9:54
18/10/2018

Z serwisu Adwokat.com wyciekła korespondencja osób, które starały się uzyskać poradę prawną online. Zawiera ona bardzo wrażliwe informacje na temat wielu spraw ponad 2 tysięcy osób i dotyczy wiadomości z ostatnich 3 lat. Tajemnica adwokacka najwyraźniej nie ochroniła informacji przed błędami programistycznymi i crawlerami Google. A co gorsza, administrator serwisu od 2 miesięcy nie zareagował na nasze e-maile w tej sprawie…

Adwokat.com to serwis oferujący porady prawne online, którzy rzekomo oferuje dostęp do  ponad 1450 prawników z 33 państw. Niestety z jakiegoś powodu na liście tych 33 państw jest tylko jedno.

Na pierwszy rzut oka serwis wygląda na profesjonalny i działający. Dostępna jest rejestracja kancelarii, różne wiadomości z branży, dział “Praca” itd. Jeśli zaczniemy bardziej uparcie klikać po stronie to przekonamy się, że nie wszystko działa (np. ogłoszeń o pracę tak naprawdę nie ma, newsy są przestarzałe).

Porady prawnicze online

Kluczową częścią serwisu jest jednak formularz zamawiania porad online.

Niestety jeśli zamówimy poradę możemy nigdy nie dostać odpowiedzi. A przecież ta prośba, często zawierająca “wrażliwe” szczegóły i tak gdzieś zostanie wysłana. I będzie przechowywana. I może wyciec. A w zasadzie, to część zapytań i danych klientów już wyciekła…

Wyciek korespondencji z Adwokat.com

Niestety, z serwisu Adwokat.com wyciekła korespondencja wraz z danymi osobowymi klientów. Problem dotyczy osób korzystających z serwisu w okresie od listopada 2015 do sierpnia 2018.

Ujawnione informacje obejmują:

  • adresy e-mail,
  • treści setek pytań kierowanych do prawników, a w nich: nazwiska, adresy, informacje o zatrudnieniu i powiązaniach z innymi osobami, historie rozwodowe, informacje o stanie zdrowia, informacje o toczących się postępowaniach… słowem wszystko co ludzie mogą ujawniać oczekując porady prawnika. Czyli dużo bardzo niewygodnych dla niektórych osób danych.

Informacje były dostępne w ogólnodostępnym pliku HTML, w formie tabeli, w której było 2288 pozycji. Część wiadomości jest jednak zdublowana, a część zawiera rzeczy nieistotne (np. spam, jak widać nawet boty szukają czasem porad prawnych ;).

O sprawie dowiedzieliśmy się w sierpniu i od sierpnia kilkakrotnie próbowaliśmy kontaktować się z administratorem serwisu Adwokat.com. Niestety na wiadomości e-mail nikt nie odpowiada, a numeru telefonu nie ma. Pozostaje kontakt pocztowy z adresem…

Adwokat.com
342 Tennyson Dr.
Oakville, Ontario
Canada
L6L 3Y9

Szczerze powiedziawszy nawet gdyby nie było tego wycieku, moglibyśmy odradzać wam korzystanie z serwisu Adwokat.com. Zagraniczny adres i brak innych realnych możliwości kontaktu to wystarczający powód, aby nie ufać sklepowi lub dostawcy usługi (por. Jak rozpoznać fałszywy sklep internetowy? Na ciekawym przykładzie…).

Adwokaci nie pamiętają tych spraw

Nie mogąc wiele zrobić z tą sprawą postanowiliśmy skontaktować się z prawnikami, do których były kierowane wiadomości ujawnione w wycieku. Adwokaci z którymi rozmawialiśmy twierdzili, że nie znają spraw ani ludzi przedstawionych w korespondencji, czyli wiadomości najwyraźniej do nich nie dotarły. Jedna prawniczka wprost zasugerowała nam, że dane adwokatów mogły być dodane do Adwokat.com bez ich wiedzy.

W najlepszym wypadku Adwokat.com to po prostu serwis-trup, którym ktoś przestał się opiekować. Domena Adwokat.com została utworzona już w 1997 roku, więc tradycję ma długą. Whois wskazuje jako abonenta pana Jacka Zielińskiego, z którym również próbowaliśmy się skontaktować. Jak dotąd bez skutku.

Reakcja UODO i zamknięcie strony

Ostatnią rzeczą jaką mogliśmy zrobić było zgłoszenie sprawy do Urzędu Ochrony Danych Osobowych. Rzeczniczka urzędy – Agnieszka Świątek-Druś – przyznała, że wcześniej nikt nie zgłaszał tej sprawy. Po naszym zgłoszeniu UODO zajął się sprawą, ale również nie miał łatwo.

Sytuacja jest poważna, gdyż za pośrednictwem tego serwisu osoby nieuprawnione mogą zapoznać się z danymi osobowymi osób chcących skorzystać z porad prawników, w tym  z informacjami objętymi tajemnicą radcowską i adwokacką. Z tego względu Prezes Urzędu Ochrony Danych Osobowych zajął się tą sprawą z urzędu i podjął już pierwsze działania. W celu doprowadzenia do stanu zgodnego z prawem będzie wykorzystywał wszelkie dostępne instrumenty.

Przypadek jest skomplikowany, m.in. dlatego, że serwer, na którym dostępny jest serwis, znajduje się w Kanadzie. Dlatego UODO chce m.in. wykorzystać fakt, że jest członkiem Światowej Sieci Egzekwowania Przepisów o Ochronie Prywatności (Global Privacy Enforcement Network – GPEN) i nawiązać współpracę ze swoim odpowiednikiem w Kanadzie.

16 października zauważyliśmy, że strona Adwokat.com została wyłączona i pojawił się na niej taki komunikat:

Korzystałem z Adwokat.com — co robić? Jak żyć?

Jeśli korzystałeś z serwisu Adwokat.com w okresie od listopada 2015 do sierpnia 2018 to znaczy, że do sieci mogły wyciec Twoje dane kontaktowe oraz pełen opis Twojego problemu. Niestety musisz zacząć traktować te informacje jako publicznie dostępne, także dla “przeciwników” Twojego sporu prawnego.

Ale nie tylko przegrana w sądzie powinna być teraz Twoim zmartwieniem. Te same dane mogą wykorzystane do różnego rodzaju oszustw oraz bardzo wiarygodnego szantażu — niektórzy w poradach mogli przyznać się do popełnienia “pewnych błędów” a nawet przestępstw.

Jeśli zaś korzystasz z innych serwisów do porad prawnych online to możemy Ci poradzić jedną rzecz — opisuj swoje problemy jak najbardziej ogólnie, bez podawania zbędnych szczegółów — dąż do kontaktu telefonicznego. W sprawach szczególnie skomplikowanych prawdopodobnie i tak będziesz potrzebował czegoś więcej niż porady online. Zachęcamy do spotkań z adwokatami. Wbrew powszechnej opinii to nie są drogie usługi (zwłaszcza po uwolnieniu zawodu ;). Przypominamy też, że na część najbardziej interesujących internautów spraw odpowiedzieliśmy w cyklu Poniedziałek z Prawnikiem (dowiesz się z niego m.in. czy pobieranie mp3 i filmów przez torrenta jest legalne, jak ścigać spamerów i serwisy które bez Twojej zgody przetwarzają Twoje dane osobowe oraz jak przygotować się na przeszukanie i co grozi Ci za “nieautoryzowane testy penetracyjne”).

W kontaktach przez e-mail z prawnikami zalecamy, aby ZAWSZE szyfrować swoją korespondencję. Ataki na kancelarie prawne się zdarzają i dane z kancelarii wyciekają i są za darmo albo za opłatą oferowane na sprzedaż (były już takie przypadki w Polsce). Niestety, niewielu prawników potrafi posługiwać się GPG, więc zip na hasło (i przesłanie hasła SMS-em, nie e-mailem!) to bardziej “zjadliwe” rozwiązanie. No chyba, że znajdziecie takiego prawnika, który potrafi obsługiwać Signala (tacy też istnieją, wiemy to).

W zasadzie, to rada dotycząca bezpiecznej komunikacji, w dzisiejszym świecie nie powinna dotyczyć tylko kontaktów z prawnikami, ale z każdym usługodawcą (no może poza kominiarzem, czy szklarzem). Poza prawnikami, Twoje dane, które mogą być cenne dla przestępców przetwarzają księgowi, lekarze i notariusze. Jeśli chcesz wiedzieć jak bezpiecznie komunikować się w internecie i dbać o swoją prywatność, to wpadnij na nasz wykład do Warszawy, Krakowa, Katowic lub Wrocławia.

Jestem prawnikiem (księgową, lekarzem) — jak chronić się przed wyciekiem danych moich klientów?

Jeśli jesteś przedstawicielem któregoś z powyższych zawodów (Księgowi, Prawnicy, Notariusze, Lekarze) i chciałbyś aby ktoś doradził Ci jak zabezpieczyć się przed wyciekami danych z Twojej praktyki i podpowiedział jak w prosty i tani sposób zwiększyć bezpieczeństwo firmowego sprzętu i sieci, to daj nam znać pisząc e-maila na stopwyciekom@niebezpiecznik.pl.

Aktualizacja 18.10.2018 g. 11:28

Pan Jacek Zieliński (właściciel serwisu Adwokat.com) skontaktował się z nami telefonicznie. Przyznał, że miał utrudniony dostęp do poczty oraz do serwisu, co mogło spowodować niefortunne opóźnienie w reakcji i w udzieleniu nam odpowiedzi.

Dowiedzieliśmy się, że serwis Adwokat.com w dotychczasowej formie nie był typową usługą komercyjną, a raczej serwisem hobbystycznym, który miał pomagać osobom zza granicy w znalezieniu prawników znających język polski. Strona została utworzona dość dawno temu i dostawca hostingu zaczął mieć zastrzeżenia do oprogramowania, którego użyto do stworzenia strony. Możliwe, że doszło także do włamania na serwer.

Pan Jacek Zieliński pracował już nad nowszą i bezpieczniejszą wersją serwisu. Niestety w tym czasie wynikły problemy ze starą.

Aktualizacja 26.10.2018 g. 13:26

Jacek Zieliński poinformował nas, że współpracuje z Urzędem Ochrony Danych Osobowych, który został przez niego powiadomiony o całej sytuacji. Dodatkowo na stronie o adresie www.adwokat.com od 25-go października 2018 zostało umieszczone oświadczenie o zaistniałym problemie i możliwości kontaktu z administratorem. W oświadczeniu na stronie napisano.

Z powodu błędów serwera, na którym był umieszczony serwis adwokat.com lub włamania na ten serwer nastąpił wyciek informacji dotyczących wstępnych korespondencji z prawnikami. Administrator 13-go października 2018 usunął wszystkie pliki z serwera, które tworzyły serwis adwokat.com by wyeliminować prawdopodobieństwo ryzyka naruszenia praw lub wolności osób, których te dane mogły dotyczyć. Zainteresowani mogą kierować pytania do administratora: Jacek Zieliński adres e-mail: admin(at)adwokat.com

Przeczytaj także:

21 komentarzy

Dodaj komentarz
  1. Na liście może i maja tylko polski, ale japoński też obsługują https://imgur.com/TGVvmty ;)

  2. W jaki sposób wyciekły te dane? Ktoś się włamał na serwer?

  3. Sugeruję zmienić poradę z wykorzystania hasłowanego archiwum zip na 7zip. To jest dużo bardziej podatne na narzędzia do łamania haseł, niż 7zip (szyfrowanie AES)

    • Szkoda czasu, to nie ma najmniejszego znaczenia.
      I tak zaraz ktoś rozpakuje i będzie współpracownikom przesyłał mailem, wrzuci sobie na laptopa (oczywiście dysk nie jest zaszyfrowany), a żeby było wygodniej to wszystko na Dropboxa lub Google Drive.
      I tak, piszę to z własnych doświadczeń z trzeba radcami prawnymi.

  4. “Niestety na wiadomości e-mail nikt nie odpowiada, a numeru telefonu nie ma”

    “Zagraniczny adres i brak innych realnych możliwości kontaktu to wystarczający powód, aby nie ufać sklepowi lub dostawcy usługi” – patrz Google :)

  5. Ciekawe hobby, takie utrzymywanie honeypota na ludzi z kłopotami prawnymi :|

    • Tutaj chyba nikt nie robił tego celowo, po prostu serwis umarł. Ale ogólnie to “niezły pomysł” :) Iście diabelski.

  6. Może i po uwolnieniu zawodu nie są to drogie usługi (tak – jak dla autora – niedrogie są produkty Apple’a), ale za to – często gęsto – bardzo niefachowe. Czyli, dokładnie tak samo, jak przed uwolnieniem zawodu. Poziom niekompetencji w tym środowisku jest p-r-z-e-r-a-ż-a-j-ą-c-y – autopsja z ponad 6 lat sporu prawnego.

    Co gorsza, zapłacenie więcej, wcale nie gwarantuje lepszej jakości – to całkowita loteria i “wolna amerykanka” (bo kontrola korporacji zawodowej nie istnieje ani teraz, ani wcześniej – poza przypadkami typu “zabił/a jadąc pp pijanemu”, rączka rączke chroni).

    Jedyny sensowny sposób – z własnego doświadczenia – to samemu przewertować adekwatne dla sprawy akty prawne, od deski do deski. Nie jest to tak trudne, jak się powszechnie wydaje, zyskujesz dodatkową wiedzę/umiejętności, a przynajmniej nikt już więcej nie wykorzystuje niewiedzy i pseud-autorytetu prawniczegp, by wciskać Ci kit. Bonusowe punkty za to, jak znienawidzą cię prawnicy strony przeciwnej ;)

    • Niby tak, też jestem zwolennikiem nauki i reprezentowania siebie w sądzie, ale można sięna tym przejechać. Warto jednak radzić się zawodowym prawnikom w kwestiach takich jak przywracanie terminu itp. Kiedyś myślałem że przegrana sprawa po kilku latach to już TRUP i AMEN … doświadczony prawnik, kasuje wyrok i przywraca całe postępowanie od początku jednym dobrym wnioskiem :)

    • To jest dokładnie tak samo jak z IT. Dla przeciętnego obywatela IT to _czarna magia_.
      I tak samo na rynku IT też możesz trafić na fuszerkę i przepłacić.
      Regulacja zawodu zmienia prawie nic, pozbądź się złudzeń.

  7. Ps.
    Tylko warto pamiętać, że wynik końcowy to i tak rzut monetą; względnie, k20 – ze względu na conajmniej równą niekompetencję referentów (sędziów prowadzących). Ta jest odrobinę zależna od “działu” (np. w sądach pracy jest nieco lepiej, podczas gdy referenci z rodzinnych z zasady nie nadają się do niczego, a najmniej – do orzekania), ale poziom ogólny to głuchy dźwięk, dobiegający spod mulistego dna.

    Wiedza (własno, lub – rzadko – prawnika) i obiektywna słuszność w sprawie to drobne +1 modyfikatory, które do wspomnianego rzutu k20 można sobie dodać, ale niewiele zmienia to wynik końcowy, zależny od “farta”.

    Jakby się ktoś zastanawiał, dlaczego u nas nie może być systemu precedensalnego – właśnie dlatego, że poziom jest tak niski. Losowość wyroków, które później stawałyby się “obowiązującą wykładnią” rozpierniczyłby system prawny szybciej, niż jakakolwiek władza ustawodawcza.

  8. @CatLady – niekompetencja to tylko jedna strona medalu. Nie można zapominać o korupcji, układach, układzikach i zwykłej czasami złośliwości (np. z powodów rasowych/religijnych). Niestety, przykładów znam sporo.

  9. Wpadka jak wpadka, ale to tłumaczenie mnie rozwaliło… serwis “nie był typową usługą komercyjną, a raczej serwisem hobbystycznym”.

    Hobbistycznie, to można sobie stronę o jedwabnikach prowadzić. Albo bloga o siedzeniu Maryny. Tutaj, operując na danych wrażliwych, objętych tajemnicą adwokacką, to jest jest kryminał.

    Ciekawe, co na to słynne RODO/GDPR. Chyba szykuje się jedna z większych kar na rodzimym rynku?

    • Również odniosłem wrażenie, że to tłumaczenie autora jest z siedzenia Maryny właśnie. Tak naprawdę hobby polegać miało chyba na kuszeniu udzielaniem porad jakie miały nigdy nie zostać udzielone, bo chodziło głównie o wpłaty. Obym się mylił.

  10. Wejdźcie na pierwszą z brzegu stronę dowolnej kancelarii adwokackiej. Znajdziecie formularz kontaktowy, a strona jest bez HTTPS.

    • Zaciekawiłeś mnie, ale krótki research pokazał, że to jednak w dużym stopniu minione czasy. Być może RODO przemówiło do osób z tej branży. W zdecydowanej większości jest https, a tam gdzie nie ma, nie ma też formularza kontaktowego, podane są inne formy kontaktu (telefon, adres, ewentualnie mailto).
      Oczywiście na pewno da się znaleźć niezabezpieczone formularze kontaktowe, ale nie aż tak łatwo jak parę lat temu.

    • Czyli ustawiasz się w dobrym punkcie sieci, odpalasz snifer i zdejmujesz wszystko co leci.

  11. […] Wycieki danych uderzają w małe i duże serwisy. Ostatnio zdarzyło się to Facebook’owi, ale zdarza się to także mniej znanym serwisom. […]

  12. ” Niestety w tym czasie wynikły problemy ze starą.”
    kto nie miał problemów ze starą…

  13. […] Pamiętaj, że skoro na swojej stronie chronisz swój adres e-mail – to jest on zabezpieczony tak dobrze, jak zabezpieczenia które zastosowałeś. Nie powinieneś adresu e-mail podawać na innych stronach w komentarzach bądź innych publicznie dostępnych miejscach. Formularze na obcych stronach powinny natomiast być w porządku, choć nie przekonasz się o tym dopóki nie wyślesz wiadomości. A wpadki również się zdarzają. […]

  14. Ktoś ma pomysł na biznes tylko chyba nie ma środków na jego realizacje.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.