14:05
24/6/2021

Podczas gdy cały kraj mówi o (nie)bezpieczeństwie skrzynek pocztowych, w najważniejszym narzędziu polskiej e-administracji, Profilu Zaufanym, wciąż mamy poważną lukę. Pozwala ona na przejmowanie cudzych Profili Zaufanych mając imię i nazwisko oraz PESEL ofiary.

Oszuści po przejęciu Profilu Zaufanego maja dostęp do pozostałych danych o ofierze (np. tych z dokumentów tożsamości) dzięki czemu są w stanie brać na ofiarę pożyczki w bankach. Co gorsza, mają też dostęp do najbardziej wrażliwych informacji, np. tych o zdrowiu, a niestety, po takim wycieku ofiara ma kłopot gorszy niż po wycieku hasła. Danych osobowych nie zmieni na inne, tak łatwo jak zmienia się hasła…

Wydział Cyfryzacji KRPM odpowiedzialny za Profil Zaufany ciągle “rozważa usunięcie” luki, która na to nadużycie pozwala, chociaż my na alarm bijemy od ponad pół roku, a ofiar przybywa…

Profil niezaufany

W listopadzie anno pandemini 2020 pisaliśmy o tym, że możliwe jest przejęcie czyjegoś Profilu Zaufanego i wykorzystanie go np. do wzięcia pożyczki na czyjeś dane.

W czym problem?
Jeśli logujesz się do Profilu Zaufanego przez bank “A” i założysz konto w banku “B”, możesz od razu uruchomić dostęp do profilu przez bank “B”. Ta operacja nie będzie wymagała żadnej autoryzacji przez bank “A”. Jeśli więc ktoś założy konto na Twoje dane w banku obsługującym Profil Zaufany, może ustanowić logowanie do Profilu Zaufanego przez bank “B”, a Ty nie będziesz w stanie tego powstrzymać.UWAGA: Nie stracisz możliwości logowania się do profilu przez bank “A”. Tylko podpisanie wysyłanych dokumentów będzie wymagało kodu jednorazowego z banku “B”, więc nawet jeśli teraz możesz zalogować się na swój PZ przez swój bank to wcale nie oznacza, że ktoś inny nie może się zalogować przez inny bank! Po zmianie metody autoryzacji użytkownik dostaje na szczęśćie powiadomienie mail i SMS, ale problem w tym, że łatwo takie powiadomienie zignorować lub zareagować na nie zbyt późno.

Najgorsze, że wykorzystanie tej luki nie wymaga założenia na czyjeś dane konta w banku. Do Profilu Zaufanego można też logować się przez Envelo, czyli przez usługę Poczty Polskiej. Z tej metody najchętniej korzystają oszuści ponieważ weryfikacja na poczcie nie wydaje się szczególnie mocna. Jak już wyjaśnialiśmy, oszust może się posłużyć fałszywym dowodem z dowolnie wygenerowanym numerem ponieważ Poczta Polska nie sprawdza zgodności numeru dowodu z Rejestrem Dowodów Osobistych a spodziewamy się też, że w niektórych przypadkach w ogóle nie musi mieć dowodu, nawet tego fałszywego.

Kiedy ostatnio pisaliśmy o tym problemie, Poczta Polska stwierdziła, że skala wyłudzeń nie jest duża, a w reakcji na problem wprowadzono “ponadnormatywne” procedury. Niestety te procedury nie powstrzymały kolejnych przejęć profili.

Smutna historia Wiktora

Wiktor (imię zmienione) stał się ofiarą takiego przestępstwa w kwietniu 2021r. . Dostał maila i SMSa o tym, że zmieniono metodę autoryzacji do jego Profilu Zaufnego. Wiktor zignorował maila sądząc, że ma to związek z przekształceniami własnościowymi banku, w którym miał konto i przez który logował się do PZ.  Minęło kilka dni, przyszedł maj i Wiktor natknął się na opisy takich oszustw i m.in. na nasz tekst o historii Kajetana. Zorientował się, że ktoś mógł wyłudzić dostęp do jego Profilu (brawo za czujność!). Podjął więc działania opisane w naszym tekście.

Wiktor z pomocą naczelnika urzędu pocztowego doprowadził do ustalenia i zablokowania konta Envelo wyrobionego na jego dane. Założył konto w BIK i następnie postanowił usunąć Profil Zaufany i tutaj trafił na problem będący jednocześnie ciekawostką:

Do usunięcia profilu potrzebne jest hasło, które wysyłane jest na numer podany w profilu. Numer nie był mój więc zadzwoniłem na infolinię z pytaniem, jak usunąć taki profil? Wytłumaczyłem co się stało itd. Należało najpierw przedłużyć ważność istniejącego profilu – podczas tej operacji można zmienić dane kontaktowe. Dopiero wtedy można usunąć profil – bo podany będzie już właściwy numer telefonu do SMSa autoryzacyjnego.

Wydawało się, że to koniec gehenny, ale niestety, w połowie maja z BIK przyszły trzy alerty. Oszust próbował wyłudzać pieniądze na dane Wiktora m.in. w Aliorze  i BNP. Tutaj mamy lekką zbieżność z opisaną wcześniej historią Kajetana, gdzie też był wątek Aliora.

Banki i wyłudzenia przez Profil Zaufany

Wiktor zaczął kontaktować się z bankami w celu zgłoszenia wyłudzeń, ale nie miał łatwo.

W BNP Paribas udało mi się zablokować wypłatę pieniędzy z zaakceptowanej już karty kredytowej – tylko i wyłącznie dzięki rozsądkowi Pani dyrektor oddziału, która nie zareagowała standardowym zwrotem „Pan ma zastrzeżony dowód osobisty – nic nie mogę zrobić”

To jest bardzo ciekawy wątek. Zastrzeżenie dowodu osobistego to podstawowa reakcja obronna na wyłudzenia pożyczek, jednak osoba zastrzegająca dowód zaczyna mieć problem z identyfikowaniem się w bankach. Mimo wszystko Wiktor dowiedział się, że oszust zarówno w Aliorze jak i w Paribas konto założył autoryzując się przelewem z …GetinBanku. Jak udało mu się założyć konto w GetinBanku? Dlaczego nikt tam nie zauważył, że dowód jest podrobiony? Bardzo dobre pytanie!

Dostałem też informację z Centralnej Informacji o Rachunkach i okazało się, że mam w Getin Banku 2 konta, ale żadne z nich nie ma numeru zgodnego z kontem, które zostało użyte do autoryzacji przelewu (…). Chciałem złożyć więc jeszcze jeden wniosek o dostęp do Centralnej informacji o rachunkach w placówce Alior Banku (tej samej od samego początku) i – o ironio, nie mogę tego zrobić, bo mam zablokowany dowód osobisty!

Była możliwość zgarnięcia oszusta?

Zapoznając się z historią Wiktora byliśmy pod wrażeniem. On doskonale wiedział co robić, działał szybko i bardzo skutecznie ustalał fakty związane z oszustwem. Nie przytaczamy jego historii w całości bo nie chcemy rozmyć najważniejszych wątków, ale Wiktor kilka razy obijał się o niesamowite absurdy. To powinno wszystkim uświadomić jedno – osoba inteligentna i świadoma dostępnych metod obronnych i tak miała ogromny problem z posprzątaniem tego wszystkiego, a skutki tej kradzieży tożsamości może odczuwać jeszcze przez wiele miesięcy.

A teraz najciekawszy wątek historii. Oddajmy głos Wiktorowi:

Kredyt wyłudzony w Aliorze posłużył bezpośrednio do sfinansowania zakupu (…) Okazuje się, że udane było tylko jedno wyłudzenie w Aliorze, a kolejne 5 prób zakupów ratalnych zostało już zablokowane. Co jest jeszcze ciekawe w tej sprawie to to, że fałszywe adresy korespondencyjne są albo w [MiastoX] albo w miejscowości koło [MiastaX]. Wiem też z nieoficjalnego źródła, że towar z zakupu (…) został wysłany do paczkomatu w [MieścieX], przypuszczam że był to laptop lub smartfon (…)

Do wszelkich tych informacji dotarłem sam i na dzień dzisiejszy wiem więcej niż Policja, która praktycznie nie zrobiła nic oprócz skontaktowania się Envelo. A tak naprawdę mieli oszusta podanego na tacy: zakup był w [data] podałem im identyfikator przelewu (…), znali numer telefonu. Wystarczyło skontaktować się ze sklepem i InPostem i zgarnąć gościa przy paczkomacie…

Co na to gestor Profilu Zaufanego?

Od czasu opublikowania ostatniego artykułu na temat tego problemu, kilkakrotnie pytaliśmy o sprawę wydział cyfryzacji KPRM. Pisaliśmy też do Centralnego Ośrodka Informatyki (COI). Po kilka razy zadawaliśmy te same pytania.

1. Czy KPRM ma jakiekolwiek dane dotyczące zjawiska, jakim jest złośliwe przejmowanie profili zaufanych? Czy wiadomo jak często może się to zdarzać i w jaki sposób najczęściej?

2. Jakie jest stanowisko KPRM wobec pomysłu, aby każdorazowo zmiana metody autoryzacji PZ (np. z jednego banku na inny albo z profilu bankowego na Envelo) wymagała uprzedniego potwierdzenia zmiany uprzednio używaną metodą autoryzacji? O ile jest to możliwe? 

3. Czy zdaniem KPRM potwierdzanie PZ na poczcie można uznać za bezpieczne, skoro opiera się jedynie na weryfikacji imienia, nazwiska i PESEL-u, bez potwierdzania innych danych?

Najważniejsze było pytanie nr 2 ponieważ dotyczyło istoty problemu. Naszym zdaniem zmiana sposobu autoryzacji powinna być… hmm.. autoryzowana. Oczywiście, każdy obywatel może w pewnym momencie utracić dostęp do danego banku, ale czy wówczas ten obywatel nie powinien się udać do urzędu by “odblokować” profil? Byłaby to pewna niedogodność, owszem, ale przecież Profil Zaufany daje dostęp do przerażającej ilości danych o człowieku i pozwala w jego imieniu dokonywać czynności urzędowych. Proces uwierzytelniania przy takiej usłudze nie powinien przedkładać wygody ponad bezpieczeństwo. Zresztą dałoby się niewygody uniknąć, jeśli obywatel posiadałby nowy dowód osobisty z warstwą cyfrową. Wtedy wszystko można by było załatwić online.

Mając czyiś Profil Zaufany oszust może także:

Kilka razy ponawialiśmy te pytania i wysyłaliśmy je pod różne adresy osób, które coś mogłyby powiedzieć. Dostawaliśmy obietnicę odpowiedzi, ale nic poza tym. Wreszcie zadzwoniliśmy do KPRM i telefonicznie zadaliśmy proste pytanie: “Czy KPRM ma zamiar to komentować, czy po prostu wyda nam jasną deklarację, że problem nie istnieje i nie ma się czym przejmować?”. Niedługo po tym telefonicznym pytaniu dostaliśmy odpowiedź.

Zanim zacytujemy odpowiedź w całości, pozwolimy sobie na przytoczenie najważniejszego – naszym zdaniem – akapitu.

Po przeprowadzonej analizie udokumentowanych zdarzeń mających miejsce w 2021r., zdecydowano, że zostaną przygotowane zmiany, które w efekcie nie pozwolą na powiązanie istniejącego profilu zaufanego z systemem banku lub przedsiębiorcy bez użycia dodatkowego czynnika uwierzytelniania. Niestety będzie to oznaczać trudności dla osób, które utraciły telefon komórkowy, zmieniły numer telefonu komórkowego lub bank, ale uprzednio nie zmieniły odpowiednich danych w swoim profilu zaufanym. Zakłada się też, że osoba posiadająca dowód osobisty z warstwą elektroniczną zawsze będzie mogła zdalnie zalogować się do swojego profilu zaufanego. Warto mieć taki dokument.

Nie możemy jednak podać terminu wprowadzenia i szczegółów przygotowywanego rozwiązania.

Czyli będzie naprawione, ale nie wiadomo kiedy. Teraz przytoczmy pełne odpowiedzi na pytania.

Niebezpiecznik.pl: Czy KPRM ma jakiekolwiek dane dotyczące zjawiska, jakim jest złośliwe przejmowanie profili zaufanych? Czy wiadomo jak często może się to zdarzać i w jaki sposób najczęściej?

Cyfryzacja KPRM: System profil zaufany zawiera mechanizmy bezpieczeństwa, w tym chroniące przed nieautoryzowanym dostępem i próbami kradzieży tożsamości. System jest stale monitorowany, a wszystkie incydenty bezpieczeństwa podlegają analizie.  Oczywiście wszelkie zgłoszenia zakwalifikowane jako incydenty bezpieczeństwa (w tym zgłoszone przez samych użytkowników jak również przez policję lub prokuraturę) są rejestrowane w elektronicznym systemie zarządzania dokumentacją.

W przypadkach, gdy jest to potrzebne przeprowadzana jest kwerenda systemu pod kątem przygotowania szczegółowych danych dla policji lub prokuratury, które mogą być przydatne w śledztwie i ułatwić ujęcie przestępcy. Przekazywane są także wyjaśnienia dla użytkowników.

Ze względu na niewielką liczbę takich spraw zarejestrowanych w KPRM nie jest obecnie możliwe oszacowanie na tej podstawie w jaki sposób najczęściej przestępcy potwierdzają tożsamość w celu uzyskania cudzego środka identyfikacji elektronicznej (kradzieży tożsamości, o której mowa w art. 40a i 41a ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz.U. z 2020 r. poz. 1173).

Niebezpiecznik.pl: Czy zdaniem KPRM każdorazowo zmiana metody autoryzacji PZ (np. z jednego banku na inny, albo z profilu bankowego na Envelo) nie powinna wymagać uprzedniego potwierdzenia zmiany uprzednio używaną metodą autoryzacji?

KPRM: Wymuszenie potwierdzenia wcześniej stosowaną metodą autoryzacji przy zmianie tej metody w przypadku wiązania istniejącego profilu zaufanego z systemem banku, choć możliwe technicznie, nie jest oczywiste.

Przepisy art. 20c ust. 1 pkt 3 Ustawy z dnia 17 lutego 2005 r. o informatyzacji podmiotów realizujących zadania publiczne (Dz.U. 2020 poz. 346) mają na celu ułatwienie dostępu do profilu zaufanego przy jednoczesnym zachowaniu bezpieczeństwa użytkowników.

Zakłada się, że skoro system teleinformatyczny banku krajowego lub innego przedsiębiorcy (dalej podmiotu niepublicznego), w którym wydaje się środki identyfikacji elektronicznej spełnia warunki określone w przepisach wydanych na podstawie art. 20d ustawy, to system ten daje wystarczającą pewność tożsamości użytkowników pozwalającą na uzyskanie profilu zaufanego.

Właściwe wyważenie pomiędzy dostępnością środków identyfikacji elektronicznej zwłaszcza w zakresie potwierdzania tożsamości przed wydaniem takiego środka, jak również późniejszego wygodnego ich używania i zapewnieniem odpowiedniego poziomu bezpieczeństwa takiego środka i rozliczalności działań użytkowników zwykle ulega zmianom. Takim zmianom podlega także profil zaufany.

Po przeprowadzonej analizie udokumentowanych zdarzeń mających miejsce w 2021 r., zdecydowano, że zostaną przygotowane zmiany, które w efekcie nie pozwolą na powiązanie istniejącego profilu zaufanego z systemem banku lub przedsiębiorcy bez użycia dodatkowego czynnika uwierzytelniania. Niestety będzie to oznaczać trudności dla osób, które utraciły telefon komórkowy, zmieniły numer telefonu komórkowego lub bank, ale uprzednio nie zmieniły odpowiednich danych w swoim profilu zaufanym. Zakłada się też, że osoba posiadająca dowód osobisty z warstwą elektroniczną zawsze będzie mogła zdalnie zalogować się do swojego profilu zaufanego. Warto mieć taki dokument.

Nie możemy jednak podać terminu wprowadzenia i szczegółów przygotowywanego rozwiązania.

Niebezpiecznik.pl: Czy zdaniem KPRM potwierdzanie PZ na poczcie można uznać za bezpieczne, skoro opiera się jedynie na weryfikacji imienia, nazwiska i PESEL-u, bez potwierdzania innych danych?

KPRM: Każde potwierdzenie tożsamości za pośrednictwem systemu podmiotu niepublicznego wymaga przesłania imienia (imion), nazwiska, nr PESEL, adresu poczty elektronicznej i numeru telefonu komórkowego. Oznacza to, że z rejestrem PESEL weryfikowany jest zastaw danych imię (imiona), nazwisko i nr PESEL – bez względu na to, czy profil zaufany jest potwierdzany w punkcie potwierdzającym czy w inny sposób (system Envelo, system banku, kwalifikowany podpis elektroniczny, dowód osobisty z warstwą elektroniczną). Powyższe wynika z przepisów powszechnie obowiązującego prawa. Dlatego sugerowane przez Państwa w pytaniu „potwierdzanie PZ na poczcie” wydaje się niejasne, gdyż sugeruje, że akurat poczta stosuje niewłaściwe procedury potwierdzania tożsamości (przyp.red – różnie bywa na Poczcie).

W każdym z licznych punktów potwierdzających bezpośrednio profil zaufany, jak również w każdej placówce poczty potwierdzającej konto zaufane Envelo, jak również w każdym z banków (w tym kilkuset banków spółdzielczych) może pojawić się przestępca posługujący się fałszywym dokumentem tożsamości. Odpowiedź na Państwa pytanie nie dotyczy zatem tylko poczty, ale tych wszystkich miejsc.

W powyższym kontekście ponownie warto podkreślić podnoszony często problem zrównoważenia zakresu przetwarzanych danych osobowych do niezbędnego minimum. Im większy zakres danych jakim miałby być weryfikowany przez osobę potwierdzającą tożsamość przed wydaniem środka identyfikacji elektronicznej tym bezpieczniej. Z drugiej strony to nie znajomość określonego zestawu danych o innej osobie daje pewność, że jest ona osobą, za którą się podaje.

Prowadzone są już wstępne prace nad zmianą przepisów, które nie tylko pozwolą, ale być może nakażą podmiotom potwierdzającym tożsamość przed wydaniem środka identyfikacji elektronicznej lub kwalifikowanego certyfikatu podpisu elektronicznego weryfikację określonych danych w rejestrach publicznych.

Oczywiście trudno obecnie przesądzić o ostatecznym kształcie rozwiązania, gdyż będzie ono musiało zapewnić właściwe wyważenie pomiędzy potrzebą ochrony danych osobowych i bezpieczeństwem środków identyfikacji elektronicznej, jak również znaleźć oparcie w przepisach prawa.

Co robić? Jak żyć?

Zaczniemy od porady, której się tutaj nie spodziewacie. Wyróbcie sobie paszport jeśli jeszcze go nie macie. W ten sposób będziecie mogli identyfikować się w bankach nawet po zastrzeżeniu dowodu osobistego. Zmieńcie też dowód osobisty na taki z warstwą elektroniczną, bo ułatwi zarządzanie Profilem Zaufanym w kryzysowych sytuacjach.

Poza tym uważajcie na powiadomienia dotyczące zmian na waszych Profilach Zaufanych. Mogą one oznaczać oszustwo.

W takim wypadku jak najszybciej trzeba zmienić ustawienia autoryzacji na takie, nad którymi mamy kontrolę. Warto rozważyć zastrzeżenie swoich danych w BIK lub włączenie alertów (uprzedzając komentarze, tak, wiemy że to nie jest doskonała ochrona, ale lepszej nie ma). Można również sprawdzić się w BIG-ach by mieć pewność, że nie było dziwnych zapytań o nasze dane (istnieje możliwość zrobienia tego bezpłatnie dwa razy do roku).

W Polsce nie ma centralnego systemu, ani nawet procedury, do zarządzania kradzieżą tożsamości — ofiary muszą sobie radzić same. Aktualnie wymaga to wykonania ok. 14 czynności aby zapobiec negatywnym skutkom wyłudzeń, które mogą przyjąć formę długu a nawet zablokowania kont w bankach i zostania bez dostępu do swoich pieniędzy. Nie mówiąc już o stresie i stracie czasu a także kosztach, które trzeba będzie ponieść aby sfinansować porady prawne w niektórych przypadkach.

Jakiś czas temu przygotowaliśmy godzinny wykład dla osób, które stały się ofiarą wycieku danych a także dla tych, które chciałyby się przed takim wyciekiem za wczasu maksymalnie zabezpieczyć. W ramach tego wykładu w szczegółach przechodzimy przez wszystkie dostępne na rynku usługi “antyfraudowe”, rozważając różne scenariusze “ofiar kradzieży tożsamości” oraz “ofiar pożyczkowych”. Na praktycznych przykładach pokazujemy co zrobić, jeśli podejrzewasz że Twoje dane wyciekły lub na taki wyciek chcesz się najlepiej przygotować.

Dziś, ale tylko do końca dnia z kodem PEZET do nagrania tego wykładu możesz uzyskać dostęp za połowę ceny (dostęp otrzymasz na 30 dni). Kod trzeba wpisać tutaj.

Niestety nieposiadanie Profilu Zaufanego nikogo przed niczym nie uchroni. Oszust zawsze może go założyć ofierze przez Envelo, a zatem lepiej mieć Profil Zaufany by ewentualnie dostać powiadomienie o tym, że się go już nie ma… ;)

Aktualizacja 25.06.2021 9:32

Niektórzy z Czytelników pytają nas, czy da się zapobiec przejęciu profilu po następującej zmianie ustawień. W Profilu Zaufanym wchodzimy w “Szczegóły konta”, a następnie klikamy “edytuj”.

Uzyskujemy dostęp do następujących opcji.

Rozsądek podpowiada, że wyłączenie opcji “Logowanie za pomocą zewnętrznego dostawcy tożsamości” powinno nas uchronić przed problemami. Niestety nam udawało się logować na Profil Zaufany przez bank po wyłączeniu tej opcji, zatwierdzeniu zmian i wylogowaniu się.  Z kolei nasz Czytelnik miał lepsze doświadczenia – po zmianie tych ustawień sprawił, że logowanie z banku nie było możliwe.

 

Czyli to ustawienie u jednych zadziała zgodnie z logiką, u innych nie. Być może wygląda to różnie w zależności od różnych zmiennych np. sposobu założenia konta, okresu w jakim zostało założone oraz tego, czy ustalano do niego więcej niż jedną metodę logowania i in. Jak dotąd przeprowadziliśmy testy na dwóch trzech kontach i na dwóch udało się zalogować na Profil Zaufany przez bank, choć wedle ustawień nie powinno to być możliwe. Trzeba również sprawdzić jak to wygląda w przypadku kont, które zostały założone w urzędzie, ale potem zostały unieważnione po założeniu profilu przez bank (takie coś było możliwe tzn. posiadając profil potwierdzony w urzędzie możliwe było założenie nowego przez bank, z automatycznym unieważnieniem starego). Sprawdzamy to…

Przeczytaj także:

126 komentarzy

Dodaj komentarz
  1. A jak się sytuacja ma w przypadku PZ potwierdzanego w urzędzie? Również można go przejąć przez konto w banku?

    • tak

    • Niebezpiecznik, można to potwierdzić? Sam mam PZ nadany “z urzędu” zanim jeszcze była w banku taka możliwość.

    • @Kamil Sam sprawdziłem i rzeczywiście konto w banku wystarcza do przejęcia „urzędowego” PZ. Po cholerę mi potwierdzanie logowania kodem SMS, jak wystarczy lewe konto w banku żeby je obejść? Tu już nawet phishing nie jest potrzebny.

    • Nie można, opcja “Logowanie za pomocą zewnętrznego dostawcy tożsamości” nieistnieje.

    • sprostowanie, tzn rejestracja video sprawia, że opcja “Logowanie za pomocą zewnętrznego dostawcy tożsamości” nie istnieje, jak to jest w przypadku rejestracji przez bank nie wiem.

    • @zrobilemtoinaczej Więc tak:
      Mój PZ potwierdzałem w urzędzie. Dzisiaj pierwszy raz wybrałem logowanie przez bank i bez żadnego problemu się zalogowałem.

  2. Już kiedyś zwracałem na to uwagę, że taki sposób przypisania jest z gruntu wadliwy.
    Miejmy nadzieję, że zmiany zostaną wprowadzone szybko, a co najważniejsze będą skuteczne.

    Inna sprawa, że banki powinny za tworzenie kont bez wystarczającej weryfikacji płacić grubą kasę każdej osobie poszkodowanej. Gdyby takie sprawy kosztowały ich dziesiątki tysięcy i więcej, to może by się coś zmieniło w “procedurach”.

    • Jesteś pracownikiem banku, masz plany sprzedażowe 3-krotnie wyższe niż możliwe do zrealizowania, to zakładasz konta, uruchamiasz kredyty…

    • Dokładnie. Ogólnie uważam, że to na bankach powinna ciążyć odpowiedzialność rzetelnego sprawdzenia komu np. daje kredyt i jeśli się pomyli to niech sam się martwi wkońcu to oni dali się oszukać. A wystarczyłoby oprzeć weryfikację na technologii blockchain (bitcoin itp.) aby wyeliminować tego typu problemy.

  3. A czy warto mieć konto zaufane Envelo, żeby oszust nie mógł go założyć za nas?

    • Podbijam pytanie.

    • No właśnie, ważne pytanie. Bo jeśli to wystarczy, to przynajmniej ten wektor ataku można zneutralizować.

    • Nie. Chyba nawet niebezpiecznik opisywał, że można nowym wyrobieniem w okienku nadpisać stare wyrobienie. Mówisz że zapomniałeś hasła albo zmieniłeś telefon.

  4. Banki mają w dupie KYC, zamiast weryfikować po biometrycznym paszporcie/dowodzie osobistym oni puszczają oszustów na kolekcjonerskie dowody, pozwalają otwierać konta i okradać obywateli na miliony.

    • Biometrią dopiero staruje ale coś nie może wystartować…

  5. To może niech zaczną wymagać klucza U2F do konta skoro osoba korzystająca z PZ potrafi nim się posługiwać? Skoro brak odpowiedzialności karnej dla osób, które pozwalają na wyłudzania przez błędy w procedurach/systemach.

    • Banki wycofują się z tokenów sprzętowych, bo im podobno ustawa nie pozwala na ich stosowanie: bit.ly/3zUwd1M

      To ma rzekomo podnieść bezpieczeństwo!

    • Nie ustawa im blokuje, tylko pazerność! Na napisanie dziurawej apki na androida wystarczy student! Na zaimplementowanie technologi synchronizowania tokenów sprzętowych niezbędna jest kasa i to nie mała i każdego roku! Pchanie klientów w apki czy sms-y to w mojej ocenie dziadersowanie biznesowe. Jak ktoś zgubi, bo mu zajumali tego-phona, to jak ma zablokować swoje konto w banku przed wyczyszczeniem? A nawet jak nie zajumają, to użyszkodnik sam zainstaluje “superaśną” apkę i przy okazję tonę badziewia do przejmowania lub przekierowywania danych. W tokenie nie da się doinstalować żadnego badziewia, bo to urządzenie z założenia zamknięte, bez gniazd i anten oraz nierozbieralne bez zniszczenia! Zgubić tez można, tylko na co to komu jak token jest tylko częścią hasła? Były piękne tokeny firmy RSA, ale bank wymienił na chińszczyznę z ekranikiem do czytania QR-kodu. I fajnie, gdyby nie PRZYMUS pracy wyświetlacza w trybie pełnego kontrastu! Włączenie np. trybu nocnego, powoduje że super bajer made in china nadaje się jako przycisk do papieru! Nazwy banku nie podaję, bo nie lubię się znęcać nad ułomnymi technologicznie.

  6. >Wystarczyło skontaktować się ze sklepem i InPostem i zgarnąć gościa przy paczkomacie…

    Wyjątkowo smutne. Ale w PL nie takich rzeczy nie da się zrobić.

  7. Nie tylko reprezentanci narodu nie potrafią wprowadzić credit freeze, a wręcz tolerują dziurawe procedury pozwalające na kradzież nie tylko pieniędzy, ale nawet mieszkań. To nie są trudne sprawy. Powinno dać się to rozwiązać w kilka miesięcy.

    Zasada powinna być prosta: każdy ma możliwość wprowadzenia credit freeze na umowy ratalne, kredyty, sprzedaż nieruchomości – wszystkie lub wybrane, itd. poprzez wizytę w swoim banku/bankowość elektroniczną. Odwołanie wymaga wizyty w urzędzie marszałkowskim i dokładnego przetrzepania. Procedura odwołania jest nagrywana i archiwizowana a w przypadku błędnego przyjęcia dyspozycji wszelkie roszczenia cedowane są na podmiot, który anulował credit freeze, który może wystąpić z regresem do swojego pracownika. Do tego publiczne API do sprawdzania po peselu + haśle, które podawałby obywatel starający się o kredyt. PRzy odpowiednio dobrej weryfikacji nawet nie musiałoby być generowane losowo.

    Podobnie z innym powszechnym problemem: z trudnościami w namierzeniu przestępców mimo dysponowania nagraniem. Wystarczy minimalna modyfikacja KC wyłączająca ochronę wizerunku w przypadku utrwalenia go w momencie popełniania przestępstwa lub wykroczenia. Jeden dzień procesu ustawodawczego.

    Jak tu normalnie żyć, kiedy państwo nie dba o takie podstawowe sprawy?

    • Dwie sprawy, raz: dlaczego marszałkowski, a nie gminy? Dwa: o przestępstwie decyduje sąd i on może zezwolić na upublicznienie wizerunku, zmiany nie są potrzebne.

    • Sąd decyduje o tym czy dany Kowalski popełnił przestępstwo.
      Jak np. twój samochód zniknął i masz nagranie z kamery na którym zamaskowany silny człowiek wybija dziurę w drzwiach samochodu, podnosi go nad głowę i odbiega w nieznanym kierunku to (jeżeli gościa nie znajdą) to żaden sąd się nie spotka z tobą żeby oświadczyć, że “przestępstwo zostało popełnione”.

    • @Adam Sąd nie decyduje o przestępstwie. Sąd orzeka o winie. Samo popełnienie przestępstwa jest faktem obiektywnym.

  8. Moim zdaniem – jesli ktos tylko ma taka mozliwosc – to wlasciwie bylo by potraktowac tego typu sytuacje jako prace przymusowa i dokumentowac jak kazda normalna prace. Godziny (w trudnych warunkach), koszty, naduzycia pracodawcy itp. itd. a potem:
    – Pozywac panstwo polskie.
    – Pozywac poczte.
    – Pozywac banki.

    Potem tylko uczciwie zaproponowac, zeby sami oplacili wygenerowane przez zaniedbania i bezprawne dzialania koszty (o podzial moga sie zrec miedzy soba) a jak sie nie godza pozywamy o koszty zwiazane z poprzednimi procesami i tak na okraglo dopoki sie nie zlamia… Moze zajecie nie jest jakos szczegolnie pasjonujace ale “zarabianie” na sprawianiu zeby swiat/polska byly lepszym i bardziej cywilizowanym miejscem chyba nie jest takie zle…

    I ja wiem ze moze byc roznie i pewnie to nie bedzie dzialalo tak fajnie, ale sa generalnie dwie mozliwosci, albo prawo jakos funkcjonuje albo jest patologia w ktorej karą za kradzierz 100’000 jest mandat na 50’000 (czyli zlapany zlodziej jest+50k do przodu nawet jak go zlapia) i takiego prawa nie ma sensu przestrzegac – a paradoksalnie, przestepcy zeruja glownie na przestrzeganiu prawa przez swoje ofiary, “bo kazdy musi kiedys spac”…

    • “Pozywac panstwo polskie, Pozywac poczte, Pozywac banki.” i nic z tego nie wyjdzie. Bo są uzna że poszkodowany nie poniósł ostatecznie szkody, bo mu bank umorzył fałszywy kredyt i nie ma za co przyznać odszkodowanie. A zadośćuczynienia w Polsce przyznaje się bardzo niechętnie.

    • Po pierwsze: bank nie moze “umorzyć” dlugu ktorego nigdy u niego nie mialem, nie ma do tego prawa bo zeby to bylo mozliwe musialbym go uznac.

      Po drugie: przecierz nie chodzi o sam dlug tylko o to, ze bardzo latwo zostac w taki wrobionym i bardzo ciezko (kosztownie) sie z takiego wykrecic. Dodatkowo dochodza szkody wynikajace z samego faktu bezprawnego pozbawienia plynnosci finansowej. Ponadto dochodzi jeszcze ryzyko bezprawnego i *skutecznego* wrobienia w falszywy dlug, co uzasadnia ponoszenie astronomicznych kosztow zeby to odkrecic (klania sie symetrycznosc relacji miedzy podmiotami) ktore w bardziej racjonalnych warunkach prawnych mozna by uznac za nadmiarowe i niepotrzebne.

      Generalnie, jesli zostaniesz wrobiony w kredyt winy panstwa i banku, TO NIE TY powinnes (docelowo) ponosic tego konsekwencje, ergo caly czas, wszystkie koszta i wydatki powinny zostac zwrocone. A jesli procedura odzyskania (z winy WINNYCH) generuje koszty, to one tez powinny zostac zrekompensowane. Inaczej najbardziej podstawowa funkcja systemu sprawiedliwosci przestaje funkcjonowac (i nie mowie tutaj o sprawiedliwosci ale o praktycznym NAGRADZANIU przestepcow, bo ty nie jestes chroniony przed nieuczciwym bankiem i niekompetentnym urzedem, ale one sa chronione przed tobą…).
      I ja wiem, technicznie winny jest zawsze przestepca ale jesli zbytnio ulatwia mu sie dzialanie, i to na szkode strony trzeciej, to ewidentnie zakrawa na wspolsprawstwo…

  9. Mogli by też poprawić, aby logowanie zawsze wymagało autoryzacji w aplikacji banku (mówię to o logowaniu do profilu zaufanego przez zewnętrznego dostawcę). Obecnie inaczej to wygląda logując się na pz.gov.pl a inaczej na obywatelgov.pl w zależności na której stronie jesteśmy to raz trzeba to autoryzować w aplikacji banku a raz nie. Sprawdzone w różnych bankach.
    Swoją drogą ciekawe czemu nie można użyć profilu zaufanego np na http://www.e-sad.gov.pl tylko po pierwsze trzeba podawać wszystkie swoje dane, a po drugie brak weryfikacji dwuetapowej tak jamo jak w zus-ie. Ba zyskując dostęp do skrzynki email (o czy
    ostatnio dość głośno) można bez problemu zresetować hasło w takim ZUS i zyskać dostęp do wszystkich naszych danych. Taka sama wygląda sytuacja jak ktoś ma dostęp do naszych sms! Może tą sprawę też jakoś nagłośnicie jakoś to poprawią ? Wystarczy w sumie blokada logowania po loginie i haśle i pozostawić tylko logowanie przez profil zaufany w zus i tym e-sądzie

    Ja miałem taką sytuacje w profilu zaufanym gdzie sam mi się odłączył od banku i musiałem go założyć jeszcze raz i za 1 razem moim identyfikatorem był nr pesel, później nr pesel_1 więc tak na prawdę teraz mam 2 profile zaufane na te same dane, ale zalogować mogę się tylko na 1, bo ten pierwszy “wyparował”. Oczywiście bez żadnych powiadomień, w logach też nic nie wyglądało na to aby ktoś zyskał do niego dostęp

  10. Co do wyłudzeń danych medycznych, to polecam zobaczyć jakie dane są potrzebne do założenia karty w Diagnostyce. Ostatnio powiedziałem pani w okienku tylko nr PESEL, nr telefonu, imię i dostałem kartę bez żadnej weryfikacji. A na karcie login i hasło…

    • Przerażające jest też podawanie danych – na głos – Pani w okienku. W kraju, w którym zabezpieczenia są fikcją. Wystarczy za kimś stać i sobie te dane zapisać.

    • Pozostaje tylko w takich ‘laboratoriach’ i innych instytucjach gdzie są kolejki podawać nowy nr pesel (z generatora (: )

  11. Przeraża mnie totalna bezsilność ofiar i ogrom pracy do wykonania przez poszkodowanych.

    Nie wystarczy cyfryzacja, to proces otwarty który wymaga szybkich reakcji władz i działania. Inaczej można sparaliżować życie w kraju. Oby szybko władze się uwinęły z tematem…..

  12. Co za kraj z kartonu. W wystarczyłoby napisać na kolanie rozporządzenie, które wymaga:
    – fizycznego kontaktu z pożyczkodawcą, w celu dokładnej weryfikacji czy dowód jest prawdziwy i czy osoba na zdjęciu przypomina tę prawdziwą, w razie wątpliwości mogą zastosować dodatkową weryfikację osoby, bo jeśli nie są pewni i udzielą kredytu, oszustowi (monitoring powinien być zawsze w takim oddziale, by mordę typa było widać), to ofiara nie będzie musiała spłacać kredytu, który zaciągnął oszust.

    I po problemie. Nagle by się okazało, że prezes x firmy wręcz zabroniłby udzielania kredytów osobom, które nie są w pełni zweryfikowane, bo nie pozwoliłby sobie by firma ponosiła straty. Takie to proste, jeden magiczny trik, a w tym kraju nie potrafią tego zrobić.

  13. Nie widzę innego wyjścia jak szybkie wyrobienie sobie podpisu kwalifikowanego i zmianę opcji w PZ tylko na taką. Reszta to proszenie się o problemy

    • Ile rocznie kosztuje podpis kwalifikowany (w jakiejś naj-najtańszej opcji)?
      Rozumiem, że Dowód Osobisty w wersji z warstwą cyfrową nie oznacza, że dostajemy cyfrową podpis ważny 10 lat?

    • Tak się nie ekscytuj tym podpisem kwalifikowanym! Firmy zgodnie z polskim ustawodawstwem dopisują jako “unikalny identyfikator” podpisu kwalifikowanego TWÓJ NUMER PESEL! Można go sobie odczytać we właściwościach podpisu czyli nawet bez aplikacji do weryfikacji podpisów! Wystarczy windowsowy mechanizm wyświetlania informacji o certyfikacie! A problem się pojawił w polskiej ustawie! Unia określiła, że podpis ma posiadać unikalny identyfikator w skali świata, ale cwani polaczkowie dopisali “PESEL lub” no i firemkom w to graj! A certyfikat unikalny to można wygenerować na miliony sposobów! Tylko, że spece od cyfryzacji, zaraz bredzą o mnożeniu się różnych identyfikatorów, jakby byli ociemniali umysłowo i nie docierało do nich, że POWIELANIE do publicznego dostępu numeru JEDNOZNACZNIE identyfikującego osobę NIE POWINNO mieć miejsca. Ale to tylko Polska i określony stan umysłu! Bo albo lobbing albo lekceważenie orzecznictwa sądowego w Polsce!

  14. To co? Trzeba gonić na pocztę potwierdzić konto na envelo?

  15. Akurat posiadam konta w dwóch różnych bankach, ale do profilu zaufanego używałem tylko jednego. Jak spróbowałem zalogować się używając drugiego banku, to potrzebowałem w nim stworzyć profil zaufany, i włala! Zalogowany bez problemu i żaden email czy sms mi nie przyszedł że coś się zmieniło!

  16. > anno pandemini 2020
    jak już anno pandemini to liczymy od początku pandemii więc rok 2020 = 1 a.p. (anno pandemini 1) licząc od 2019 :P Lub być może 0 a.p. ale to już drobiazg :)

    • 5 klasa szkoły podstawowej. Nie ma na osi czasu roku 0.

    • A co z p.n.e ?

  17. @Niebezpiecznik
    > Wyróbcie sobie paszport jeśli jeszcze go nie macie. W ten sposób będziecie mogli identyfikować się w bankach nawet po zastrzeżeniu dowodu osobistego.
    Czy “Prawo Jazdy” jest wystarczające do takiej identyfikacji?

    • O ile mi wiadomo, to nie.
      Dowód muszą posiadać obywatele polscy mieszkający w kraju, paszport muszą posiadać obywatele polscy mieszkający za granicą.

    • nie, nie jest, sprawdzone jakieś 2 lata temu już :)

    • Prawo Jazdy nie jest dokumentem tożsamości więc nie wystarczy.
      Ale mogłoby być, nie? ;)

  18. Doczekaliśmy się w końcu e-dowodu. Czy już nie czas najwyższy zlikwidować te wszystkie loginy, hasła, kody SMS, przelewy weryfikacyjne itd.? Do zalogowania się warstwą elektroniczną potrzebne jest fizyczne posiadanie dowodu osobistego oraz znajomość PIN-u do podpisu, czego nie będzie posiadał ewentualny złodziej. Z kolei wyprodukowanie (działającego) kolekcjonerskiego e-dowodu wymaga znajomości klucza prywatnego!

    • >(…)Doczekaliśmy się w końcu e-dowodu. Czy już nie czas najwyższy zlikwidować te wszystkie loginy, hasła, kody SMS, przelewy weryfikacyjne itd.? Do zalogowania się warstwą elektroniczną potrzebne jest fizyczne posiadanie dowodu osobistego(…)

      Czy na pewno TYLKO tyle? Nie jest aby czasem konieczne posiadanie jakiegoś czegoś co policzy odpowiedni podpis? Jakiegoś sprzęgu między dowodem a kompem czy smartfonem? Czy czasem rzecz po prostu nie przesunie wektora ataku? Nikt nie musi atakować samego dowodu, łamać kluczy prywatnych itp. Czy nie wystarczy czasem zaatakować czytnik, driver, program czy bibliotekę na kompie, która karmi dowód danymi do podpisania? Czy dowód elektroniczny, sam z siebie, w jakikolwiek sposób informuje użytkownika o treści jaką podpisuje? Czy czasem ten punkt nie stanie się najsłabszym, kluczowym miejscem jakie będzie podlegać atakom?

      Tak na marginesie, pytanie do światłych ludzi: w systemie z dowodem elektronicznym albo kwalifikowanym podpisem, który element łańcucha sprzętowego jest odpowiedzialny za wyliczenie podpisu: samodzielnie dowód/karta, czy może czytnik/program na kompie na podstawie danych odczytanych z dowodu/karty?

    • @Tomek – podpis jest obliczany przez secure element na samej karcie. Cała idea polega na tym, że potrzebny do obliczenia podpisu klucz prywatny (lub symetryczny, ale utajniony “Card Master Key” – zależnie od technologii) nigdy nie opuszcza karty. Secure element na karcie to w dużym skrócie zabezpieczony sprzętowo procek, który posiada klucz prywatny + implementację krypto pozwalającą na obliczenie podpisu. Podobna idea działa na kartach płatniczych (EMV).

    • @Michał 2021.06.25 09:54
      No to skoro ma klucz prywatny, to jednak ten procek zabezpieczony jest nie sprzętowo, a tylko programowo, bo klucz jest generowany, a nie przypisany jak np. MAC adress na karcie sieciowej. Dlatego @Tomek dobre zadał pytanie. Jakoś to “sprzętowe” zabezpieczenie procka na karcie plastikowej do mnie nie przemawia! Dlaczego? Bo czytnik w laptopie ThinkPad bez problemu zastępuje dołączany przy zakupie czytnik USB. No to gdzie to sprzętowe?

    • Karta do podpisu zawiera własną pamięć, na której jest zapisany klucz prywatny i PIN oraz mikroprocesor, który oblicza podpis na podstawie powyższego klucza. Czytnik PC/SC jest tylko interfejsem komunikacyjnym między oprogramowaniem na komputerze a mikroprocesorem karty.

      Program na komputerze oblicza skrót/hash dokumentu przeznaczonego do podpisania i pyta użytkownika o PIN. Jedno i drugie przesyła do karty. Mikroprocesor karty najpierw sprawdza PIN a jeśli jest poprawny, oblicza podpis i odsyła go do komputera. PIN i klucz prywatny nie są NIGDZIE przesyłane poza układ samej karty!

    • @Wredny

      Klucz jest wgrywany na kartę raz, w czasie tzw. personalizacji, która odbywa się w bezpiecznym środowisku wystawcy karty (secure roomy itp.) Od tego momentu nigdy nie opuszcza karty. Złośliwy czytnik nic tu nie zdziała i nie da rady go wyciągnąć. Karta jest “self-contained” i udostępnia światu tylko wybrane usługi (np. właśnie wygenerowanie podpisu hasha po sprawdzeniu PINu), a wszelkie służące temu obliczenia kryptograficzne odbywają się na procesorze karty, a nie na czytniku czy komputerze.

      Zabezpieczenie sprzętowe dotyczy zabezpieczenia procesora i pamięci karty przed różnymi atakami sprzętowymi typu side-channel (np. podsłuchiwanie upływu elektromagnetycznego, wzbudzanie laserem). Póki co, producenci dają radę i nie są znane żadne sensowne ataki.

      Oczywiście programowa linia obrony również istnieje. Na procku karty chodzi specjalny system operacyjny (najpopularniejszy to chyba JCOP), a na nim z kolei uruchamiane mogą być aplikacje (aplety), które implementują już konkretne usługi – podpis cyfrowy, karta płatnicza, bilet miesięczny itp. Wszystko podąża za odpowiednimi standardami – odsyłam do norm ISO 7816, ISO 14443, GlobalPlatform.

    • Dziękuję za wyjaśnienia.

      Nadal jednak niepokoi mnie, chyba dość prosta w sumie, możliwość ataku podobnego do tego opisywanego przy włamach na konta bankowe. A mianowicie możliwość podsunięcia karcie do podpisu innego dokumentu niż ten, który jest prezentowany użytkownikowi przez odpowiednio “złamane” oprogramowanie. Intryguje mnie, czy, przy założeniu, że system do którego zostanie podłączona taka karta zostanie przejęty, nie ma chyba problemu ze zmuszeniem jej do podpisania czegokolwiek tak, by użytkownik o tym nie wiedział? Takie karty w żaden sposób chyba nie pokazują co podpisują, prawda?

  19. Jakby ktoś założył PZ na poczcie Morawieckiemu czy Kaczyńskiemu, to system natychmiast zostałby uszczelniony!

    • A potem jeszcze ktoś założy Kaczyńskiemu… konto w banku!

    • Myślę, że na dźwięk takich nazwisk w zestawieniu z odpowiednim imieniem pracownicy spółek państwowych magicznie odzyskują zdrowy rozsądek i zaczynają sprawdzać klienta tak, jak powinni to zawsze robić. Nawet jeśli to oddział PP w Koziej Wólce. Nawet jeśli wczoraj była tak ostra balanga, że naczelnik urzędu przyznał wszystkim podwładnym 100% podwyżki.

  20. Jestem osobą która potwierdza profile zaufane w urzędzie . Jedyna rzeczą która się ostatnio zmieniła to 3dni temu przy potwierdzaniu musiałem zaznaczyć checkboxa że znam procedurę potwierdzania PZ i otrzymałem 66stronicowy pdf jak odróżnić fałszywy dokument i sprawdzić czy osoba kłamie. Tak COI zareagowało na te incydenty.

    • Pani na poczcie is like: (╯°□°)╯︵ ┻━┻

    • Potwierdzam i dodam, że jest to instrukcja wydana przez Komendę Główną Policji. Czekam na przydział munduru ;)

    • Wrzućcie tego pdfa gdzieś do sieci, to się razem pośmiejemy z tego kabaretu.
      Skoro zrobiła go policja, to pewnie będzie się można za brzuchy trzymać ze śmiechu.

  21. Czy posiadanie kwalifikowanego podpisu elektronicznego mogłoby uchronić przed taką sytuacją?

    • Nie, bo oprócz podpisu kwalifikowanego (i zapewniającego porównywalny poziom bezpieczeństwa e-dowodu) nasze kochane państwo wciąż akceptuje starodawne metody uwierzytelniania typu loginy, hasła i kody SMS. Cały system jest tak bezpieczny, jak jego najsłabsze ogniwo!

    • Mogłoby, ale nie, bo to że masz podpis kwalifikowany, nie oznacza, że inne formy nie będą akceptowane przez banki.

  22. Z artykułu nie zrozumiałem w jaki sposób e-dowód ma mi pomóc. Może ktoś rozwinąć?

    • e-dowód zawiera certyfikaty, więc złodziejowi będzie trudno podrobić dokument.

    • Na razie nijak. Chociaż e-dowód opiera się na kryptografii asymetrycznej, o rzędy wielkości bezpieczniejszej od loginów, haseł, kodów SMS itd. to jednak stare metody uwierzytelniania wciąż pozostają dostępne. Oczywiście oszust wybierze najłatwiejszą.

  23. A ja jestem ciekaw co robił Wiktor że go dopadło takie nieszczęście

  24. Prawo jazdy nie jest dokumentem tożsamości. Jest potwierdzeniem posiadanych uprawnień.

  25. Wydaje się, że można się uchronić przed takim przejęciem PZ ustawiając jako jedyną dostępną metodę logowania “logowanie za pomocą hasła”, do którego możemy dodatkowo włączyć 2FA z kodem SMS.

    • Włączyłem uwierzytelnianie dwuskładnikowe i wyłączyłem logowanie za pomoca innego dostawcy. Czemu w opcjach konta widać mój PESEL? Nie można tego ukryć jak np dane mojej karty w planie abonamentowym Office w koncie M$? Po co ma bandzior po zalogowaniu na moje konto widzieć mój pesel? Po co w drzewie XML wysłanego odebranego pisma widnieje PESEL nadawcy? nie można tego jakoś zahaszować?

    • Zrobiłem test i wyłączyłem logowanie za pomocą zewnętrznego dostawcy (zostawiłem tylko hasło). Teraz, kiedy próbuję się zalogować przez bank, otrzymuję informację, że ten sposób logowania jest niedostępny. Wydaje się więc, że powinno to zabezpieczać przed atakiem przez Envelo.

    • “wyłączyłem logowanie za pomoca innego dostawcy”

      Jak?!!!

      W moim profilu dostawcy są ustawieni “na sztywno” i nie ma opcji bez dostawcy.

  26. Czy Wiktor z artykułu złożył skargę na opieszałość policjantów?

  27. Kiedyś stałęm się ofiara oszustwa w sklepie internetowym – chcąc szybko coś odzyskać (zrobiłem przelew na nr konta, jak i wiele innych osób) zanim zgłosiłem się na policję – starałem się zablokować stronę złodziejskiego sklepu – kontaktując się z hostingiem – olali mnie, bez policji nie mogą (dla mnie to współpraca ze złodziejami) unikajcie home.pl nazwa.pl,
    dzwoniłem do Banku na ktory numer konta wysłąłem pieniądze – też nic nie zrobili – unikajcie NestBank – współpracują ze złodziejami – jakim cudem ktoś założył tam konto (dobra -słup – ale jak się tak łątwo da to zrobić bez weryfikacji tożsamości – mordy człowieka? )
    Bank nie pomógł – zgłosiłem szybko też sprawę na policję – oczywiście reakcja była powolna – widać że tylko zawracałem im głowę. Jednocześnie strona złodziejskiego sklepu nadal była aktywna- to walczyłęm ze złodziejem ja z jednej strony – skłądałem zamówienia na towary w ilościach 9999 by wyzerować mu liczniki (prestaszop) by inni nie mogli składać zamówień, a oszust jednocześnie kasował zamówienia. Tyle mogłem zrobić – i odpuściłem. Strona sklepu była czynna jeszcze 3 tygodnie.

  28. Już od dłuższego czasu tak sądziłem ale po takim artykule utwierdzam się w przekonaniu że Państwo i Rządzący tym cyrkiem są tak nieudolni, bo jak pokazały ostanie wydarzenia nie potrafią ochronić siebie i tym bardziej nie chronią nas swoich obywateli. Wręcz mają to gdzies, obecna sytuacja i łatwość zawarcia pożyczki według określonego algorytmu wsprzyja oszustwom i wyłudzeniom gdzie na każdym kroku jest to wykorzystywane a rząd zdaje się kompletnie nie reagować na takie sytuacje. profil zaufany i ePuap ledwo działają każdego dnia, zgłoszenia kompletnie są ignorowane po pół roku dostaniesz może odp ze problem został rozwiązany (albo raczej sam się rozwiązał) i tak to wygląda a jeszcze można ukraść nam profil który administruje rząd przez ministerstwa i jeszcze się zastanawia zamiast reagować. Czy tam naprawdę pracują kompetentni ludzie? Bo naprawdę śmiem wątpić widząc cały obraz obecnej sytuacji. Jak długo jeszcze ministerstwa odpowiedzialne za ten stan rzeczy będą ignorować tak poważne w konsekwencjach rzeczy? A policja w relacji jak widać nadaje się tylko do lepienia mandatów i nie potrafi ścigać przestępców. Więc może warto zostać takim bo przecież prawo albo raczej to bez prawie sprzyja oszustom i przestępca może faktycznie nie opłaca się być prawym obywatelem.

  29. Czy jest opcja dodania autoryzacji dwuetapowej np. przez youbikey do profilu zaufanego?

    • Nie, jedyna dostepna opcja jest kod SMS. Niepredko zobaczysz mozliwosc dodawania kluczy U2F do serwisow rzadowych, samorzadowach czy w bankach.

  30. A ja cały czas nie rozumiem, dlaczego upieramy się przy logowaniach, hasłach i innych pierdołach, jak mamy do dyspozycji skrajnie trudne do złamania podpisy elektroniczne?

    Dlaczego po prostu logowania nie można potwierdzić podpisując elektronicznie (dowolną metodą, nawet licząc kod na kartce) podany przez drugą stronę tekst? Może to przecież działać też na zasadzie: hasło – odzew. Znam klucz publiczny instytucji, ona zna mój, możemy wzajemnie sprawdzić czy oba podpisy wymienionych tekstów są poprawne i gotowe? Jedyny moment ryzyka, to przekazanie klucza publicznego, ale to można załatwić tym samym urzędowym kanałem, który ustala dowód osobisty. Dla leniwych może to być klucz U2F, dla paranoików własny program na izolowanym kompie. Każdemu wedle jego preferencji.

    Głupi jestem, czy jak?

    Druga rzecz, że profil zaufany powinien być dla wszystkich, a nie tylko dla tych, którzy mają konto w banku, włączyli bankowość elektroniczną i podpisali umowę z telekomem, którą to umową chcą się podzielić z naszym państwem. Pytałem, bez telefonu i podzielenia się z państwem jego numerem z tego korzystać się nie da.

    • W Profilu Zaufanym możesz ustawić sobie tak aby logować się (i autoryzować) tylko podpisem kwalifikowanym. Co więcej, nie musisz mieć wtedy nawet potwierdzonego Profilu.

    • A podpis kwalifikowany to za friko jest? Nie stać mnie, a przynajmniej na razie na to wygląda.

    • Podpis kwalifikowany i cała otoczka wokół niego, to jeden z większych przekrętów. Patologia goni patologię. Nawet teraz, po wejściu dowodów z warstwą elektroniczną ta kuriozalna usługa wciąż rozpycha się łokciami.

  31. Bezpieczenstwo… bezpieczenstwo…. ABORCJA panie. I Lgbt+. To sa powazne tematy!

    • Nie pajacuj. Myślisz, że to jest efekt zaniedbań ostatnich lat?

    • @MadSnack 2021.06.25 11:18
      To nie jest efekt zaniedbań ostatnich lat! To efekt głupoty jaka jest “informatyka” w szkołach od pierwszej klasy podstawówki, zamiast szkół kierunkowych gdzie siłą rzeczy zbierają się zainteresowani tematyką i mający potencjał! To efekt tego, że na szczeblach wydających kasę siedziały i siedzą misie nie mające zielonego pojęcia czym różni się maglownica w routerze od maglownicy w samochodzie. Ważne, że podpisali przetarg na zakup kolejnego M$ i wystarczy! Bo wszyscy wiedzą, że w drobnych przetargach nikt nie patrzy co jest pod stołem, bo “mała” szkodliwość społeczna!

  32. Czy w opcjach Profilu Zaufanego nie ma możliwości dostosowania formy logowania? I zostawienia tylko hasła i dowodu z warstwą elektroniczną, a zablokowania możliwości logowania przez bank?

    • Byla aktualizacja artykulu.

      Rozsądek podpowiada, że wyłączenie opcji “Logowanie za pomocą zewnętrznego dostawcy tożsamości” powinno nas uchronić przed problemami. Niestety nam udawało się logować na Profil Zaufany przez bank po wyłączeniu tej opcji, zatwierdzeniu zmian i wylogowaniu się. Z kolei nasz Czytelnik miał lepsze doświadczenia – po zmianie tych ustawień sprawił, że logowanie z banku nie było możliwe.

      Czyli to ustawienie u jednych zadziała zgodnie z logiką, u innych nie. Być może wygląda to różnie w zależności od różnych zmiennych np. sposobu założenia konta, okresu w jakim zostało założone oraz tego, czy ustalano do niego więcej niż jedną metodę logowania i in. Jak dotąd przeprowadziliśmy testy na dwóch trzech kontach i na dwóch udało się zalogować na Profil Zaufany przez bank, choć wedle ustawień nie powinno to być możliwe.

  33. “…Nie stracisz możliwości logowania się do profilu przez bank “A”….”
    Nieprawda. Po zmianie banku z A na B NIE zalogujesz się na profil bankiem A.

    • Ot właśnie. Ja próbując założyć profil zaufany przez konto bankowe, dostałem informację, że ten profil DEZAKTYWUJE już posiadany wcześniej. Nie zakładałem dalej i jestem ciekaw czy to info dotyczyło wyłącznie profilu założonego wcześniej za pomocą tego samego konta bankowego czy także profilu zaufanego założonego za pomocą konta innego banku.

    • “…Nie stracisz możliwości logowania się do profilu przez bank “A”….”

      Będzie można się zalogować tylko najpierw będzie trzeba potwierdzić “utworzenie od nowa ” profilu zaufanego i znowu będzie działać logowanie przez bank A. Jako, że nie ma żadnej autoryzacji w starym banku to można to sobie dowoli zmieniać i spora część osób może nawet nie zauważyć, że potwierdziła “utworzenie” konta w profilu zaufanym. Ostatnio sam się na tym złapałem, już miałem kliknąć jak zawsze, ale patrzę coś okienko nieco inaczej wygląda niż zawsze, przeczytałem dokładnie i okazało się, że jestem na etapie potwierdzenia utworzenia profilu zaufanego a nie zwykłego logowania jak zawsze… W moim przypadku profil zaufany po prostu wyparował, składałem reklamacje i nikt nic nie jest w stanie mi powiedzieć co się stało, w logach brak innych działań niż te które sam autoryzowałem :/
      Jako, że dużo osób nie czyta co potwierdza to faktycznie zalogują się z banku A do profilu zaufanego.

    • @Wredny: nie ma znaczenia. Możesz mieć tylko jeden Profil Zaufany więc jeśli zakładasz przez bank, a masz już aktywny Profil , to system UNIEWAŻNI Ci wcześniejszy Profil Zaufany. W praktyce dla Ciebie zmienia się tylko sposób autoryzacji (na nowy bank) i dodatkowo możesz zalogować się nowym bankiem.

  34. Kod bonusowy PEZET jest jakąś reklamą rapera?

  35. “3. Czy zdaniem KPRM potwierdzanie PZ na poczcie można uznać za bezpieczne, skoro opiera się jedynie na weryfikacji imienia, nazwiska i PESEL-u, bez potwierdzania innych danych?”
    A jakie dane jeszcze mieliby weryfikować? Skoro TRZEBA okazać dowód osobisty lub paszport, a weryfikacja danych obywatela jest przeprowadzana przez Rejestr danych PESEL?

  36. Profil zakładałem za pomocą już wycofywanego SEKAP-u. U mnie nie ma opcji “Logowanie za pomocą zewnętrznego dostawcy”

    • Opcja logowania przy pomocy “zewnętrznego dostawcy tożsamości” pojawi się gdy takowego użyjesz do założenia Profilu Zaufanego (naprzykłąd założysz profil przez bank).

      Nie wiem co rozumiesz przez zakładanie Profilu Zaufanego za pomoca SEKAPu bo to określenie to jakieś kuriozum.

  37. Profil (a właściwie konto na ePUAPie) zakładałem “100 lat temu” znaczy na samym początku istnienia. W urzędzie skarbowym o ile dobrze pamiętam.
    Też nie mam opcji “logowanie za pomocą zewnętrznego dostawcy”

    Znaczy moje konto jest bezpieczne czy jeszcze bardziej niebezpieczne ?

    • Nie masz takiej opcji bo nie założyłeś Profilu Zaufanego przez zewnętrzego dostawcy tożsamości, np. bank więc równiez nie możesz się takowym zalogować. Logiczne, prawda?

    • Ale jak ktoś do zewnętrznego pójdzie (Envelo) i w twoim imieniu sobie założy PZ to taka opcja Ci się pojawi! Ale za późno :) Zresztą ona i tak nie działa.

    • U mnie opcja “Logowanie za pomocą zewnętrznego dostawcy tożsamości.” nie pojawia się ani w przypadku, gdy jestem zalogowany tradycyjnie (z użyciem 2FA), ani w przypadku, gdy jestem zalogowany poprzez bank.

  38. W moim profilu zaufanym założonym w urzędzie na ekranie przedstawionym na ss-ie nie mam w ogóle opcji „logowanie za pomocą zewnętrznego dostawcy tożsamości”.

    • Masz założony Profil Zaufany przez wizyte w Punkcie Potwierdzającym, nie przez autoryzację w zewnętrznym dostawcy tożsamości (bank), więc skąd ma się pojawić taka opcja przy logowaniu?

      Zarejestruj Profil przez bank to opcja ta się pojawi.

  39. Wystarczyło się zarejestrować przez rozmowę video. Wtedy opcja “Logowanie za pomocą zewnętrznego dostawcy tożsamości” jest domyślnie nawet niedostępna.

    • HAHAHA. Nie rozumiesz, ze jak ktos pojdzie do Evnelo to Ci sie wbije na Profil Zaufany, bo tak założony profil przejmie Twoją tożsamość? To że nie masz tej opcji niczego nie zmienia.

  40. Kiedyś mieliście serię z pytaniami do prawnika.
    Fajnie byłoby go zapytać, czy oszukany, może pozwać zarządcę epuap i liczyć na wygraną?

    Np. UODO powien wjechać na białym koniu i ch pogonić za takie procedury.

    Tylko wiadomo, uodo na swoich kar nie nakłada.

  41. Nie wiecie jak namówić KPRM do reakcji? Wystarczy uaktualnić profile zaufane paru cwaniakom stamtąd bez dalszych akcji i sami zaczną myśleć. PESEL-e tego czy tamtego znajdą się w KRS.

  42. Z tego co rozumiem to jeśli PZ zakładamy po raz pierwszy przez bank to taki PZ odpowiednio nie ma ustawionego hasła. Ja najpierw zmieniłem (ustawiłem) nowe hasło przez link ‘Nie pamiętam hasła’, potem w ustawieniach wyłączyłem ‘Logowanie za pomocą zewnętrznego dostawcy tożsamości’, włączyłem 2fa no i wygląda na to ze działa.
    Teraz gdy próbuje logować się przez bankowość elektroniczną, Alior informuje mnie że nie mam PZ i mogę to u nich założyć

    • No to załóż i zobacz czy tym sposobem wbijesz się na PZ (nadpisując logowanie przez hasło+2FA). Artykuł mówi, że tak. Chyba, że 2FA coś zmienia.

    • Jesteś mistrz. Wyłaczyłeś logowanie zewnętrznym dostawcą tożsamości (czyli bankiem) i się dziwisz że nie możesz się nim zalogować… ;)

      Nie musiałeś wcale ustawiać hasła – logujesz się tak jak się zarejestrowałeś czyli bankiem. No ale wyłączyłeś tę opcję więc pozostaje Ci logowanie loginem/hasłem lub zaptaszkowanie z powrotem odpowiedniej opcji.

  43. Czasem bardzo żałuję, że nie jestem prawnikiem… zastanawiam się czy osoby poszkodowane nie mogą złożyć wspólnego pozwu przeciw Wydziałowi Cyfryzacji KRPM ???

    Druga rzecz to czy obywatele nie mogą składać propozycji ustawy, zmian w prawie np. o tym credit freeze ?? przecież chyba zebranie podpisów wymaganych do złożenia wniosku nie byłoby problemem, przeglądając komentarze można znaleźć dużo ciekawych wpisów pomocnych w sformułowaniu propozycji regulacji.. do tego konsultacje z prawnikiem i akcja promocyjna z podpisami

    CZY niebezpiecznik.pl nie dostrzega potencjału marketingowego gdyby przeprowadził taką akcję ??????

  44. Kuriozalnie przedstawię Wam odwrotną sytuację, gdzie użytkownik – prawowity właściciel konta nie może uzyskać do niego dostępu.

    Użytkownik założył PZ w okresie, kiedy numer telefonu nie był jeszcze wymagany, a hasła autoryzacyjne przychodziły na maila. Użytkownik miał pod swoje konto podpięty certyfikat kwalifikowany, którym logował się do systemu. Ponieważ przez kilka lat logował się tylko w ten sposób – zapomniał swojego hasła. Kiedy po raz kolejny wygasł certyfikat kwalifikowany – pomimo zakupu i posiadania nowego – nie mógł zalogować się przy jego użyciu, ponieważ żeby to zrobić najpierw trzeba go załadować do systemu. Ale żeby to zrobić trzeba się zalogować przy użyciu loginu i hasła. No i teraz mamy zamknięte koło. Nie można odzyskać hasła, ponieważ opcja ta powoduje w pierwszym punkcie wygenerowanie maila z linkiem do resetowania, po kliknięciu którego wysyłany jest SMS z kodem autoryzacyjnym. Niestety system jest na tyle głupi, że pomimo iż użytkownik NIE MA przypisanego numeru telefonu do swojego konta, to “niby wysyła kod” i oczekuje na jego wpisanie. Na infolinii COI poradzono aby … założyć sobie nowe konto i że nie ma innej opcji zresetowania hasła, choćbyśmy przesłali milion potwierdzeń uwiarygodniających naszą tożsamość.

  45. Po co o tym glupcy tak dokładnie piszecie? Tak wam na sławie bardzo zależy, czy może chcecie jeszcze bardziej złodziejom podać na tacy, co mają robić ?

  46. Zakładałem przez urząd lata temu. Nie mam w ogóle tej opcji, a skoro nie mogę odznaczyć, to spodziewam się, że przy ofertach pracy za 3400 brutto, mają tam takie orły, że ich procedury pozwolą się zalogować na moje konto, nawet, jeżeli nie miałbym jeszcze żadnego konta bankowego. Czekam, aż ktoś założy konto na Jarosław Kaczyński i zaloguje się jako on, napisze coś, pobierze dane medyczne. Wówczas zablokują tę opcję, tj. nieautoryzowaną zmianę podmiotu umożliwiającego logowanie zewnętrzne. Na razie, jak widać, są tacy głupi, że nie spodziewają się, że ktoś zaloguje się/utworzy konto ich bożyszcza, a to oznacza ich wypad na kopach, a może nawet sprawy karne.

  47. Czy komuś udało się założyć konto w BIK? Nie jest to trywialne, a po podaniu wszelkich danych osobowych włącznie z numerem buta żądają jeszcze skanu dowodu z obu stron. Czy jest jakaś procedura obejścia tego (np przez PZ)? Niektóre poradniki podają że jest autoryzacja przelewem z banku, ale mnie jakoś nie pozwolili.

  48. @Jokker proszę bardzo, stare ale jare,
    Instrukcja może być praktycznym materiałem do wykorzystania zarówno w życiu prywatnym, jak i zawodowym, gdy na podstawie dokumentu sprawdzeniu podlega tożsamość innej osoby.

    weryfikacja​_autentycznosci​_dowodu​_osobistego​_25​_06​_2019.pdf 0.41MB

  49. Warto na marginesie dodać, że nowe e-dowody dają możliwość potwierdzania naszej tożsamości za pomocą fizycznego czytnika lub smartfona z NFC (ale wtedy dodatkowo musimy sobie wyrobić certyfikat podpisu osobistego oraz apkę eDO App).

    PS. Profil Zaufany to tylko proteza stworzona przed upowszechnieniem się e-dowodów. Kwalifikowany podpis elektroniczny nigdy nie zdobył w Polsce popularności ze wzgledu na cenę i inne ułomności. Jak długo e-dowód zostanie niezłamany to się przekonamy w przyszłości.

  50. Nie reagują. To należy zgłosić na prokuraturę podejrzenie popełnienia przestępstwa niedopełnienia obowiązków służbowych.

  51. “Rozsądek podpowiada, że wyłączenie opcji “Logowanie za pomocą zewnętrznego dostawcy tożsamości” powinno nas uchronić przed problemami. Niestety nam udawało się logować na Profil Zaufany przez bank po wyłączeniu tej opcji, zatwierdzeniu zmian i wylogowaniu się. Z kolei nasz Czytelnik miał lepsze doświadczenia – po zmianie tych ustawień sprawił, że logowanie z banku nie było możliwe.”
    Ja z kolei po wyłączeniu logowania za pomocą zewnętrznego dostawcy nie mogę podpisywać pism sms-ami z mbanku. co ciekawe po zalogowaniu do mbanku i podpisaniu mam komunikat z banku że pismo prawidłowo podpisano a po kliknięciu wróć do profilu zaufanego mam na czerwono komunikat że wystąpił błąd w procesie podpisania dokumentu.

  52. Ja w dniu dzisiejszym dostałem mailem komunikat z tytułem “Zmiana hasła do serwisu profil zaufany ” i dalej “Otrzymaliśmy prośbę o zmianę / nadanie hasła do serwisu profil zaufany…” i załączony link itp. Konto PZ mam założone przez bank. W historii zdarzeń brak info, prócz moich obecnych logowań. nie dostałem żadnego powiadomienia z banku jak i prośby o autoryzację. Wysłałem maila do obsługi PZ z prośbą o weryfikacje skąd takie żądanie mogło zostać wysłane.
    Jedyna metoda ustawiona na logowanie to za pomocą zewnętrznego dostawcy tożsamości. A zatem sprawdziłem szczegóły konta i sekcję “Zewnętrzny dostawca tożsamości” widnieje tu nazwa zewnętrznego dostawcy tożsamości (mój bank) oraz Nazwa użytkownika u zewnętrznego dostawcy tożsamości. Czy w przypadku nazwy użytkownika jest ona powiązana z moim bankiem czy jest to inny dostawca i należy się tym martwić?

  53. Dodam jeszcze, że nie miałem ustawionej metody logowania za pomocą hasła, dlatego sprawdziłem co się stanie gdy samemu spróbuję się zalogować za pomocą hasła. Żeby wygenerować żądanie zmiany hasła (czyli tak na prawdę uaktywnienia tej metody logowania) ktoś musiał znać Nazwa użytkownika i PESEL – a to już jest niepokojące – wówczas link został wygenerowany na maila i logowanie było możliwe (metoda logowania hasłem została automatycznie uaktywniona) ponownie ją wyłączyłem i zweryfikowałem czy rzeczywiście została ona wyłączona. Na szczęście tak. Zobaczymy co odpiszą z pomocy PZ.

  54. A ja nie mam w profilu opcji: “Logowanie za pomocą zewnętrznego dostawcy tożsamości”

  55. A czego się spodziewać po tekturowym państwie pis i nieinternetowm?

  56. “Podpiąć aplikację mObywatel i mieć dostęp do recept” – nie do końca. Dostęp jest tylko do tych recept, które zostały w systemie oznaczone jako elektroniczne. Jeżeli lekarz nie oznaczy recepty jako elektroniczna, to choćby wszyscy wierzący się modlili, to i tak nie będzie takiej recepty widocznej w mObywatel.

    • Od ponad miesiąca (od 01-06-2021) wszystkie recepty są elektroniczne. Nawet jeżeli dostaniesz papierową i apteka ją zaakceptuje (co już powinno być uznane za cud), to i tak farmaceuta wszystkie dane przepisze do systemu, inaczej nie zdoła dokonać sprzedaży.

  57. pieknie, idac za radami tutaj chcialem odhaczyc opcje :
    “Logowanie za pomocą zewnętrznego dostawcy tożsamości”
    Profil mialem zakladany jeszcze przed czasami uwierzytelniania przez banki
    Postanowilem “stworzyc” profil raz jeszcze przez Alior Bank.
    No i wyglada na to, ze teraz moge logowac sie przez haslo.. (stara metoda)
    i przez bank (Metoda autoryzacji : Alior Bank)

    a opcji wylaczenia “za pomocą zewnętrznego dostawcy” jak nie bylo tak nie ma
    ktos cos ?

  58. Opcja “Logowanie za pomocą zewnętrznego dostawcy tożsamości” prawdopodobnie zniknęła z ustawień….

  59. dowod z warstwa elektroniczna i ma byc lepiej, a czytniki do tych dowodow ?!
    dowod mial miec interface stykowy w pierwotnym zamysle czyli uzylbym mojego wbudowanego czytnika smartcard w notebooku
    z nieznanych powodow w dowodach jest tylko inteface bezstykowy, kto prywatnie posiada taki czytnik ? w przeciwienstwie do stykowego, wiele korporacyjnych nb posiada

  60. Ja to chciałbym się dowiedzieć co zrobić w przypadku gdy zalogowałem się do spisu powszechnego profilem zaufanym po to aby mi później ktoś nie wlazł na moje dane a teraz spisać się już nie mogę? Zamierzałem tylko zabezpieczyć się przed niepowołanym dostępem do mojej ankiety, z powodu niechlujstwa instytucji która zajmuje się kwestią informatyczną spisu powszechnego. Czy Niebezpiecznik ma jakieś informacje w kwestii odblokowania spisu takim ludziom jak ja? Póki co, żaden rachmistrz do mnie nie dzwonił ale nawet jak zadzwoni to i tak nie będę w stanie go zweryfikować i raczej się rozłączę, wolałbym się spisać przez internet.

  61. A jakby tego było mało, numery PESEL wszystkich udziałowców spółek są widoczne zaraz obok nazwiska w CRBR.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: