10:02
21/6/2018

Wczoraj opisywaliśmy wyciek danych z Dolnośląskiego Urzędu Wojewódzkiego z Wrocławia. Dziś też mamy dla Was coś o wrocławskim urzędzie — ale tym razem sprawa dotyczy urzędu skarbowego. Podczas gdy jednych martwi zbieranie adresów IP przez skarbówkę, inni beztrosko zostawiają na urzędowych komputerach swoje PIT-y, potwierdzenia przelewów i hasła do kont. Problem objawił się w Urzędzie Skarbowym Wrocław-Stare Miasto, w którym nie ma kasy. Urząd udostępnia jednak komputer z dostępem do internetu i drukarką. Można sobie zrobić przelew i nawet wydrukować potwierdzenie, jeśli tylko nie boicie się logować na swoje konta z publicznego komputera.

Wspólny komputer to wspólne dane

Paweł opisał nam atmosferę, jaka panuje w pokoiku z komputerem.

W Pobranych rzeczach są cudze PITy i potwierdzenia z banków, a na biurku walają się podrukowane PITy (oczywiście wypełnione). W załączniku fotka. Wejść tam może każdy z ulicy pod pretekstem wniosku o niezaleganie z podatkami.

Niedługo później byliśmy we Wrocławiu i zaszliśmy do tego urzędu. Nasz redaktor powiedział “Dzień dobry” panu ochroniarzowi przy wejściu, poszedł na salę i spytał o wniosek o zaświadczenie o niezaleganiu z podatkami. Nie wzbudzając podejrzeń został skierowany do opisywanego pokoiku. W Pobranych były osobiste dokumenty, ale inne niż te, które widział Paweł. Tylko kto zrobił czystkę? Urzędnik, czy ktoś kto chciał mieć dane tylko dla siebie?

Zwróciliśmy się z problemem do Izby Administracji Skarbowej we Wrocławiu. W odpowiedzi dostaliśmy przepiękne pismo:

Na marginesie, drodzy urzędnicy. Naprawdę doceniamy wysiłek włożony w składanie, drukowanie, podpisywanie i skanowanie pism do naszej redakcji. Szanujemy jednak Wasz czas! Jeśli pracujesz w jakimś urzędzie i odpisujesz Niebezpiecznikowi, naprawdę wystarczy nam zwykły mail.

Urząd ma trochę racji pisząc, że to sami petenci powinni zadbać o swoje bezpieczeństwo. Mimo to dokumenty okresowo usuwano i dbano, by sprzęt był wolny od wirusów. Jak przeczytacie w piśmie, postarano się o dodatkowe oprogramowanie przypominające o konieczności usunięcia danych.

Subtelne rozwiązanie problemu…

Dostaliśmy zdjęcie pokazujące oprogramowanie w akcji. Godna uwagi jest subtelna, skromna elegancja komunikatu.

Pomimo wprowadzenia tej przypominajki, urząd zapowiada dalsze okresowe sprawdzanie stanowiska. Doceniamy to!

Nie korzystaj z cudzych komputerów, bo…

Jedną z zawsze powtarzanych przez nas na wykładach “Jak nie dać się zhackować?” rad jest:

Nie korzystaj z cudzego komputera, a tym bardziej nie loguj się z niego na swoje konta (nawet jeśli masz na nich włączone dwuskładnikowe uwierzytelnienie).

Jeśli z jakiegoś powodu musicie skorzystać z cudzego (publicznego) komputera, miejcie świadomość, że to co na nim robicie może być podglądane i archiwizowane.

  • Nawet jeśli usuniecie pliki, z którymi pracowaliście, ktoś może go odzyskać albo po cichu skopiować przed usunięciem.
  • Nawet jeśli się wylogujecie z kont, na które się zalogowaliście, i zadbacie o to, aby nie zapamiętać do nich haseł w przeglądarce — ktoś wciąż może uzyskać do nich dostęp po tym jak od komputera odejdziecie.

 

No po prostu nie korzystajcie z cudzego (publicznego) sprzętu. Lepiej już przemęczyć się na małym ekranie smartfona lub — jak w przypadku urzędu skarbowego — przelew zlecić na infolinii swojego banku, przez telefon, nawet gdyby miało to kosztować dodatkowe 5 PLN.

Na marginesie, rad które przekazujemy podczas naszych wykładów z cyberbezpieczeństwa dedykowanych firmom i osobom prywatnym jest więcej. A tak się składa, że niebawem będziemy z wykładem we Wrocławiu:

Dowiedz się jak poprawnie❗zabezpieczyć swoje dane przed hackerami i jak bezpiecznie używać internetu (na smartfonie i komputerze) do 💶 bankowości oraz 🛍zakupów online. Przyjdź na nasz wykład a pokażemy Ci najpopularniejsze ataki, jakie czyhają na Polaków i nauczymy Cię jak się przed nimi ochronić. Wiedzę przekazujemy z humorem i językiem zrozumiałym dla każdego. Aby się zarejestrować i przeczytać opinie tych, którzy już byli na tym wykładzie, kliknij tutaj!

Najbliższe terminy wykładu:

Oby urzędnik się nie wygadał!

Przy okazji przypomniała nam się inna historyjka związana z urzędem skarbowym, a dotycząca ujawnienia zbyt wielu danych przez urzędnika. Opisał nam ją Czytelnik, który zadzwonił do urzędu by potwierdzić wpłynięcie deklaracji.

Składałem w kwietniu przez internet PIT, ale czytałem gdzieś, że skarbówki miały problem w ogóle z rozliczeniem tych dokumentów, które nawet mogły nie dotrzeć. Dlatego chciałem sprawdzić co i jak.
Dzwonię, odbiera jakiś starszy pan, prosi o PESEL, zapisuje go na karteczce, prosi o chwilę, odchodzi gdzieś, wraca i mówi: “Proszę pana, pana PIT został zarejestrowany 9 kwietnia, zwrot dla pana w wysokości takiej i takiej jest już przygotowany i niedługo trafi do pana na adres taki i taki, ponieważ nie mamy zarejestrowanego pana numeru konta”.

Urzędnik powiedział więcej niż powinien. Na wszelki wypadek spytaliśmy biuro prasowe ministerstwa finansów, czy takie dane w ogóle mogą być przekazywane przez telefon? Wydział ds. komunikacji KAS odpowiedział nam, że trudno komentować ten jeden przypadek, ale w KAS organizowane są obowiązkowe szkolenia dla pracowników i funkcjonariuszy z zakresu ochrony danych osobowych.

Zanim zbesztacie urzędnika w komentarzach, zwróćcie uwagę na jedną rzecz. Urzędnik w pewnym sensie padł ofiarą nieświadomej socjotechniki. Nasz Czytelnik zadzwonił bo był pewny, że może uzyskać informację telefonicznie. Urzędnik chciał pomóc a niestety granice bezpieczeństwa często są przekraczane w dobrej wierze. Można ujawnić zbyt dużo danych by komuś pomóc, albo coś ułatwić np. w ramach organizowania imprezy sportowej dla skarbówki.

To jedna z sytuacji, w których urzędnicy nie powinni być zbyt pomocni. Pamiętajmy o tym i nie miejmy im tego za złe. Zwłaszcza, że urzędnicy skarbówki — jak wynika z naszych zawodowych i prywatnych odczuć — są pomocni i mili. Potrafią nawet dostosować się do błędów banków.

Przeczytaj także:

19 komentarzy

Dodaj komentarz
  1. Polska cyfrowa. ;))

  2. “Szanujemy jednak Wasz czas! Jeśli pracujesz w jakimś urzędzie i odpisujesz Niebezpiecznikowi, naprawdę wystarczy nam zwykły mail.”

    Wam pewnie wystarczy, ale procedurom już nie. Zdaje się (o ile się coś nie zmieniło), że odpowiedź urzędu musi być w formie pisemnej.

    • Tak jakby mail nie był formą pisemną :D

    • Że względów prawnych związanych z właściwościami maili nie jest on uznawany za urzedową formę pisemną.

    • Ale jest ePUAP(ka), w której to dokumenty mogą być cyfrowo podpisane i taką formę pisemną stanowią.

    • Odpowiedź urzędu może być w dowolnej formie dogodnej dla odbiorcy, przy czym można domniemywać, że dogodną formą odpowiedzi jest ta sama, w jakiej zostało zadane pytanie. Czyli można nawet odpowiedzieć ustnie. :D

  3. W Linuxie byłaby to bułka z masłem, wystarczy np w konfigu /etc/pam.d/xscreensaver przy użyciu pam_exec odpalać skrypta, który wyczyści dane przy powrocie do ekranu, do tego pobrane w tmpfs i wygaszacz ustawiony na 1 minutę.

    W Windows pewnie też by się dało, gdyby w tym urzędzie pracował informatyk a nie dupa wołowa.

    Poza tym publicznie dostępny Windows to sposób na piękne samobójstwo, w moim mieście już w Czytelni (darmowy internet) komputery chodzą na Kubuntu, do tego przeglądarki Firefox i Chrome uruchamiają się zawsze w trybie prywatnym.

    Chcieć, znaczy móc.

    Pozdro

    • Może być nawet i Windows… jak się chce, to można to dobrze zabezpieczyć – po pierwsze żadnego autologowania na konto z uprawnieniami administracyjnymi (można zrobić autologowanie, ale na zwykłego usera), po drugie odpowiednio poustawiane GPO i przy okazji zmiana typu profilu na mandatory (a więc tylko do odczytu), ewentualnie to samo da się zrobić zasadami grupy, odbierając wszystkim oprócz grupy Administratorzy prawo zapisu do ntuser.dat i folderów pod zmiennymi %appdata% i %localappdata%. A już stuprocentowo najlepsze rozwiązanie to edycja Embedded, tam załącza się EWF i po sprawie.

  4. A jeśli urząd potrzebuje wydruku to jak bezpiecznie wydrukować potwierdzenie na takim stanowisku, jeśli się zrobiło przelew smartfonem?

  5. I ta “profesjonalnie wyglądająca grafika” wykonana w MS Paint. Po prostu cudo. ._.

    • Pulpit publicznie dostępnego komputera to nie galeria sztuki. Nie ma być pięknie, ma być skutecznie. Obstawiam, że elegancki napis, nawiązujący stylistyką, powiedzmy, do okien z komunikatami systemowymi – w urzędzie zadziałałby na jakieś 10 proc. użytkowników. Ten chamski, nachalny, prymitywny – dotrze może do 60 procent. Moim zdaniem skuteczność wielokrotnie wyższa. A za to mocno podkreślone “podwójne kliknięcie” daję od siebie +1. Swoją drogą, ciekawe co powiedzieliby o tym ludzie z branży reklamowej, np. czytelnicy strony JuniorBrandManager.

  6. A co by było, jakby ktoś przesunął ikonę w inne miejsce? :)

    • Inaczej, a co by było gdyby zamienić ikonkę na skrypt wysyłający dane na jakiś magiczny serwer? ;)

    • Albo wyłączył pokazywanie ikonek

  7. Serio ktoś korzysta z publicznych komputerów do takich rzeczy? :| Ludzie sami są sobie winni. Potem będzie płacz, że dane ukradzione albo konto bankowe wyczyszczone.

  8. Ciekawe czy taki komp pracuje w tej samej podsieci co reszta stanowisk. :)

  9. Z tym, że urzędnicy skarbówki są mili i pomocni spotkałem się dwa razy, i muszę powiedzieć, że byłem w szoku: Pani zadzwoniła i poprosiła o zaległe dokumenty. Mówię, że wyślę priorytetem, a ona: ale po co? Pan zeskanuje, wyśle na maila i po kłopocie. Nie przekroczymy w ten sposób terminu i nie będzie miał pan kary. Zdziwienie pełne, ale że dokumenty nie zawierały żadnych danych wrażliwych, a jej adres mailowy widniał na oficjalnej stronie US, to wysłałem. 4h później dostałem telefon, że sprawa załatwiona! Szanuje jak szalony :D

  10. A wystarczyło zwirtualizować sesję terminalową

  11. “nadal kontynuowane”

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.