17:53
30/4/2019

Jak informują nas Czytelnicy z Gdańska — wyciekły dane osobowe (w tym PESEL i numery telefonów) osób, które korzystały z serwisu pitwgdansku.pl. Do skorzystania z tego serwisu zachęcał oficjalny serwis internetowy Gdansk.pl, więc poszkodowanych zapewne będzie wielu Gdańszczan (co wnioskujemy również po liczbie e-maili od nazych Czytelników w tej sprawie). A Czytelnicy do nas piszą, bo właśnie zostali poinformowani o wycieku swoich danych e-mailem.

Jak zwykle, przyjacielsko klepiemy po plecach wszystkie firmy, które o swoich wpadkach informują w bardzo wygodnym dla nich okresie, czyli tuż przed długim weekendem. Sformułowanie, o “pliku technicznym” i tym, że ludzie mogą się dowiedzieć czegoś więcej “dziś do 21:00 a potem dopiero od 6 maja” przejdzie do historii. Brawo! :>

Od:Administrator Danych Osobowych – Loteria PIT w Gdańsku iod@pitwgdansku.pl
Date: wt., 30 kwi 2019, 17:19
Subject: Zawiadomienie o naruszeniu ochrony danych osobowych – loteria PIT w Gdańsku.

Szanowni Państwo

zgodnie z obowiązującymi przepisami z przykrością informujemy, że otrzymaliśmy zawiadomienie od osoby, która twierdzi, że weszła w posiadanie Państwa danych osobowych, poprzez uzyskanie dostępu do pliku technicznego loterii “PIT w Gdańsku. Się opłaca!”.
Plik zawierał dane w postaci: imienia i nazwiska, numeru PESEL, numeru telefonu , adresu e-mail, miejsca złożenia deklaracji PIT.
Potencjalnie to zdarzenie może rodzić dla Państwa konsekwencje w postaci otrzymywania niechcianej korespondencji na adres e-mail, możliwość otrzymywania niechcianych sms-ów oraz telefonów, prób podszycia się poprzez wykorzystanie imienia i nazwiska, numeru PESEL – daty urodzenia.

Zastosowano niżej wskazane środki w celu zaradzenia naruszeniu ochrony danych osobowych w celu zminimalizowania jego ewentualnych negatywnych skutków.

Usunięto plik techniczny z danymi, ograniczano dostęp do plików na stronie, wprowadzono obowiązek formalnego weryfikowania konfiguracji i potwierdzania jej prawidłowości przez drugą osobę, wystąpiono z żądaniem nieodtwarzalnego wykasowania pliku z danymi osobowymi przez osobę, która weszła w jego posiadanie oraz wystąpiono do niej z prośbą o zachowanie poufności danych. Zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych oraz organy ścigania (Policję i Prokuraturę) w zakresie podejrzenia popełnienia przestępstwa w ww. zakresie.

Więcej informacji mogą Państwo i uzyskać na stronie www.pitwgdansku.pl/info.html , pod adresem e-mail iod@pitwgdansku.pl lub dzwoniąc na numer 566539877 ( w dniu 30 kwietnia czynny do godz 21:00 , od 06.05.2019 dostępny w dni robocze w godzinach 09:00 do 16:00)
Z poważaniem,
Administrator Danych Osobowych
Playprint Polska Sp. z o. o.
87-100 Toruń
ul. Stroma 5/1
e-mail: iod@pitwgdansku.pl
numer infolinii: 566539877

Wygląda na to, że serwis logował to czego nie powinien, tam gdzie nie powinien. Na stronie serwisu jest też nota dla prasy. Równie bogata w szczegóły co sam e-mail. Co ciekawsze fragmenty podkreśliliśmy i pozostawiamy je bez komentarza.

Należy mieć szansę, że osoba, która zgłosiła dostęp do pliku administratorom serwisu to badacz bezpieczeństwa, a nie szantażysta. I że nikt inny oprócz niego nie miał dostępu do tych danych — ale o analizie logów pod tym kątem firma Playprint obsługująca serwis zbierający dane podatników z Gdańska nie wspomina…

Co można zrobić z PESEL-em?

W PESEL-u zapisana jest data urodzin. Mając te informacje, wzbogacone o imię i nazwisko oraz adres e-mail plus numer telefonu można robić całkiem ciekawe ataki socjotechniczne wyłudzające od poszkodowanych Gdańszczan dane dostępowe do bankowości internetowej i w konsekwencji okradać ich z pieniędzy.

