10:02
21/6/2018

Wczoraj opisywaliśmy wyciek danych z Dolnośląskiego Urzędu Wojewódzkiego z Wrocławia. Dziś też mamy dla Was coś o wrocławskim urzędzie — ale tym razem sprawa dotyczy urzędu skarbowego. Podczas gdy jednych martwi zbieranie adresów IP przez skarbówkę, inni beztrosko zostawiają na urzędowych komputerach swoje PIT-y, potwierdzenia przelewów i hasła do kont. Problem objawił się w Urzędzie Skarbowym Wrocław-Stare Miasto, w którym nie ma kasy. Urząd udostępnia jednak komputer z dostępem do internetu i drukarką. Można sobie zrobić przelew i nawet wydrukować potwierdzenie, jeśli tylko nie boicie się logować na swoje konta z publicznego komputera.

Wspólny komputer to wspólne dane

Paweł opisał nam atmosferę, jaka panuje w pokoiku z komputerem.

W Pobranych rzeczach są cudze PITy i potwierdzenia z banków, a na biurku walają się podrukowane PITy (oczywiście wypełnione). W załączniku fotka. Wejść tam może każdy z ulicy pod pretekstem wniosku o niezaleganie z podatkami.

Niedługo później byliśmy we Wrocławiu i zaszliśmy do tego urzędu. Nasz redaktor powiedział “Dzień dobry” panu ochroniarzowi przy wejściu, poszedł na salę i spytał o wniosek o zaświadczenie o niezaleganiu z podatkami. Nie wzbudzając podejrzeń został skierowany do opisywanego pokoiku. W Pobranych były osobiste dokumenty, ale inne niż te, które widział Paweł. Tylko kto zrobił czystkę? Urzędnik, czy ktoś kto chciał mieć dane tylko dla siebie?

Zwróciliśmy się z problemem do Izby Administracji Skarbowej we Wrocławiu. W odpowiedzi dostaliśmy przepiękne pismo:

Na marginesie, drodzy urzędnicy. Naprawdę doceniamy wysiłek włożony w składanie, drukowanie, podpisywanie i skanowanie pism do naszej redakcji. Szanujemy jednak Wasz czas! Jeśli pracujesz w jakimś urzędzie i odpisujesz Niebezpiecznikowi, naprawdę wystarczy nam zwykły mail.

Urząd ma trochę racji pisząc, że to sami petenci powinni zadbać o swoje bezpieczeństwo. Mimo to dokumenty okresowo usuwano i dbano, by sprzęt był wolny od wirusów. Jak przeczytacie w piśmie, postarano się o dodatkowe oprogramowanie przypominające o konieczności usunięcia danych.

Subtelne rozwiązanie problemu…

Dostaliśmy zdjęcie pokazujące oprogramowanie w akcji. Godna uwagi jest subtelna, skromna elegancja komunikatu.

Pomimo wprowadzenia tej przypominajki, urząd zapowiada dalsze okresowe sprawdzanie stanowiska. Doceniamy to!

Nie korzystaj z cudzych komputerów, bo…

Jedną z zawsze powtarzanych przez nas na wykładach “Jak nie dać się zhackować?” rad jest:

Nie korzystaj z cudzego komputera, a tym bardziej nie loguj się z niego na swoje konta (nawet jeśli masz na nich włączone dwuskładnikowe uwierzytelnienie).

Jeśli z jakiegoś powodu musicie skorzystać z cudzego (publicznego) komputera, miejcie świadomość, że to co na nim robicie może być podglądane i archiwizowane.

  • Nawet jeśli usuniecie pliki, z którymi pracowaliście, ktoś może go odzyskać albo po cichu skopiować przed usunięciem.
  • Nawet jeśli się wylogujecie z kont, na które się zalogowaliście, i zadbacie o to, aby nie zapamiętać do nich haseł w przeglądarce — ktoś wciąż może uzyskać do nich dostęp po tym jak od komputera odejdziecie.

 

No po prostu nie korzystajcie z cudzego (publicznego) sprzętu. Lepiej już przemęczyć się na małym ekranie smartfona lub — jak w przypadku urzędu skarbowego — przelew zlecić na infolinii swojego banku, przez telefon, nawet gdyby miało to kosztować dodatkowe 5 PLN.

Na marginesie, rad które przekazujemy podczas naszych wykładów z cyberbezpieczeństwa dedykowanych firmom i osobom prywatnym jest więcej. A tak się składa, że niebawem będziemy z wykładem we Wrocławiu:

Dowiedz się jak poprawnie❗zabezpieczyć swoje dane przed hackerami i jak bezpiecznie używać internetu (na smartfonie i komputerze) do 💶 bankowości oraz 🛍zakupów online. Przyjdź na nasz wykład a pokażemy Ci najpopularniejsze ataki, jakie czyhają na Polaków i nauczymy Cię jak się przed nimi ochronić. Wiedzę przekazujemy z humorem i językiem zrozumiałym dla każdego. Aby się zarejestrować i przeczytać opinie tych, którzy już byli na tym wykładzie, kliknij tutaj!

Najbliższe terminy wykładu:

Oby urzędnik się nie wygadał!

Przy okazji przypomniała nam się inna historyjka związana z urzędem skarbowym, a dotycząca ujawnienia zbyt wielu danych przez urzędnika. Opisał nam ją Czytelnik, który zadzwonił do urzędu by potwierdzić wpłynięcie deklaracji.

Składałem w kwietniu przez internet PIT, ale czytałem gdzieś, że skarbówki miały problem w ogóle z rozliczeniem tych dokumentów, które nawet mogły nie dotrzeć. Dlatego chciałem sprawdzić co i jak.
Dzwonię, odbiera jakiś starszy pan, prosi o PESEL, zapisuje go na karteczce, prosi o chwilę, odchodzi gdzieś, wraca i mówi: “Proszę pana, pana PIT został zarejestrowany 9 kwietnia, zwrot dla pana w wysokości takiej i takiej jest już przygotowany i niedługo trafi do pana na adres taki i taki, ponieważ nie mamy zarejestrowanego pana numeru konta”.

Urzędnik powiedział więcej niż powinien. Na wszelki wypadek spytaliśmy biuro prasowe ministerstwa finansów, czy takie dane w ogóle mogą być przekazywane przez telefon? Wydział ds. komunikacji KAS odpowiedział nam, że trudno komentować ten jeden przypadek, ale w KAS organizowane są obowiązkowe szkolenia dla pracowników i funkcjonariuszy z zakresu ochrony danych osobowych.

Zanim zbesztacie urzędnika w komentarzach, zwróćcie uwagę na jedną rzecz. Urzędnik w pewnym sensie padł ofiarą nieświadomej socjotechniki. Nasz Czytelnik zadzwonił bo był pewny, że może uzyskać informację telefonicznie. Urzędnik chciał pomóc a niestety granice bezpieczeństwa często są przekraczane w dobrej wierze. Można ujawnić zbyt dużo danych by komuś pomóc, albo coś ułatwić np. w ramach organizowania imprezy sportowej dla skarbówki.

To jedna z sytuacji, w których urzędnicy nie powinni być zbyt pomocni. Pamiętajmy o tym i nie miejmy im tego za złe. Zwłaszcza, że urzędnicy skarbówki — jak wynika z naszych zawodowych i prywatnych odczuć — są pomocni i mili. Potrafią nawet dostosować się do błędów banków.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

19 komentarzy

Dodaj komentarz
  1. Polska cyfrowa. ;))

  2. “Szanujemy jednak Wasz czas! Jeśli pracujesz w jakimś urzędzie i odpisujesz Niebezpiecznikowi, naprawdę wystarczy nam zwykły mail.”

    Wam pewnie wystarczy, ale procedurom już nie. Zdaje się (o ile się coś nie zmieniło), że odpowiedź urzędu musi być w formie pisemnej.

    • Tak jakby mail nie był formą pisemną :D

    • Że względów prawnych związanych z właściwościami maili nie jest on uznawany za urzedową formę pisemną.

    • Ale jest ePUAP(ka), w której to dokumenty mogą być cyfrowo podpisane i taką formę pisemną stanowią.

    • Odpowiedź urzędu może być w dowolnej formie dogodnej dla odbiorcy, przy czym można domniemywać, że dogodną formą odpowiedzi jest ta sama, w jakiej zostało zadane pytanie. Czyli można nawet odpowiedzieć ustnie. :D

  3. W Linuxie byłaby to bułka z masłem, wystarczy np w konfigu /etc/pam.d/xscreensaver przy użyciu pam_exec odpalać skrypta, który wyczyści dane przy powrocie do ekranu, do tego pobrane w tmpfs i wygaszacz ustawiony na 1 minutę.

    W Windows pewnie też by się dało, gdyby w tym urzędzie pracował informatyk a nie dupa wołowa.

    Poza tym publicznie dostępny Windows to sposób na piękne samobójstwo, w moim mieście już w Czytelni (darmowy internet) komputery chodzą na Kubuntu, do tego przeglądarki Firefox i Chrome uruchamiają się zawsze w trybie prywatnym.

    Chcieć, znaczy móc.

    Pozdro

    • Może być nawet i Windows… jak się chce, to można to dobrze zabezpieczyć – po pierwsze żadnego autologowania na konto z uprawnieniami administracyjnymi (można zrobić autologowanie, ale na zwykłego usera), po drugie odpowiednio poustawiane GPO i przy okazji zmiana typu profilu na mandatory (a więc tylko do odczytu), ewentualnie to samo da się zrobić zasadami grupy, odbierając wszystkim oprócz grupy Administratorzy prawo zapisu do ntuser.dat i folderów pod zmiennymi %appdata% i %localappdata%. A już stuprocentowo najlepsze rozwiązanie to edycja Embedded, tam załącza się EWF i po sprawie.

  4. A jeśli urząd potrzebuje wydruku to jak bezpiecznie wydrukować potwierdzenie na takim stanowisku, jeśli się zrobiło przelew smartfonem?

  5. I ta “profesjonalnie wyglądająca grafika” wykonana w MS Paint. Po prostu cudo. ._.

    • Pulpit publicznie dostępnego komputera to nie galeria sztuki. Nie ma być pięknie, ma być skutecznie. Obstawiam, że elegancki napis, nawiązujący stylistyką, powiedzmy, do okien z komunikatami systemowymi – w urzędzie zadziałałby na jakieś 10 proc. użytkowników. Ten chamski, nachalny, prymitywny – dotrze może do 60 procent. Moim zdaniem skuteczność wielokrotnie wyższa. A za to mocno podkreślone “podwójne kliknięcie” daję od siebie +1. Swoją drogą, ciekawe co powiedzieliby o tym ludzie z branży reklamowej, np. czytelnicy strony JuniorBrandManager.

  6. A co by było, jakby ktoś przesunął ikonę w inne miejsce? :)

    • Inaczej, a co by było gdyby zamienić ikonkę na skrypt wysyłający dane na jakiś magiczny serwer? ;)

    • Albo wyłączył pokazywanie ikonek

  7. Serio ktoś korzysta z publicznych komputerów do takich rzeczy? :| Ludzie sami są sobie winni. Potem będzie płacz, że dane ukradzione albo konto bankowe wyczyszczone.

  8. Ciekawe czy taki komp pracuje w tej samej podsieci co reszta stanowisk. :)

  9. Z tym, że urzędnicy skarbówki są mili i pomocni spotkałem się dwa razy, i muszę powiedzieć, że byłem w szoku: Pani zadzwoniła i poprosiła o zaległe dokumenty. Mówię, że wyślę priorytetem, a ona: ale po co? Pan zeskanuje, wyśle na maila i po kłopocie. Nie przekroczymy w ten sposób terminu i nie będzie miał pan kary. Zdziwienie pełne, ale że dokumenty nie zawierały żadnych danych wrażliwych, a jej adres mailowy widniał na oficjalnej stronie US, to wysłałem. 4h później dostałem telefon, że sprawa załatwiona! Szanuje jak szalony :D

  10. A wystarczyło zwirtualizować sesję terminalową

  11. “nadal kontynuowane”

Odpowiadasz na komentarz Andy

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: