji wraz z Centralnym Ośrodkiem Informatyki oferuje pełne wsparcie wspomnianym interesariuszom w ramach dedykowanego zespołu. Po wykonaniu wstępnych analiz można stwierdzić, że Profil Zaufany działa prawidłowo.

Przeczytaj także:

32 komentarzy

Dodaj komentarz
  1. A co na to RODO?

    • Również jestem ciekaw. Co prawda kary dla podmiotów publicznych są dużo niższe, niemniej jednak sam fakt może mocno kopnąć kogoś w zadek.

    • N moze sprawdzi?

    • RODO potępia, ale sami siebie skontrolują i sami siebie ukarzą? Żeby chociaż przeprosili…

    • Rzont ma RODO tam gdzie kamieni kupę.

    • Przepisy wprowadzające RODO w PL:
      “Do przetwarzania danych osobowych, w zakresie niezbędnym do realizacji zadań, obowiązków lub uprawnień określonych w art. 2 ust. 1, przepisów art. 13-15
      i art. 18 rozporządzenia Parlamentu Europejskiego (…) nie stosuje się w zakresie, w jakim dane te są niezbędne do zapewnienia prawidłowej realizacji zadań ustawowych” ;)

      btw. tego jest więcej, wyszukanie frazy “nie stosuje się” w przepisach wprowadzających daje 26 rezultatów ;)

    • I co? Może i UODO nałoży karę na urząd, a kto będzie płacił? Podatnik czyli my wszyscy! Jakoś nikt nie potrafi jasno napisać i określić, że kara finansowa dotyczy administratora czyli osoby reprezentującej urząd! Urząd sam z siebie nic nie zrobi, bo struktura nie zarządza! Dla nie chwytających o czym tu napisano… W prywatnej firmie, kare płaci firma czyli właściciel albo współwłaściciele razem z własnego budżetu, bo budżet firmy jest ich prywatnym budżetem. W efekcie zysk firmy jest niższy! W przypadku urzędu, budżet rzędu to cząstka budżetu państwa! Czyli kara na urząd, a nie dyrektora urzędu, to kara opłacana przez “cząstkę” budżetu państwa, do budżetu państwa. Natomiast wynagrodzenie dyrektora, który jest administratorem danych – pozostaje bez uszczupleń. To po co karać?

  2. Ja dostałem na swoją skrzynkę w epuap pismo z urzędu skarbowego adresowane do kogoś innego.

  3. @1
    A co ma do tego RODO. a wymyśliłeś :)
    No czekamy na rozwój sytacji.

  4. Mam ePUAP, co robić, jak żyć?

    • Koniecznie zlikwidować tam konto. Znam jeszcze inne grzechy tego ststemu ale tutaj publicznie nie napiszę. Łamiące między innymi zapisy RODO.

      Przemyśleć wystąpienie zbiorowe w sprawie tego systemu o jego likwidację. W sytuacji kiedy to raz było o bazie PESEL, to drugi raz o PUE ZUS, w końcu banki nadal mogą założyć na nas konto, po czwarte dziurawy jest sam ePUAP – pozostaje wrócić do papierologii do czasu powstanie systemu, który będzie bezpieczny.

      Co do RODO, artykuły 33 i 34 nadal mają zastosowanie.

  5. Czy powiadomili o wycieku danych?

  6. ciekawe, ze problemy sie zaczely w momencie jak odeszla Anna Streżyńska

  7. No niestety. ePUAP został ‘skopany’ już na samym początku i tak to się będzie ciągnęło długo jeszcze.

    • A jakiś konkret? Czy tylko “bo wszyscy tak mówią”?

    • Epuap czy jak niektórzy to zwą epupa albo epułapka to dramat. Ostatnio 3 dni straciłem żeby ustalić dlaczego nie mogę podpisać dokumentu podpisem kwalifikowanym, a odpowiedź na hd dlaczego tak jest mam uzyskać w ciągu 20 dni:) (i wcale na nią specjalnie nie czekam bo już sobie poradziłem, a dokument miał być podpisany na już). Z epuapu mam wątpliwą przyjemność korzystać od 5 lat i spokojnie książkę już można byłoby napisać o problemach z dostępem, korzystaniem, wysyłaniem, odbieraniem, usługami, organizacją całej komunikacji.

  8. Przecież to wina eKRS a nie ePUAPu/PZ’ta… Mają system napisany przez studenta, nawet “templejtki” nie zmienili… Pewnie mieszają dane

  9. “Z Profilu Zaufanego nie wyciekają żadne dane. Opisane przypadki są intensywnie wyjaśniane.” – skoro nie wyciekają, to “intensywne wyjaśnianie” jest bezproduktywne , a więc i bezsensowne :/

  10. Problemów z ePUAP-em jest o wiele więcej.
    Ostatni weekend od piątku do poniedziałku rano nie działały webservice-y – ciekawe jak przed sądem można wytłumaczyć dlaczego nie dostarczono decyzji w terminie – nie dostarczono bo nic nie można było wysłać ! – oczywiście żadnej odpowiedzi z COI.
    Na zgłoszony problem nie dziąłającego webservice-u pani z HD prosi o przesłanie screena !!! – ciekawe jakiego screena.

  11. Składając wnioski na 500+ i 300 w dniach 2-3 lipca (uwierzytelnianie przez ePUAP) nie zauważyłem żadnych danych innych osób. Problem był tylko z samym uwierzytelnieniem. Próbowałem kilkanaście razy i albo był błąd już podczas pobierania danych z ePUAP albo na etapie zatwierdzania formularza z pobranymi danymi w empatii.

  12. Taka sytuacja:
    1. Człowiek zmienił miasto pracy – ta sama firma, ten sam budżet.
    2. Zabrali mu telefon, na którym rejestrował konto w epuapie
    3. zapomniał hasło (oczywiście, musiał zapomnieć).
    4. funkcja zapomniałem hasła nie działa bo potwierdzenie SMS przychodzi na stary numer …

    helpdesk kazał założyć nowe konto bo do starego dostaniemy się jak zdobędziemy stary numer …

    kurtyna…
    ePUAP…

    • To trochę skrajna sytuacja. Podając numer telefonu, który będzie używany to uwierzytelnienia, musimy pamiętać, że przed jego oddaniem trzeba owe uwierzytelnienie przepiąć na nowy. Dlatego dobrze to robić na prywatny numer, który nie zmienia się wraz ze zmianą pracy.

      Swoją drogą zawsze powinna być opcja typu idę do urzędu z dowodem osobistym, aktem urodzenia itd i odzyskuję wszystko co moje – tak jak mogę pójść do siedziby banku.

    • 1. Słusznie w helpdesk poradzili , powinni jeszcze skasować stare konto na pisemna prosbe.
      2. Hasła i telefony prywatne należy trzymać w bezpiecznych miejscach.
      A w przypadku zgubienia wrażliwych rzeczy, jak najszybciej je odzyskać lub zmienić.

  13. ePUPA ma min. 2 rodzaje autoryzacji. Jeśli zrobimy to przez bankowość elektroniczną to w niektórych systemach (m.in. eKRS bodajże) nie można wykonać wszystkich operacji. Wizyta np. w US w celu osobistej autoryzacji wymaga cofnięcia poprzedniej bankowej. Jak mamy autoryzcje przez Punkt Zaufany to z banku już nie wejdziemy. Czasem jest jeszcze fajniej jeśli jest jakiś chochlik w bazie PESEL, np. delikatnie przekręcone drugie imię. Bez odkręcania tego w USC w miejscu urodzenia nie pójdzie. Doświadczenia z pierwszej stopy z pierwszych dniach obowiązkowego eKRS

  14. Panie Redaktorze,

    Informujemy, że kwadrat jest nieskazitelnie biały. Absolutnie i w 100% biały.

    Sprawy czarnych plam widocznych na tym kwadracie są intensywnie wyjaśniane i w niczym nie upowazniają kogokolwiek do twierdzenia że nie jest 100% biały. Po wykonaniu wstepnych analiz można stwierdzić że kwadrat jest 100% biały. Jest biały. Plamy sa ale jest nieskazitelnie biały. Biały.

    Z poważaniem, Miś Uszatek, mgr socjologii w randze niedorzecznika.

  15. Poprawcie sobie literówkę w tym artykule cytat „Czyli obydwa przypadki wydają się mieć coś wpólnego. Koniec cytatu.

  16. Malgond…

    “Rzont ma RODO tam gdzie kamieni kupę…”

    Tak strasznie boli… nie dość że “Rzont” to jeszcze kamieni kupa nie była w d… ;-)

    Swoją drogą logując się do ePUAPu czy S24 miałem poczucie bezpieczeństwa (tak jak logując się do banku) przecież najlepsi fachowcy czuwają nad tym żeby działało bez zarzutu… a tu szok. Aplikacje najwyższego szczebla, skierowane do takiego szerokiego grona użytkowników MUSZĄ być pisane przez DOŚWIADCZONYCH profesjonalistów i… testowane przez INNYCH doświadczonych profesjonalistów. Znowu wstyd ;-(

  17. Walczyłem ostatnio z wnioskami 500+ i dobry start. Ja nie wiem, kto konstruował te portale, ale powiedzieć o nich, że są nieintuicyjne to duże niedopowiedzenie. To jakaś MASAKRA. O ile 500+ przez portal bodajże ZUSu udało się w miarę łatwo przepchnąć (ale musiałem się nagimnastykować, żeby znaleźć właściwe miejsce), o tyle z portalem Empatii walczyłem dwa wieczory. W pierwszy odpuściłem, bo co się tam zalogowałem, to wywalało jakieś komunikaty o błędach aplikacji i nie ładowało się jedno z wymaganych pól. Na drugi dzień udało mi się chyba nawet konto założyć (po trzecim lub czwartym przeładowaniu portalu), ale potem wyłożyło się znowu na jakichś błędach aplikacji (też pola się nie ładowały, lub rozwijane były puste) i finalnie przez mBank wrzuciłem formularz.
    Konstrukcja tego wszystkiego wygląda tak, jakby jacyś gimnazjaliści to budowali. Nie wyobrażam sobie, żeby jakaś szanująca się firma miała w podobnej postaci swoje strony, bo nikt by z nich nie korzystał. Tutaj ludzie próbują korzystać, bo muszą.
    Idea – świetna. Wykonanie? Jak naszych na Mundialu.

    • A czy ważne kto konstruował? Ważne, że opierał się na znanej maksymie właściciela firmy programistycznej, która mówi: “Każdego programistę można zastąpić skończoną ilością studentów”. A przetarg ma swoje prawa i wygrywa najtańszy wykonawca, czyli taki ze studentami! A tak na marginesie… Najgorszą manierą programistów jest przekonanie, że jak oni (programiści) wiedzą co kliknąć, to jest to OCZYWISTE dla każdego kto będzie korzystał z ich aplikacji! Szkoda, że dziś nie już tekstowych interfejsów i kompilatorów typu Pascal, Fortran77, Cobol! Składnia tych programów uczyła szacunku do kodu aplikacji. Można było także paskudzić w kodzie, ale konsekwencja kompilatora, który odmawiał wykonania kompilacji bo wystąpił błąd… Piękne chwile podziwiania, jak koder (programista) mota się po każdej poprawce kodu i komendzie błędu kompilacji… A przyczyną był brak znaku średnika. Klikologia stosowana jednak jak widać pozbawia naturalnego odruchu nieufności dla kodu wykonywanej procedury czy funkcji.

  18. Problem może być w sposobie identyfikacji usera przez docelową aplikację. Przy zakładaniu konta na stronie poprzez PZ aplikacja wiąże konto usera z kontem PZ.
    Może to robić na różne sposoby np. poprzez PESEL lub ID konta usera PZ lub ID Profilu Zaufanego.
    Problem może wystąpić jeżeli aplikacja identyfikuje userów poprzez ID Profilu Zaufanego, bowiem przy odnowieniu PZ co każdy robi chyba co 3 lata, ID PZ zmienia się i tym samym weryfikacja nie działa poprawnie lub w zależności o sposobu generowania numerów może zalogować na konto innej osoby.
    Są to moje przypuszczenia bo mnie ID PZ zmieniło się przy odnawianiu PZ.

  19. No cóż, system jest tak “cudowny”, a ludzie tam pracujący tak pomocni, że zgłaszając utworzenie konta przez obcą osobę na mój adres mailowy dowiedziałam się, że nie jest to problemem. Nikogo, nie przekonał fakt, że wysyłanie mi potwierdzenia, że pani XY o peselu 8112XXXXXXX złożyła wniosek do MOPSu w R… nie jest najlepszym pomysłem.
    Profil został potwierdzony i NIC SIĘ NIE DA ZROBIĆ, niech nie wymyśla.
    O potwierdzeniu po kliknięciu w link chyba nikt tam nie słyszał…

  20. Również zauważyłem dzisiaj ten problem przy okazji potwierdzania chęci wydania nowego dowodu osobistego. Po podpisaniu wniosku swoim profilem w podsumowaniu dostałem dane zupełnie innej osoby razem z jej numerem pesel i nazwą konta. Próbuję namierzyć te osobę, aby poinformować ją o problemie. Na maila podesłałem zrzuty ekranu i wycinek drzewa xml podsumowującego transakcje z danymi osoby trzeciej.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.