Gdańszczanie powinni również wiedzieć, że okraść można ich nawet, jeśli oni sami na socjotechnikę się nie złapią. Jeśli atakujący ma czyjś nr telefonu i PESEL oraz informację w którym banku “ofiara” ma konto, może wykonać atak socjotechniczny na pracowników zarówno banku jak i operatora telefonii komórkowej ofiary — polecamy nasz artykuł sprzed roku o tym jak przestępcy przekierowali ofierze telefon i okradli konto w banku, bo znali jej PESEL i numer telefonu. Jest w tym artykule trochę porad, jak zabezpieczyć swoje “cyfrowe życie” i uodpornić się na wycieki naszych danych, które się zdarzają i będą się zdarzać.

Na więcej porad zapraszamy na nasz wykład, który niebawem odbędzie się właśnie w Gdańsku! :)


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Więcej na temat tego co będzie na wykładzie dowiesz się stąd, a rezerwacji miejsca na wybranym terminie możesz dokonać klikając tutaj.

PESEL-u nie zmienicie, daty urodzin też. Z numerem telefonu ciężko jest się rozstać. E-maile mają dobre antyspamy. Po prostu musicie się pogodzić z wyciekiem Waszych danych i tym, że będą kolejne tego typu sytuacje. A zamiast walczyć ze skutkami, polecamy prewencję: nie podawajcie swoich danych osobowych byle komu. A do “konkursików” i innych “serwisików” wpisujcie alternatywny adres e-mail i numer telefonu niepowiązany z Waszymi kontami w bankach i social mediach. O tym skąd za darmo brać takie numery telefonów pisaliśmy w artykule “z poradami dla ofiar wycieku danych serwisu Morele.net“.


Aktualizacja 1.05.2019, 12:22
Od osób zaznajomionych ze szczegółami sprawy otrzymaliśmy informację, że za dostępem do “pliku technicznego”, który tak jak podejrzewaliśmy był logiem debugowym z aplikacji, stać miał nie szantażysta a badacz, który zwrócił uwagę wykonawcy serwisu, iż strona zawiera liczne błędy. Nasze ustalenia zdaje się potwierdzać również artykuł w serwisie Gazeta.pl. W pliku miało znajdować się 18 000 rekordów mieszkańców Gdańska.

Nowe informacje jakie pozyskaliśmy wciąż jednak nie wyjaśniają, przeciw komu doniesienie na prokuraturę złożyła firma Playprint Polska. Nie wiemy, czy firma wykonała analizę logów i na tej podstawie doszła do wniosku, że do “pliku technicznego” dostęp miały inne osoby i trzeba pomocy służb aby ustalić ich tożsamość, czy może — mamy nadzieję że nie, bo byłby to kolejny wizerunkowy strzał w stopę — firma chciałaby ukarania tego badacza, który odkrył i przekazał jej informacje o błędzie.


Aktualizacja 1.05.2019, 13:26
Zupełnie przypadkiem, na ławce którą mijaliśmy w parku znaleźliśmy wydruk e-maila, jaki badacz skierował do firmy Playprint Polska. W naszej opinii, komunikacja jest prowadzona w sposób profesjonalny, zgodny z zasadami tzw. “responsible disclosure”. Badacz nie ukrywa swoich danych osobowych i nie szantażuje firmy, a wręcz przeciwnie, oferuje bezpłatnie przekazanie jej informacji o dodatkowych problemach bezpieczeństwa, dbając o to, aby informacje te trafiły do kompetentnych osób po stronie wykonawcy serwisu i jednocześnie (za to też należą się badaczowi brawa), działając w interesie publicznym, prosi o dowód zgłoszenia przez firmę Playprint tego błędu konfiguracyjnego do UODO.

PS. Przypomnijmy, że Miasto Kraków zaliczyło niedawno podobną wpadkę. Tam komunikacja początkowo też nie należała do najrzetelniejszej — wykonawca serwisu, firma IDEO, hasło “admin123” chroniące dostępu do danych Krakowian nazwała “hasłem uproszczonym” i w komunikacie informowano, że “do 1 lipca 2018 r. 00:00, w systemie znajdowały się wyłącznie dane testowe” nie dodając, że nieautoryzowany dostęp nastąpił po tej dacie, kiedy w systemie były już dane Krakowian.

Przeczytaj także:

38 komentarzy

Dodaj komentarz
  1. Z wyciekami danych powinni się pogodzić przede wszystkim dostawcy usług i przestać stosować IDENTYFIKATORY jako HASŁA.

    • Nieprawda, że PESEL-u nie da się zmienić.
      1) Idziesz do psychologa i twierdzisz że jesteś kobietą
      2) Idziesz do psychiatry, który stwierdza, że nie ma przeciwwskazań do zmiany płci
      3) Idziesz do seksuologa po żeńskie hormony
      4) Idziesz do sądu o stwierdzenie, że jesteś kobietą.

      USC nadaje nowy PESEL. Gratis masz zmianę imienia i wizerunku.

    • Z wyciekami nie powinien się nikt godzić, za wycieki powinni niechlujni administratorzy danych trafiać do więzienia.

      Zgoda z nieużywaniem identyfikatorów jako haseł.

      Ale numer PESEL jako identyfikator ogólnokrajowy i praktycznie-wszędzie-wymagany to zło samo w sobie. Nadaje się tylko do likwidacji.

    • Głupotą jest branie “na wiarę” zachcianek typu “ja chcę być kobietą” itp. My, podatnicy, płacimy grube pieniądze na publiczną służbę zdrowia, i jak mają być krótsze kolejki, skoro z takimi “problemami” stoją? Nie powinno być psychologów, psychiatrów i hormonów po drodze, tylko test DNA. XX = kobieta, XY = mężczyzna. Krótko i zwięźle, jak w informatyce :)

  2. Wie ktoś, gdzie można ta bazę kupić. Mam pomysł, jak dorobić używając serwisu z dokumentami kolekcjonerskimi

    • Mozna kupic na czarnym rynku. Dzis rano widzialem, sprzedawal facet kolo 30 w kozuchu.

  3. To jest skandal. W sytuacji gdy tak wrażliwe dane wystarczają często do wzięcia kredytu to ich utrata/wyciek powinna skutkować potężnym odszkodowaniem. Kiedy w końcu zostanie to w tym kraju prawnie uregulowane?

    • Wycieki danych sa powszechne, nie do opanowania. To BANKI i im podobne instytucje winny odpowiadac za to, ze dały się oszukać – maja ku temu środki i mozliwości – a nie klient, powierzajacy im swoje pieniadze i będacy źródłem zarobków tychże banków.

  4. Zastanawiam się nad podstawą prawną gromadzenia nr PESEL do loterii. Już sam ten fakt zasługuje na ukaranie miasta Gdańsk.
    A informowanie poszkodowanych o17 przed majówką to już zbrodnia a nie przestępstwo. Oczywiście złamano tu rodo bo nie poinformowano poszkodowanych odrazu. Ale niestety czytelnicy to wiedzą, miasto Gdańsk nie wie.

  5. link nie działa “nasz artykuł sprzed roku o tym jak przestępcy przekierowali ofierze telefon i okradli konto w banku, bo znali jej PESEL i numer telefonu”

  6. Treść maila to jakieś kpiny, informacja o tym że wszyscy zarejestrowani go otrzymali to kłamstwo, a zawiadomienie w tej sytuacji o “popełnieniu cyberprzestępstwa” przez zgłaszającego to już szczyt bezczelności!
    Tak to jest różnymi firmami-krzakami – typowe…

  7. jaykob – Policja powinna się tobą gnojku zainteresować. Pewnie nie pierwszy raz jakiś syf ludziom robisz!

  8. Ludzie, o jakim skandalu gadacie?! Przecież wasze dane są na wyciągnięcie ręki. Wystarczy że podpisaliście akt notarialny. Żadnych zabezpieczeń.

    • Elektroniczne Księgi Wieczyste – wczoraj sprawdzałem, czy jest już wpis w mojej KW i bez problemu mogłem podejrzeć PESEL i imiona rodziców każdego właściciela mieszkania w budynku i dodatkowo, jeśli ktoś ma kredyt hipoteczny, kwotę i bank, który udzielił kredytu…

  9. E tam, przeciez to jest najbardziej oczywiste w swiecie, ze te wszystkie e-urzedy i e-posrednicy w pitach i podobnych cienka jak stara lajba. Dlatego PIT nalezy skladac wylacznie papierowo, po prostu dla spokoju sumienia, ze ze swojej strony przynajmniej wszystko jest OK.

