23/1/2021
Od wczoraj posyłacie nam rządową instrukcję rejestracji na szczepienia dla seniorów osób 70+ pytając czy to bezpieczne… Odpowiedź na to pytanie nie jest łatwa. Ale spróbujmy rozważyć za i przeciw.
Rejestracja przez SMS to zły pomysł?
Zanim, drogi Czytelniku, do głowy przyjdą Ci setki innych “lepszych” rozwiązań, pamiętaj kto jest grupą docelową tego mechanizmu rejestracji. Są nią seniorzy, osoby 70+, nie zawsze superobyte z najnowszymi technologiami, nie zawsze posiadające dostęp do internetu.
Przypuszczamy, że właśnie dlatego rejestrację oparto o powszechniejszy (i łatwiejszy w obsłudze dla seniorów?) telefon komórkowy. System rejestracji SMS-owej pozwala też ograniczyć koszty i zwiększa wydajność — zgłaszających obsługuje “komputer”.
Pod kątem bezpieczeństwa…
…każda forma zgłoszeń/rejestracji/komunikacji może zostać wykorzystana do ataków polegających na wyłudzeniu danych osobowych.
W przypadku obecnie stosowanego kontaktu przez SMS:
- Ktoś może wysłać prośbę o dane osobowe seniora z innego numeru telefonu niż ten oficjalny, a nawet z nadpisu w stylu SZCZEPIENIE (tak jak robią to non stop złodzieje w atakach “na dopłatę” lub “na kwarantannę“) i informacją:
zostałeś zakwalifikowany, teraz musisz wypełnić ten formularz/teraz musisz odesłać skan dowodu MMS-em
Najbardziej prawdopodobnym celem ataków jest wyłudzenie PESEL-u (bo o to pyta też rząd), ale ponieważ sam PESEL bardzo rzadko pozwoli na zaciągnięcie zobowiązania finansowego, to pewnie również: numeru dokumentu tożsamości lub jego skanu, albo wprost — danych pozwalających na przejęcie czyjegoś konta w banku (login, hasło, nazwisko panieńskie matki, itp.).
Ale powtórzmy jeszcze raz, gdyby rząd stosował inne kanały rejestracji niż SMS, to przestępcy dalej mogliby wyłudzać dane z ich użyciem. Innymi słowy — nie ma znaczenia jaki jest kanał komunikacji, atak wyłudzenia danych można dostosować do każdego z nich i sprawić, aby seniorowi wydał się on wiarygodny.
Czy przesyłanie PESEL-u SMS-em jest bezpieczne?
Po pierwsze, komunikacja SMS-owa w ogóle nie jest bezpieczna, bo nie jest zaszyfrowana pomiędzy nadawcą a odbiorcą. To jak wysyłać coś na “pocztówce” — każdy kto dostarcza kartkę może to odczytać. Lepiej korzystać z szyfrowanych komunikatorów (por. Whatsapp, Signal czy Telegram? ). Ale operatorzy telefonii komórkowej przecież i tak znają PESELE swoich abonentów (a nawet więcej ich danych), a atak polegający na stawianiu fałszywego BTS-a w celu przechwycenia SMS-ów z PESEL-em chyba możemy pominąć w tym przypadku :)
Ryzyko związane z przesyłaniem PESEL-u SMS-em możemy więc w tym przypadku zaakceptować. Największy problem jaki widzimy, to ewentualnie to, że ten PESEL zostanie w historii SMS-ów i ktoś potem (po kradzieży, znalezieniu, odkupieniu) telefonu może się z PESEL-em zapoznać. Więc może po prostu skasujcie bliskim Wam seniorom tę wiadomość z historii, a przy okazji nauczcie korzystać z kodu blokady ekranu.
Po drugie, niechże to w końcu do wszystkich dotrze!
PESEL to nie jest sekret, tajna dana i nie powinien być jako coś takiego traktowany! NIGDY!
Niestety w naszym kraju wiele firm idzie na łatwiznę i zakłada, że tylko posiadacz PESEL-a go zna, a to umożliwia wiele poważnych nadużyć. Tu właśnie leży problem i z tą patologią należy walczyć, a nie z ujawnianiem PESEL-i bo do PESEL-u innych osób można dotrzeć na wiele sposobów, co pokazujemy w naszym kursie OSINT-u (np. da się go wyciągnąć z ksiąg wieczystych, petycji, podpisów elektronicznych, KRS-u, dokumentów sądowych, systemów ZUS-u, baz medycznych, i wielu innych miejsc). Dlatego o swoim PESEL-u najlepiej myśleć jako o czymś, co inni znają. I zawsze należy się buntować, jeśli jakaś firma identyfikuje Was i pozwala na zmiany w świadczonej Wam usłudze jedynie na podstawie PESEL-u.
Niestety, póki firmy w Polsce traktują PESEL nie jako “identyfikator” a jako hasło, sami zalecamy chronienie PESEL-u i nie podawanie go nigdzie, o ile to możliwe. Obawiamy się jednak, że w przypadku szczepienia niepodanie PESEL-u nie jest możliwe. Trzeba więc trzymać kciuki, że z rządowych serwerów nie wyleci baza zgłoszeń na szczepienia, bo wtedy ktoś otrzyma fajny zestaw danych: numer telefonu, PESEL i ~lokalizację (a w przypadku nie-seniorów także adres e-mail i imię oraz nazwisko).
Na marginesie, jeśli znacie firmę, która na podstawie tylko PESEL-u i innych jawnych danych na temat klienta pozwala na zmiany w usłudze, dajcie nam znać. Będziemy ich tępić i poniewierać. Trzeba z tym w końcu zrobić porządek.
Co robić, jak żyć?
Sukces ewentualnych ataków wyłudzeniowych zależy od tego ilu seniorów nie będzie świadomych jak dokładnie wygląda prawidłowa, oficjalna procedura rejestracji. A ta niestety do najprostszych nie należy…
…i póki co jest chyba tylko w internecie.
Dlatego uczulcie bliskim Wam seniorów na to, żeby:
- IGNOROWALI wszystkie prośby o podanie danych, jeśli wcześniej sami nie wysłali zgłoszenia na szczepienie.
- NIE WYSYŁALI DANYCH na inny numer niż 664 908 556, jeśli na szczepienie się zgłosili
A najlepiej, pomóżcie im przejść przez tę procedurę lub wyślijcie zgłoszenie za nich.
PS. Na marginesie, nie tylko od seniorów da się wyłudzać dane. Na ataki łapią się też obyci z nowoczesnymi technologiami młodzi ludzie. Problem wyłudzeń dotyczy każdego.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
> PESEL to nie jest sekret, tajna dana i nie powinien być jako coś takiego traktowany!
BRAWO! Wreszcie zostało to jasno powiedziane, a nie tylko lamenty, że wyciekłooooooo…!
Niestety pesel w wielu miejscach jest traktowany jako metoda uwierzytelnienia, i tu się zaczyna poważny problem. Do tej pory nie zostało wydane dosłownie żadne rozporządzenie, że pesel nie może być metodą autoryzacji. przy odrobinie sprytu sam pesel może�zostać użyty do wyłudzenia np. kredytu.
Tylko czy znając czyjś pesel nie można mu zrobić dowcipu i zarejestrować go na drugim końcu Polski?
@Marek
Zdaje się, że niektórych tak rejestrują bez dowcipu.
U nas wszystko jest postawione na głowie. Nie ja powinienem chronić swoje dane osobowe – nie mam takiej możliwości ale bank/firma powinna udowodnić, że to ja wziąłem kredyt i to ja nie nikt inny podałem moje dane osobowe.
> bank/firma powinna udowodnić, że to ja wziąłem kredyt i to ja nie nikt inny podałem moje dane osobowe
I tak to właśnie wygląda.
@Olgierd,
“I tak to wlasnie wyglada”… w teorii
Teoria sobie, praktyka sobie . Wie o tym nawet kazde dziecko (ba, mozesz sobie o tym poczytac nawet na tej stronie). Zakladam, ze nie urwales sie z choinki – wiec moze przystopuj z ta propaganda…
Jak już wielokrotnie Niebezpiecznik przypominał, PESEL-u nie wolno traktować jak hasła. Z kilku powodów: jest przewidywalny, jest niezmienialny, znany nie tylko danej osobie, ale też urzędnikom i innym. W wypadku ludzi widniejących w KRS jest publiczny.
Ale nawet jeżeli przestaniemy traktować go jak hasło, to sam w sobie jest złą rzeczą. Indywidualny, niezmienialny numer identyfikacyjny wiąże dane o nas w różnych bazach w zbiór rekordów, które dają coraz dokładniejszy obraz naszego życia:
PESEL wymagany w urzędzie, PESEL wymagany u lekarza (nawet prywatnie!), PESEL drukowany na legitymacji studenckiej, PESEL na legitymacji szkolnej, PESEL w bibliotece, PESEL na umowie wynajmu mieszkania, PESEL spisywany w hotelu, PESEL spisywany przy wypożyczeniu nart… obłęd jakiś.
Uważam, że należy zlikwidować numery PESEL i wdrożyć losowe, ale niepowtarzalne tokeny generowane przez e-dowód (bardzo łatwo to wdrożyć, tylko trzeba chcieć). Wtedy druga strona interakcji/transakcji ma pewność, że my to my, a jednocześnie nie otrzymuje numeru, który już do końca życia pozwoli sprawdzać nas w różnych bazach.
Niestety wiem, że w tekturowym państwie, w dodatku z zapędami autorytarnymi, to co piszę jest marzeniem ściętej głowy.
Tylko, czy istnienie takiego powiązania danych jest dla każdego złe? Akurat w Polsce i tak jest patologia, bo wiele instytucji nie potrafi się do tych danych dostać a Kowalski musi składać po kilka wniosków, żeby zebrać załączniki do kolejnego wniosku. Moim zdaniem taki identyfikator może podnieść komfort życia. Może zamiast PESELu powinien być to być jakiś GUID, który w każdej chwili można zmienić i osoby wyczulone na punkcie prywatności po prostu mogłyby regularnie go zmieniać.
Czy chcesz aby każdy obywatel w każdej instytucji, firmie, banku szkole itp miał inny token a identyfikacja odbywała się poprzez centralną bazę danych e-dowod? Jak miałoby wyglądać wypełnienie np. deklaracji podatkowej czy przesłanie do ZUSu informacji o składkach pracownika? Co w przypadku gdy nie będzie dostępu do generatora tokenów, a będzie potrzebna identyfikacja osoby? Co jest bardzo łatwo wdrożyć, tylko trzeba chcieć? Tokeny prawdopodobnie tak, ale uznać likwidację numerów PESEL za łatwą może tylko totalny ignorant.
Tia, już widzę w takim razie rejestracje do lekarza w:
– Szpitalu
– lekarzu POZ
– prywatnej przychodni/u dentysty
i potem próbę połączenia tego ze zwolnieniem lekarskim, wysłanym do pracodawcy a także potwierdzenia tego w ZUS za pomocą generowanych tokenów…
Jasne, można teoretyzować o wprowadzeniu dla każdego obywatela generatora tokenów, ale przy obecnej architekturze i potrzebach jest to fizycznie nie do zrobienia. Wszelako pojęta Cyfryzacja dąży do tego żeby nie nosić ze sobą i nie przenosić danych do każdego poszczególnego okienka – już i tak u nas w PL niektóre sprawy się załatwia tragicznie.
Centralne przetrzymywanie rekordów Państwowych to nie problem, wystarczy spojrzeć na estonię + system który loguje każde “obejrzenie” rekordu obywatela czy jego części.
@UczelnianyRandom
Owszem, centralne przechowywanie danych to JEST problem i to kluczowy.
Nie może być tak, że rząd i służby gromadzą dane medyczne w centralnym rejestrze, nawet mimo wszelkich gwarancji prawnych i innych.
Niemożliwość pójścia do lekarza bez wysłania swoich danych rządowi to jest tyrania.
@Maciek:
“[PESEL] jest niezmienialny”
ależ oczywiście że jest zmienialny, proponuję doczytać zanim się coś napisze.
@ja
Owszem, numer PESEL co do zasady jest niezmienialny.
Jest zmieniany wtedy, gdy człowiek zmieni płeć albo sprostuje się datę urodzenia, błędnie wcześniej wpisaną. Oba sposoby są nie do zastosowania przez kogoś, kto ma prawidłowo wpisaną datę urodzenia i dobrze czuje się w swoim ciele.
Niezmienialne numery identyfikacyjne nadawane ludziom, łączące dane z różnych baz, to zło samo w sobie. Muszą zostać zniesione, inaczej inwigilacja będzie tylko postępować. Oczywiście to nie jedyny warunek jej skutecznego powstrzymania.
No to ja nie uważam, że zgłoszenia SMSem coś seniorom ułatwią (zwłaszcza z wymogiem literki “ę”). Ta procedura daje najsłabszą i najmniej wiarygodną informację zwrotną. Mogą jedynie dać złudzenie bycia obsłużonym. Przez chwilę.
Jeśli ktoś chce rzeczywiście pomóc swoim seniorom w rejestracji, to poprzez IKP. Ścieżkę dostępu (Profil Zaufany) zakłada się raz, a może pomóc wiele razy. Zwłaszcza w pandemii. Daje duży przegląd danych NFZ-towych konkretnej osoby. Oczywiście nie muszę przypominać, że jeśli ktoś zostaje adminem kont IKP swoich seniorów, to bierze na siebie dużą odpowiedzialność osobistą. Ale przynajmniej ma rzeczywiste narzędzia do wglądu w to jak użytkownik jest “widziany” przez NFZ, apteki, system opieki zdrowotnej – a nie czekanie na SMSa z magicznej maszynki.
Swoją drogą, denerwuje mnie, jak politycy mówią o pomaganiu seniorom przez dzieci/wnuki w rejestracji przez IKP jakby to było rozwiązanie prawidłowe. Generalnie nie jest. Jest to obejście, w wielu sytuacjach niezgodne z prawem (jeśli wprowadza dane uwierzytelniania pomocnik a nie użytkownik osobiście). I choć jako obejście jest bardzo skuteczne, nie powinno być przedstawiane jako obowiązujący standard. Władze chętnie przerzucają odpowiedzialność za uzyskanie dostępu do usług publicznych na osoby prywatne i inne podmioty, które są do tego nieprzygotowane, formalnie ani merytorycznie/technicznie.
Ciekaw jestem też, jak integrowane są dane rejestracyjne pozyskane różnymi drogami (IKP, Infolinia, SMS, zeszyt w przychodni) – czy jest możliwy scenariusz, że niektóre osoby są wpisane na kilka terminów.
A co jak senior pomyli numer? Jestem pewien że te parę (naście, dziesiąt?) osób z podobnym numerami ma już bazę SMS z setkami PESELi.
Złe w tym jest to, że przesuwa to granicę dla phishingu. Jeśli jakaś firma, czy państwo prosi nas o podanie danej przez sms to za chwilę w phishing ktoś wyśle link do pobrania skanu przodu i tyłu dowodu oraz skanu 3d twarzy.
@Gość
Tak
„A najlepiej, pomóżcie im przejść przez tę procedurę lub wyślijcie zgłoszenie za nich.” chyba sobie kolego kpisz ! Ja się mam zamiar długo cieszyć dziadkami i na 100% nie zarekomenduje im jakiegoś zastrzyku za który nawet producent nie bierze żadnej odpowiedzialności. Tylko dlatego że tak wmawia rząd.
Skąd (wiarygodna) informacja, że w UE producent nie bierze odpowiedzialności?
@Rysio
Wprawdzie nie podzielam przekonania że producenta nie da się pociągnąć do odpowiedzialności, ale w pełni rozumiem że w indywidualnych przypadkach ryzyko przyjęcia szczepionki może być większe niż jej nieprzyjęcia. Ja osobiście, gdybym miał możliwość, natychmiast zaszczepiłbym się, akceptując ryzyko dla mnie (nie negując ryzyka – widzę je, ale świadomie bym się decydował, zresztą brałem już w życiu udział w testowaniu leków). Natomiast sytuacja jednego z seniorów w moim otoczeniu wcale nie jest oczywista, ryzyko znacząco większe, i bynajmniej nie zamierzam go przymuszać. Tylko on może podjąć decyzję w swojej sprawie – czy woli iloczyn prawdopodobieństwa swojej ekspozycji na wirusa, prawdopodobieństwa zarażenia się nim i prawdopodobieństwa ciężkiego przebiegu, czy prawdopodobieństwa przyjęcia szczepionki (przy decyzji bliskiego 100%) i nieznanego jeszcze prawdopodobieństwa powikłań. Jednak jeśli zechce szczepionkę, pomogę mu zarejestrować się bezpiecznie.
Imbecylizm. Już sam fakt szczepienia jest niebezpieczny i w zasadzie można by na tym zakończyć. Poza tym można zapisać kogoś na szczepienie (odbywają się też w domach)
@buuuuuuu190
Tak, akt szczepienia może być dla niektórych osób niebezpieczny. Natomiast nie warto “na tym zakończyć”, bo tak robią tylko osoby sterowalne. Czy ktoś daje sobą sterować poprzez rozkaz, obietnice, czy poprzez przewidziany przez rozkazodawcę bunt, nadal daje sobą sterować.
To co warto, to użyć umysłu – indywidualnie na podstawie dostępnych danych ocenić ryzyko szczepienia a pozostawania niezaszczepionym i podjąć własną decyzję. Wprawdzie dane są niepełne, ale pełnych nie ma nigdy. Trzeba starać się zebrać jak najlepsze, ale niektóre rzeczy zawsze wyjdą dopiero po fakcie. Takie jest życie. Nie zawsze się wygrywa. Tylko potem nie płakać “ach, gdybym się zaszczepił!”, “ach gdybym się nie zaszczepił!” – decyzja podjęta, to skutki bierze się na klatę i jedzie się dalej. Jest ryzyko – jest zabawa.
A pytanko – udało Ci się zorganizować dla kogoś skutecznie szczepienie w domu? Bo na razie nie znam ani jednego sfinalizowanego przypadku, chętnie się zapoznam.
W UK niedawno był masowy przekręt na szczepionkę. Rozsyłali SMS z informacją, że aby móc się zaszczepić trzeba się zarejestrować pod podanym linkem. Link prowadził do podrobionej strony NHS (brytyjska służba zdrowia) gdzie prosili o podanie imienia, nazwiska i adresu a w celu uwierzytelnienia poprzez bank, podanie numeru konta i numeru karty wraz z CVV.
Proste info odnośnie szczepionki i Covid19.
Dane z WHO – zachorowań na Covid19 średnio 0.1% w zarażonej populacji, śmiertelność ok 2% spośród tych, którzy zachorowali.
Dane z formy Pfizer – efekty uboczne ok 10%, w tym u 55% bóle głowy i u 38% bóle mięśni, ciężkie powikłania 0.2%, tj powodujące konieczność opieki lekarskiej, porażenie Bella 1 na 10 tys, wstrząs anafilaktyczny 1.15 na 100tys,
Info z MZ – na 21.01.2021 NOP po podaniu szczepionki (na ok 550 tys zaszczepionych) 387, w tym łagodne 317, tj ogółem 0,07% i ciężkie 0,01%
Info z MZ – od początku roku do 31.10.2020 zmarło na tą chorobę 501 osób, średnia wieku ponad 75 lat, z chorobami współistniejącymi ok 33 tys.
Info z MZ – na raka piersi co roku umiera ok 5 tys kobiet, tj 8-10x więcej niż na Covid19
Wnioski: Ktoś tutaj kłamie WHO, Pfizer lub MZ. Gdybym miała wybierać, to bym wskazała MZ.
“Info z MZ – na raka piersi co roku umiera ok 5 tys kobiet, tj 8-10x więcej niż na Covid19”
A ile z tych osób miało choroby współistniejące? Zanim porównasz dwie liczby upewnij się, że obie pokazują to samo. Jeśli takie samo kryterium zastosujesz do raka piersi, to wyjdzie ci że umiera na niego nie kilka tysięcy a pewnie kilkaset osób. Było kiedyś takie powiedzenie “Nie ma osób zdrowych, są tylko niedokładnie przebadane” i niestety w pewnym wieku staje się ono bardzo prawdziwe. Zresztą stosowanie kryterium, które obejmuje zarówno pacjenta w stanie terminalnym, jak i takiego, który ze swoimi chorobami może przeżyć jeszcze kilkadziesiąt lat jest zupełnie bez sensu.
Co do różnic między danymi MZ i Pfizera to weź pod uwagę, że:
a) W interesie Pfizera było zebranie jak największej ilości informacji, więc to on interesował się takimi przypadkami. MZ bazuje na tym, że ludzie sami mu to zgłoszą. A mało komu chce się marnować własny czas żeby przebić się przez biurokratyczny mur i powiedzieć że wczoraj bolała go głowa.
b) Podejrzewam, że statystyka Pfizera dotyczy ludzi, którzy przeszli cały cykl szczepienia. A ponieważ większość z tych 550k o których wspominałaś, ma dopiero za sobą pierwszą dawkę to jeszcze będziemy musieli poczekać zanim otrzymamy pełne dane.
A’propos publicznych danych służących do identyfikacji: AXA direct identyfikuje swoich klientów przez PESEL i numer rejestracyjny samochodu. Pół biedy, że wysyłają kod jednorazowy na maila.