21/6/2018
Wczoraj opisywaliśmy wyciek danych z Dolnośląskiego Urzędu Wojewódzkiego z Wrocławia. Dziś też mamy dla Was coś o wrocławskim urzędzie — ale tym razem sprawa dotyczy urzędu skarbowego. Podczas gdy jednych martwi zbieranie adresów IP przez skarbówkę, inni beztrosko zostawiają na urzędowych komputerach swoje PIT-y, potwierdzenia przelewów i hasła do kont. Problem objawił się w Urzędzie Skarbowym Wrocław-Stare Miasto, w którym nie ma kasy. Urząd udostępnia jednak komputer z dostępem do internetu i drukarką. Można sobie zrobić przelew i nawet wydrukować potwierdzenie, jeśli tylko nie boicie się logować na swoje konta z publicznego komputera.
Wspólny komputer to wspólne dane
Paweł opisał nam atmosferę, jaka panuje w pokoiku z komputerem.
W Pobranych rzeczach są cudze PITy i potwierdzenia z banków, a na biurku walają się podrukowane PITy (oczywiście wypełnione). W załączniku fotka. Wejść tam może każdy z ulicy pod pretekstem wniosku o niezaleganie z podatkami.
Niedługo później byliśmy we Wrocławiu i zaszliśmy do tego urzędu. Nasz redaktor powiedział “Dzień dobry” panu ochroniarzowi przy wejściu, poszedł na salę i spytał o wniosek o zaświadczenie o niezaleganiu z podatkami. Nie wzbudzając podejrzeń został skierowany do opisywanego pokoiku. W Pobranych były osobiste dokumenty, ale inne niż te, które widział Paweł. Tylko kto zrobił czystkę? Urzędnik, czy ktoś kto chciał mieć dane tylko dla siebie?
Zwróciliśmy się z problemem do Izby Administracji Skarbowej we Wrocławiu. W odpowiedzi dostaliśmy przepiękne pismo:
Urząd ma trochę racji pisząc, że to sami petenci powinni zadbać o swoje bezpieczeństwo. Mimo to dokumenty okresowo usuwano i dbano, by sprzęt był wolny od wirusów. Jak przeczytacie w piśmie, postarano się o dodatkowe oprogramowanie przypominające o konieczności usunięcia danych.
Subtelne rozwiązanie problemu…
Dostaliśmy zdjęcie pokazujące oprogramowanie w akcji. Godna uwagi jest subtelna, skromna elegancja komunikatu.
Pomimo wprowadzenia tej przypominajki, urząd zapowiada dalsze okresowe sprawdzanie stanowiska. Doceniamy to!
Nie korzystaj z cudzych komputerów, bo…
Jedną z zawsze powtarzanych przez nas na wykładach “Jak nie dać się zhackować?” rad jest:
Nie korzystaj z cudzego komputera, a tym bardziej nie loguj się z niego na swoje konta (nawet jeśli masz na nich włączone dwuskładnikowe uwierzytelnienie).
Jeśli z jakiegoś powodu musicie skorzystać z cudzego (publicznego) komputera, miejcie świadomość, że to co na nim robicie może być podglądane i archiwizowane.
- Nawet jeśli usuniecie pliki, z którymi pracowaliście, ktoś może go odzyskać albo po cichu skopiować przed usunięciem.
- Nawet jeśli się wylogujecie z kont, na które się zalogowaliście, i zadbacie o to, aby nie zapamiętać do nich haseł w przeglądarce — ktoś wciąż może uzyskać do nich dostęp po tym jak od komputera odejdziecie.
No po prostu nie korzystajcie z cudzego (publicznego) sprzętu. Lepiej już przemęczyć się na małym ekranie smartfona lub — jak w przypadku urzędu skarbowego — przelew zlecić na infolinii swojego banku, przez telefon, nawet gdyby miało to kosztować dodatkowe 5 PLN.
Na marginesie, rad które przekazujemy podczas naszych wykładów z cyberbezpieczeństwa dedykowanych firmom i osobom prywatnym jest więcej. A tak się składa, że niebawem będziemy z wykładem we Wrocławiu:

Dowiedz się jak poprawnie❗zabezpieczyć swoje dane przed hackerami i jak bezpiecznie używać internetu (na smartfonie i komputerze) do 💶 bankowości oraz 🛍zakupów online. Przyjdź na nasz wykład a pokażemy Ci najpopularniejsze ataki, jakie czyhają na Polaków i nauczymy Cię jak się przed nimi ochronić. Wiedzę przekazujemy z humorem i językiem zrozumiałym dla każdego. Aby się zarejestrować i przeczytać opinie tych, którzy już byli na tym wykładzie, kliknij tutaj!
Najbliższe terminy wykładu:
Oby urzędnik się nie wygadał!
Przy okazji przypomniała nam się inna historyjka związana z urzędem skarbowym, a dotycząca ujawnienia zbyt wielu danych przez urzędnika. Opisał nam ją Czytelnik, który zadzwonił do urzędu by potwierdzić wpłynięcie deklaracji.
Składałem w kwietniu przez internet PIT, ale czytałem gdzieś, że skarbówki miały problem w ogóle z rozliczeniem tych dokumentów, które nawet mogły nie dotrzeć. Dlatego chciałem sprawdzić co i jak.
Dzwonię, odbiera jakiś starszy pan, prosi o PESEL, zapisuje go na karteczce, prosi o chwilę, odchodzi gdzieś, wraca i mówi: “Proszę pana, pana PIT został zarejestrowany 9 kwietnia, zwrot dla pana w wysokości takiej i takiej jest już przygotowany i niedługo trafi do pana na adres taki i taki, ponieważ nie mamy zarejestrowanego pana numeru konta”.
Urzędnik powiedział więcej niż powinien. Na wszelki wypadek spytaliśmy biuro prasowe ministerstwa finansów, czy takie dane w ogóle mogą być przekazywane przez telefon? Wydział ds. komunikacji KAS odpowiedział nam, że trudno komentować ten jeden przypadek, ale w KAS organizowane są obowiązkowe szkolenia dla pracowników i funkcjonariuszy z zakresu ochrony danych osobowych.
Zanim zbesztacie urzędnika w komentarzach, zwróćcie uwagę na jedną rzecz. Urzędnik w pewnym sensie padł ofiarą nieświadomej socjotechniki. Nasz Czytelnik zadzwonił bo był pewny, że może uzyskać informację telefonicznie. Urzędnik chciał pomóc a niestety granice bezpieczeństwa często są przekraczane w dobrej wierze. Można ujawnić zbyt dużo danych by komuś pomóc, albo coś ułatwić np. w ramach organizowania imprezy sportowej dla skarbówki.
To jedna z sytuacji, w których urzędnicy nie powinni być zbyt pomocni. Pamiętajmy o tym i nie miejmy im tego za złe. Zwłaszcza, że urzędnicy skarbówki — jak wynika z naszych zawodowych i prywatnych odczuć — są pomocni i mili. Potrafią nawet dostosować się do błędów banków.
Polska cyfrowa. ;))
“Szanujemy jednak Wasz czas! Jeśli pracujesz w jakimś urzędzie i odpisujesz Niebezpiecznikowi, naprawdę wystarczy nam zwykły mail.”
Wam pewnie wystarczy, ale procedurom już nie. Zdaje się (o ile się coś nie zmieniło), że odpowiedź urzędu musi być w formie pisemnej.
Tak jakby mail nie był formą pisemną :D
Że względów prawnych związanych z właściwościami maili nie jest on uznawany za urzedową formę pisemną.
Ale jest ePUAP(ka), w której to dokumenty mogą być cyfrowo podpisane i taką formę pisemną stanowią.
Odpowiedź urzędu może być w dowolnej formie dogodnej dla odbiorcy, przy czym można domniemywać, że dogodną formą odpowiedzi jest ta sama, w jakiej zostało zadane pytanie. Czyli można nawet odpowiedzieć ustnie. :D
W Linuxie byłaby to bułka z masłem, wystarczy np w konfigu /etc/pam.d/xscreensaver przy użyciu pam_exec odpalać skrypta, który wyczyści dane przy powrocie do ekranu, do tego pobrane w tmpfs i wygaszacz ustawiony na 1 minutę.
W Windows pewnie też by się dało, gdyby w tym urzędzie pracował informatyk a nie dupa wołowa.
Poza tym publicznie dostępny Windows to sposób na piękne samobójstwo, w moim mieście już w Czytelni (darmowy internet) komputery chodzą na Kubuntu, do tego przeglądarki Firefox i Chrome uruchamiają się zawsze w trybie prywatnym.
Chcieć, znaczy móc.
Pozdro
Może być nawet i Windows… jak się chce, to można to dobrze zabezpieczyć – po pierwsze żadnego autologowania na konto z uprawnieniami administracyjnymi (można zrobić autologowanie, ale na zwykłego usera), po drugie odpowiednio poustawiane GPO i przy okazji zmiana typu profilu na mandatory (a więc tylko do odczytu), ewentualnie to samo da się zrobić zasadami grupy, odbierając wszystkim oprócz grupy Administratorzy prawo zapisu do ntuser.dat i folderów pod zmiennymi %appdata% i %localappdata%. A już stuprocentowo najlepsze rozwiązanie to edycja Embedded, tam załącza się EWF i po sprawie.
A jeśli urząd potrzebuje wydruku to jak bezpiecznie wydrukować potwierdzenie na takim stanowisku, jeśli się zrobiło przelew smartfonem?
I ta “profesjonalnie wyglądająca grafika” wykonana w MS Paint. Po prostu cudo. ._.
Pulpit publicznie dostępnego komputera to nie galeria sztuki. Nie ma być pięknie, ma być skutecznie. Obstawiam, że elegancki napis, nawiązujący stylistyką, powiedzmy, do okien z komunikatami systemowymi – w urzędzie zadziałałby na jakieś 10 proc. użytkowników. Ten chamski, nachalny, prymitywny – dotrze może do 60 procent. Moim zdaniem skuteczność wielokrotnie wyższa. A za to mocno podkreślone “podwójne kliknięcie” daję od siebie +1. Swoją drogą, ciekawe co powiedzieliby o tym ludzie z branży reklamowej, np. czytelnicy strony JuniorBrandManager.
A co by było, jakby ktoś przesunął ikonę w inne miejsce? :)
Inaczej, a co by było gdyby zamienić ikonkę na skrypt wysyłający dane na jakiś magiczny serwer? ;)
Albo wyłączył pokazywanie ikonek
Serio ktoś korzysta z publicznych komputerów do takich rzeczy? :| Ludzie sami są sobie winni. Potem będzie płacz, że dane ukradzione albo konto bankowe wyczyszczone.
Ciekawe czy taki komp pracuje w tej samej podsieci co reszta stanowisk. :)
Z tym, że urzędnicy skarbówki są mili i pomocni spotkałem się dwa razy, i muszę powiedzieć, że byłem w szoku: Pani zadzwoniła i poprosiła o zaległe dokumenty. Mówię, że wyślę priorytetem, a ona: ale po co? Pan zeskanuje, wyśle na maila i po kłopocie. Nie przekroczymy w ten sposób terminu i nie będzie miał pan kary. Zdziwienie pełne, ale że dokumenty nie zawierały żadnych danych wrażliwych, a jej adres mailowy widniał na oficjalnej stronie US, to wysłałem. 4h później dostałem telefon, że sprawa załatwiona! Szanuje jak szalony :D
A wystarczyło zwirtualizować sesję terminalową
“nadal kontynuowane”