    Dopoki polskie prawo bedzie dopuszczac sytuacje “wicie-rozumicie…” (nb. sam Niebezpiecznik jest baaaardzo wyrozumialy wobec takich sytuacji, “kazdemu moze sie zdarzyc”), no to jest po prostu gwarancja wycieku.

  10. Może tylko badacz…

  11. Wygląda na to, że to jednak “badacz” a nie przestępca: https://m.trojmiasto.pl/wiadomosci/Loteria-PIT-w-Gdansku-Dane-uczestnikow-zagrozone-n134068.html

  12. @macias: to żaden pośrednik, a loteria zachęcająca do rozliczania PIT w Gdańsku. Gdańsk zmaga się z “problemem” ludności napływającej z innych części kraju (Kujawy, Warmia) i w ten sposób stara się zachęcić do rozliczenia w Gdańsku, aby zwiększyć wpływ z podatków lokalnych.

  13. “wystąpiono z żądaniem nieodtwarzalnego wykasowania pliku z danymi osobowymi przez osobę, która weszła w jego posiadanie oraz wystąpiono do niej z prośbą o zachowanie poufności danych. ”

    Hahahahahahaha

    • Fakt, w dzisiejszych czasach (nośniki SSD) “nieodtwarzalne wykasowanie” jest raczej fikcją literacką :)

    • Pytanie, czy rowniez usuneli go z przeroznyche “cache” sieciowych :) Pytanie, czy np roboty googlowe juz go nie zassaly i tak dalej. Zaraz sie okaze, ze dane rozlazly sie po swiecie i juz pozamiatane. IMHO firma powinna zostac ukarana przez UODO.

  14. A możeby wystąpić z pozwem zbiorowym w celu uzyskania słusznego odszkodowania za nienależyte zabezpieczenie danych osobowych. Czas uczyć taki firmy odpowiedzialności.

  15. Drogi Niebezpieczniku, z całą sympatią i szacunkiem, ale zajrzyj do słownika ortograficznego. Nie “Gdańszczan”, a “gdańszczan”. Nazwy mieszkańców miast piszemy małą literą, a nie dużą. Nie pokonali Was cyfrowi złoczyńcy. Sami poddaliście się słownikowi ortograficznemu…

    • kluczowa uwaga, niezbędna do całościowego zrozumienia artykułu.

    • Nie dużą, a wielką literą…. ;)

  16. Pójść do urzedu.

  17. Czy zgłosiliście do UODO wyciek? Chodzi o tego mejla na ławce. Każdy mógł go przeczytać.

  18. “Nowe informacje jakie pozyskaliśmy wciąż jednak nie wyjaśniają, przeciw komu doniesienie na prokuraturę złożyła firma Playprint Polska. ”

    Na podstawie powyzszej tresci to nalezaloby zalozyc, ze przeciwko sobie. Wlasciwie to firma zbudowala niezabezpieczone repozytorium danych osobowych, ktore nie mialo racji bytu. Karygodne niechlujstwo i brak podstawowych praktyk zwiazanych z bezpiecenstwem. Naprawde ciezko tutaj mowic o dopelnieniu obowiazku zastosowania odpowiednich srodkow bezpieczenstwa. Innymi slowy – wprost przyznali sie do zlamania prawa. Doniesienie na samych siebie zdaje sie byc zasadne :-)

  19. Błąd: “Gazeta.pl” w pierwszej aktualizacji podlinkowana jest pod tekst na portalu regionalnym trojmiasto.pl

  20. Ludzie z Niebezpiecznika powinni napisać list do naszych polityków i wyjaśnić im co się już naszykowało w naszym kraju ostatnio i co może się jeszcze gorszego stać na większą skalę.
    To się dopiero od 2 lat rozkręca. Jak nie zmodernizują prawa bankowego to będą ludzie mieć kłopoty. Jak by taj naszemu prezydentowi bądź premierowi przyszło płacić kredyt zaciągnięty w 10 bankach to może ruszyli by się z tym raz a porządnie. Np. każdy obywatel może zmieć swój PESEL.

    • To by był dopiero problem i natury technicznej, i organizacyjnej, i archiwistycznej. Wynika to między innymi z budowy numeru PESEL i powiązanych z nią ograniczeń:
      – jednego dnia w całej Polsce urodzić się może maksymalnie 5000 dziewczynek i 5000 chłopców
      – pod warunkiem, że symetrycznie pomiędzy wszystkimi nadanymi seriami (województwami, powiatami, pierun wie jak serie PESELi były nadawane i jak się te nadania zmieniały na przestrzeni lat – to wie tylko MSWiA i (chyba) GUS)
      – zakładając, że jeszcze przy okazji urzędnik nie popełni błędu (zdarzały się “zupełnie przypadkowe” nadania jednego numeru PESEL dwóm różnym osobom rejestrującym się w tym samym urzędzie albo dwóch różnych delegaturach, jeżeli te nie przesyłały między sobą informacji na bieżąco, lecz w odstępach)
      – nie zapominajmy też o tym, że od 2018 r. cudzoziemcy z prawem pobytu w PL mają z urzędu nadawany PESEL przez urząd dokonujący meldunku, a w razie braku możliwości – przez najbliższy, który ma jeszcze wolne numery. Co będzie, jak cała pula dla danej daty urodzenia się wyczerpie? Integer overflow?

    • > Co będzie, jak cała pula dla danej daty urodzenia się wyczerpie?

      Bardzo dobre pytanie, bo większość Ukraińców pracujących w Polsce to mężczyźni urodzeni w latach 1970-1995 – w tym czasie wystąpił wyż demograficzny na początku lat 80 i wolnych PESEL-i jest już bardzo mało.

  21. @Lukasz032- Struktura numeru PESEL wygląda następująco:
    RR(MM+S)DDNNNPK, gdzie:
    R- rok, M- miesiąc, S- stulecie w formie kodowanej, D- dzień, NNN- numer kolejny, P- płeć dziecka, K- cyfra kontrolna. Ponieważ w systemie mamy zakodowane tylko 5 stuleci, możemy wykorzystać jeszcze 4 cyfry do zakodowania dodatkowych osób.
    Generalnie możemy zmienić swoje podstawowe dane osobowe, czyli: imię, nazwisko, płeć, numer PESEL. Wymaga to zgody sądu i zazwyczaj jest dopuszczane tylko w skrajnych przypadkach (obraźliwe imię i/lub nazwisko, zmiana płci wymuszająca zmianę numeru PESEL, wejście pod ochronę państwa jako świadek koronny).

    • są tylko 3 przesłanki do zmiany peselu:
      -zmiana płci
      -korekta daty urodzenia
      -korekta błędnie nadanego poprzedniego peselu

      zmiana nazwiska nie pociąga za sobą zmiany peselu

      Wskrócie ujmując: numer jak w Auschwitz, tyle tylko że na skórze nie tatuują

    • Część numery po dacie urodzenia to tzw. numer nadania, nie jest ani kolejny, ani nawet monotoniczny w odniesieniu do chronologii urodzeń. MOŻE być monotoniczny w obrębie JST dysponującej danym zakresem numeracji (i zazwyczaj tak jest) ale w obrębie całego rejestru PESEL na pewno nie. Przyczyna? Zaszłości historyczne. Kiedyś dane z rejestrem PESEL synchronizowano raz na dzień, dwa dni, czasem tydzień – dlatego też (prawie) każdy urząd dysponujący prawem nadawania numerów miał swoją pulę “serii” (kombinacji pierwszych cyfr numeru nadania) spośród których mógł nadawać numery z gwarancją, że przypadkiem nie wpierniczy się przy zapisie na numer zajęty już przez inny urząd. Jak pokazuje historia, w dużych miastach to nie do końca działało, zwłaszcza gdy urzędnicy nadawali numery “na hejnał” i zdublowanych nadań trochę się trafiało, co jeszcze ułatwiała budowa rejestru na starych Jantarach. Obecnie działa to nieco inaczej, lecz też numery w zbiorze nie rosną monotonicznie.

  22. “Z poważaniem,
    Administrator Danych Osobowych
    Playprint Polska Sp. z o. o.”…………. i tyle.

    Nie ma jak ukrywać własne nazwisko tłumacząc innym (anonimowo, ale z poważaniem), że ich nazwiska właśnie wyciekły. Mentalnie prymitywne i jakże typowe dla ludzi zarządzających danymi innych. Zwykłe tchórzostwo. A może obłuda?

    Raczej tchórzostwo. Obłuda zwykle charakteryzuje ludzi na wyższych stanowiskach w tzw. biznesie.

  23. Obawiam się że to nie są dane wyborców partii rządzącej ;)

  24. Obawiam się że to nie są dane wyborców partii rządzącej ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: