20:26
13/2/2018

Uczestniczenie w imprezach sportowych coraz częściej wiąże się z rejestracją online. Czasem aby kupić bilet przez internet trzeba nawet podesłać skan dowodu. Takie właśnie skany podsyłali użytkownicy serwisu internetowego PZPN dla kibiców — laczynaspilka.pl. Niestety, przesyłane obrazy dowodów nie były odpowiednio zabezpieczone i podejrzeć je mógł każdy.

PZPN i aktywność użytkowników w “głębokim ukryciu”

W Polsce istnieje coś takiego jak Karta Kibica Reprezentacji. Jest to identyfikator kibica, który może zastępować papierowe bilety na mecze. Zapewnia też zniżki w Sklepie Kibica, udział w programie lojalnościowym i pełni rolę karty płatniczej typu prepaid. Ubieganie się o kartę wymaga założenia konta w serwisie Łączy nas piłka (Laczynaspilka.pl) prowadzonym przez PZPN.

Jeden z naszych Czytelników, będący jednocześnie kibicem, zauważył istotną wadę serwisu PZPN. Aktywność każdego użytkownika można było przeglądać wprowadzając do przeglądarki adres…

https://www.laczynaspilka.pl/aktywnosc-uzytkownika/XXXXXXX,1.html

…gdzie XXXXXX to identyfikator złożony z cyfr. Sprawdzając kolejne iteracje można było zobaczyć konta różnych osób, a na nich:

  • informacje o profilu (z danymi osobowymi)
  • wpisy danej osoby na forach,
  • zadeklarowane uczestnictwo w meczach,

Oto przykładowa strona z aktywnością. Białym polem na górze przykryliśmy imię i nazwisko jednego z kibiców.

Niektóre z kont należały do kibiców niepełnoletnich i można było ustalić kto jest ich rodzicem/opiekunem. Nie to jednak było najgorsze…

Dodaj zdjęcie dowodu!

Serwis PZPN proponował dodawanie zdjęć lub skanów dowodu osobistego. W dolnej części poniższego zrzutu widzicie zachętę, by dodać zdjęcie do autoryzacji na stadionie. Poniżej napisano: “skan dowodu osobistego lub zdjęcie“.

Problem w tym, że dodane w ten sposób zdjęcie wyświetlało się na stronie aktywności. Oto aktywność jednego z kibiców — użytkowników serwisu laczynaspilka.pl:

Początkowo myśleliśmy, że publicznie dostępne zdjęcie dowodu to błąd nieroztropnego użytkownika-kibica, który nie zgrzeszył intelektem i po prostu do swojej publicznej galerii wgrał z jakiegoś powodu skan swojego dowodu (serio, są tacy ludzie, co tak robią). Albo, że ktoś się pomylił i zdjęcie dowodu ustawił jako profilowe (wiadomo, nie ma meczyka bez piwka, albo piętnastu).

Do głowy nam nie przyszło, że to może być błąd programistyczny. Bo przecież żaden z twórców serwisu internetowego, nawet jeśli przez ostatnie lata broniłby karne Lewego swoją głową, nie wpadłby na pomysł wyświetlania zdjęcia dowodu na stronach z aktywnością. Tak myśleliśmy. Ale że lubimy weryfikować nawet te najgłupsze tezy, to zarejestrowaliśmy się jako kibic i zamiast zdjęcia dowodu dodaliśmy zdjęcie przedstawiające kadr z filmu Ingmara Bergmana (akurat taki obrazek redaktor miał pod ręką).

Następnie w trybie porno Incognito tej samej przeglądarki odwiedziliśmy stronę z aktywnością utworzonego przez nas konta fikcyjnego kibica. To, co miało być zdjęciem dowodu …rzeczywiście pokazywało się każdemu w aktywności (bez konieczności uprzedniego zalogowania). Ups! Ktoś tu strzelił sobie samobója!

Takie podejście do ochrony danych powodowało, że motto serwisu z “łączy nas piłka” mogło szybko zmienić się w “łączy nas kredyt”… Nie pozostało nic innego jak powiadomić o sprawie PZPN.

PZPN reaguje

Rzecznik prasowy Związku — Jakub Kwiatkowski — odpowiedział nam szybko.

Dziękujemy za czujność i wskazanie problemu. Faktycznie był problem, ale dziura została już załatana. (…) Nadmienię, że serwis Łączy nas piłka jest utrzymywany i rozwijany przez zewnętrzną firmę, a nie przez zespół bezpośrednio pracujący w PZPN. (…) informujemy, że nigdy w serwisie Łączy nas piłka nie było konieczności zamieszczenia skanu lub zdjęcia dowodu osobistego. Nigdy również do tego nie zachęcaliśmy. Jedynie osoby zakładające profil w serwisie mogą, ale nie muszą, zamieścić swoje zdjęcie.
Jedynymi dokumentami, które trzeba podać w momencie zakładania profilu do kopia paszportu (dotyczy obcokrajowców chcących zakupić bilet, ale do tego zobowiązują nas przepisy ustawy o bezpieczeństwie imprez masowych) oraz zaświadczenie o niepełnosprawności przez osoby poruszające się na wózkach inwalidzkich, które chcą kupić bilety na sektory przeznaczone dla osób niepełnosprawnych.

Brak obowiązku wgrywania zdjęć dowodów tłumaczy, dlaczego nie pod wszystkimi identyfikatorami jakie wyrywkowo sprawdziliśmy znajdowały się wizytówki użytkowników. Niestety, zdjęcia dowodów były na większości identyfikatorów. Dodajmy także, że serwis PZPN dawał możliwość utworzenia profilu niepublicznego, ale nie była to domyślna opcja w ustawieniach konta i zapewne niewiele osób z niej korzystało.

Dane wyciekają nie tylko od kibiców…

Wpadki takie jak powyższa nie są rzadkie. Przytoczmy przykład poznańskiej karty PEKA. Aby ją wyrobić, trzeba było złożyć wniosek, który po złożeniu był dostępny dla każdego, kto odpowiednio manipulował linkami.

Co gorsza, obrazy różnych dokumentów mogą się czasem znaleźć w internecie na życzenie ich posiadaczy. Niektórzy ludzie mają naprawdę małą świadomość i chwalą się swoimi dokumentami nawet na Instagramie.

Jestem kibicem — co robić, jak żyć?

W zasadzie, to nie ma znaczenia, czy jesteś kibicem, czy nie. Ta rada pochodząca z naszego otwartego wykładu “Jak nie dać się zhackować?” jest uniwersalna i dotyczy każdego:

Przy okazji, miło nam poinformować, że po Krakowie, Warszawie i Poznaniu, oraz po setkach pozytywnych opinii uczestników, nasz wykład “Jak nie dać się zhackować?” odbędzie się także w innych miastach. Będą to:

Zapisy juz ruszyły i liczba wejściówek jest ograniczona, więc zalecamy pośpiech. Wejściówki można zdobyć tutaj.

Wykład dedykowany jest wszystkim którzy korzystają z komputera lub smartfona i internetu, robią zakupy online i używają bankowości elektronicznej. W 3 godziny pokazujemy jak poprawnie zabezpieczyć swoje urządzenia i internetowe konta, chronić swoją prywatność w sieci oraz jak wykrywać i poprawnie reagować na najpopularniejsze w Polsce ataki internetowe. Prelekcja jest pełna humoru i przeplatana widowiskowymi atakami na żywo. Bez problemu zrozumieją osoby nietechniczne (kibice też ;). Szerszy opis wykładu znajdziecie tutaj a aktualnie dostępne wejściówki na poszczególne miasta znajdziecie tutaj. Do zobaczenia!

Podsumowując, jeśli coś wgrywasz do internetu — załóż najgorsze: że te będą publicznie dostępne. Dla każdego. Na zawsze. Zastanów się więc czy jeśli serwis prosi Cię Twoje dane osobowe, a zwłaszcza o skan dowodu, to nie lepiej jest zażyć trochę ruchu i udać się do fizycznej siedziby firmy i tam okazać (nie przekazać, nie dać zeskanować — okazać!) dowód. Wiele z serwisów, które wymagają weryfikacji tożsamości pozwala na takie działanie. Jednym z przykładów jest Trafficar i część z banków oraz operatorów GSM.

Pamiętaj, że jak wycieknie Ci hasło, to możesz je zmienić. Jak ktoś wykradnie obraz Twojego dowodu, to go zastrzeż. Uchroni Cię to przed “lewymi” kredytami. Pamiętaj tylko, że wyciek skanu dowodu, to także wyciek Twojego numeru PESEL. A jego nie zmienisz. I to jest problem, bo PESEL jest często wykorzystywany jako “element uwierzytelnienia” w różnych firmach. W przypadku opisywanej przez nas niedawno kradzieży pieniędzy z konta w mBanku przez aplikację mobilną, jedną 3 rzeczy jakie trzeba było znać, aby kogoś okraść był właśnie PESEL (poza nazwiskiem panieńskim matki i numerem telefonu) — por. Przestępcy przekierowali mu telefon i okradli konto w banku.

PS. Jazda jazda jazda, Arka Gdynia!

Przeczytaj także:

34 komentarzy

Dodaj komentarz
  1. hehe spoko prawdziwi kibice są już oddawna w necie
    https://www.wykop.pl/cdn/c3201142/comment_jWXVvfzh6V7v9erSnZU1XF1pK92hu5D3.jpg

    • Jeden ma konto na FB wklejając bilion zdjęć z własnego życia , a inni umieszczają różnego typu przerobione dokumenty. Nie widzę w tym nic nadzwyczajnego w byciu patriotą , kibicem , czy kimkolwiek innym .

  2. Tumu{L}ec? Stąd wycieklo to zdjęcie?

  3. A tu jest jak należy poprawnie OKAZYWAĆ dowód osobisty: https://www.youtube.com/watch?v=BRBgtIhvAYo

    • A tu jest jak NIEnależy poprawnie OKAZYWAĆ dowód osobisty!
      Policja to jedne z nielicznych organów uprawnionych do potwierdzenia tożsamości i weryfikacji dokumentów (np. dowód os. i prawo jazdy) – organoleptycznie.
      Ten film pokazuje tylko “cfaniaka” i mega spokojne podejście funkcjonariusza.
      takie pogrywanie to tylko proszenie się o kłopoty.
      Ustawa o Policji upoważnia funkcjonariuszy do przeprowadzenia kontroli drogowej i legitymacji obywateli.
      PS 1: temat Iskry to inna sprawa, ale w naszym (niebezpiecznikowym) rozważaniu nie o to chodziło
      PS 2. takie OKAZYWANIE jest odpowiednie dla wszelkiej maści kontrolerów i “dupozawracaczy”

    • Ani ustawa ani rozporządzenia nie określają czy policjant ma prawo zabierać nam dokument by spisać z niego dane. Mówią tylko, że policjant “ustala tożsamość na podstawie dokumentu”. Policjanci – także wysoko postawieni – twierdzą, że mają prawo go brać do ręki, ale sprawa nie jest uregulowana w prawie. Tak ich uczą w szkołach policyjnych, ale skrypty tam używane nie są źródłem prawa, więc nie mają żadnego znaczenia (zresztą dużo jest tam dziwacznych treści, ale to inna para kaloszy).

      Dopóki się nie znieważa funkcjonariusza ani wprost nie utrudnia mu czynności, to nie ma znaczenia czy jesteśmy uprzejmi, neutralni czy butni. Policja nie ma podstaw oczekiwać, że będziemy się zachowywać wobec nich jak pokorne cielę. Tak zwane “cwaniaczenie” to nie jest czyn karalny i policji nie wolno za nie karać czy złośliwie utrudniać takim osobnikom życia, przedłużając niepotrzebnie czas wykonywania czynności. Jest to ważne tym bardziej, że określeniami tego typu policjanci często nazywają zwykłe domaganie się podania nazwiska i stopnia przez funkcjonariusza (a mają obowiązek zrobić to zawsze i to bez wezwania, jest to powszechnie ignorowane przez policjantów).

      A co do kontroli biletów, to kontolerzy w spółkach dawnego PKP mają prawo brać do ręki tak bilet, jak i dokument uprawniający do ulgi, bo wprost mówią o tym odpowiednie przepisy, ale nie dotyczy to m.in. legitymacji służbowych.

    • Policjant ma prawo wziąć dokument do ręki, bo ustawa daje mu prawo sprawdzić jego autentyczność.

    • @wtf – Sprawdzenie autentyczności dowodu osobistego nie jest możliwe za pomocą ręki i oka. Każdy dokument potwierdzający prawdę jest autentyczny, nawet kopia dowodu wykonana na zamówienie w internecie przez firmę reklamową. Nie ma znaczenia czy został wydrukowany w PWPW czy w domu na drukarce, jeżeli potwierdza PRAWDĘ to jest AUTENTYCZNY.

    • @wtf: kontroler biletów w komunikacji miejskiej ma – podobnie jak policjant – prawo zatrzymać dokument, jeżeli jest UZASADNIONE podejrzenie że jest fałszywy. Ale to nie znaczy, że mamy dawać mu dokument do ręki.

      Nie miałbym nic przeciwko temu, by policjant brał moje dokumenty do ręki gdybyśmy żyli w normalnym kraju. Ale nie żyjemy. Policjanci robią zdjęcia prywatnymi smartfonami dowodom osobistym osób legitymowanych i nic im nie można za to zrobić, a co raz trafia do pamięci telefonu, to zostaje już tam zazwyczaj na długo.

      Nie życzę sobie by moje dane fruwały po internetach. Nie daję dowodu policjantowi do ręki nie dlatego, że nie lubię policji. Ja im tylko (i aż) nie ufam.

    • Zasadniczo uważam, że zachowanie z podlinkowanego filmu wpisuje się idealnie w naszą naturę pieniacza. Jeśli ustawa mówi o “okazaniu” to z jednej strony nie musi to oznaczać, że mamy “przekazać” dokument, z drugiej strony jego “przekazanie” jak najbardziej realizuje znamiona “okazania”. Ergo – poddając się kontroli możemy trzymać kurczowo dokument w ręku, jednak jeśli funkcjonariusz poprosi o jego “przekazanie” do własnoręcznego macania, to mamy “psi obowiązek” (w tym kontekście to nawet zabawne) przekazać dokument. Dlaczego? Bo jesteśmy zobowiązani wykonywać polecenia w czasie kontroli. Takim poleceniem jest: “Proszę podać mi dowód osobisty do ręki”. Natomiast ponieważ mieszkamy w państwie prawa, każdy komu takie zachowanie nie odpowiada może zgłosić skargę w trybie kpa na funkcjonariusza, względnie zawiadamiać o przestępstwie (nadużycie stanowiska/funkcji). (Ostrzegam tylko przed tym, że na miejscu policjanta niszczyłbym takich zawodników pozwami i zawiadomieniami zwrotnymi o czyn z art. 238 kk.)

  4. Powinno się tępić praktykę kserowania, skanowania i fotografowania dokumentów z danymi osobowymi. To źródło fraudów i naruszenie prywatności. Autoryzowanie sie w ten sposób przeczy idei bezpiecznego dokumentu. Dotyczy to i paszportów obcokrajowców. Nie dawajcie sobie skanować nawet paszportów, będąc za granicą! Często jest tak, że jak się w hotelu czy wypożyczalni postawi sprawę “albo brak skanu, albo nie korzystam z waszych usług” to obsługa najczęściej mięknie i pozwala na samo spisanie danych.

  5. @niebezpiecznik planujecie może kolejne edycje “Jak nie dać się zhackować?” w miastach, w których już byliście? Niestety termin mi nie odpowiadał i nie mogłem być na pierwszej edycji.

    • Tak – Warszawa i Krakow na pewno jeszcze raz w tym roku.

  6. Kiedy wykład będzie znowu w Krakowie?

  7. W kodzie dalej jest coś ciekawego np. ścieżka do panelu zarządzania:
    Takie rzeczy chowa się zazwyczaj
    cms.laczynaspilka.pl’

    var FRONT_URL = ‘https://www.laczynaspilka.pl’;
    var SHOP_URL = ‘https://sklep.laczynaspilka.pl’;
    var CMS_URL = ‘https://cms.laczynaspilka.pl’;
    var CRM_URL = ‘crm.laczynaspilka.pl’;
    var FRM_COOKIE_DOMAIN = ‘.laczynaspilka.pl’;

    • var w 2018… teraz sie constow uzywa :D

  8. Pan Kwiatkowski chyba się rozmija z prawdą.
    Do założenia konta nie trzeba skanu, ale do wystąpienia o kartę kibica trzeba było podać skan dowodu, bo na tej podstawie bank wydający kartę weryfikował osoby :)
    BTW. Podejrzewam że skan dowodu przekazywany był do banku …ale to tylko domniemanie.

    • Wymóg wysłania skanu dowodu wynika chyba z ustawy o bezpieczeństwie imprez masowych.

  9. Dodatkowo … tak wyglądał procedura jakiś czas temu. Więc w dniu dzisiejszym może to faktycznie wyglądać inaczej. Podgląd dowodów widnieje na informacjach o podpiętych do profilu kartach kibica …a nie publicznych zdjęciach osoby związanej z profilem.

    • Zgadnij dlaczego jakiś czas temu, i co sprawiło, że zostało to zmienione… ;)

  10. ale to coś nowego czy jak pisze ktoś z PZPN na twitterze to sprawa z października?

    • Niekoniecznie z października. Bo skany dowdów osobistych widnieją do dziś podczas wyświetlania informacji o karcie kibica podpiętej do zarejestrowanego profilu.

  11. Proponuję artykół na temat dlago dlaczego skan dowodu osobistego traktowany jest jako uwierzytelnienie.

    Ja rozumiem, ze to jest identyfikacja, ale nic poza to, a co raz się dowiaduję, że jest to traktowane jak coś więcej.

    Pół biedy gdyby to był faktycznie dowód osobisty, ale zdjęcie czy same dane to już bez przesady.

  12. A propos PESELu, to przy odbiorze listownym EKUZ zamawianej przez ePUAP ZUS wysyła ją przesyłką… ekonomiczną. Ktoś może odebrać twoją EKUZ i użyć imienia, nazwiska, PESELu i takich tam.

    • ale wiesz, że ktoś może sobie też wziąć tysiące imion, nazwisk i przypisanych do nich PESELi z ksiąg wieczystych on-line albo z rejestru KRS i użyć ich…. no właśnie, do czego można użyć takich danych?

    • Mnie zawsze zastanawia przesyłanie zwykłym listem karty i bezpiecznej koperty z pinem do niej. Często się zdarza, że to jest przesyłane w tym samym dniu, co prawda dwie przesyłki ale trafić można w skrzynce. Sądzę że banki kalkulując ryzyko oceniają je jako zbyt mało prawdopodobne żeby inwestować w listy polecone :)

    • Do wzięcia kredytu-chwilówki.Był o tym artykuł na niebezpieczniku…

  13. Jeżeli na Wasz dowód ktoś uzyska kredyt w banku … to BANK BĘDZIE MIEĆ PROBLEM A NIE WY. Skończmy z udowadnianiem że nie jest się wielbłądem. W przypadku kredytu bankowego poszkodowanym jest to kto utracił korzyści, kasę, usługę itp. Osoba której danymi się posłużono nie jest osobą poszkodowaną.

  14. Co to za ‘gadżety niebezpiecznika’ można dostać płacąc trochę więcej za bilet?

    • Na chwilę obecną:
      – kubek,
      – długopis,
      – opaska oblaskowa (bezpieczeństwo na drodze ;)
      – zaślepka na kamerę w laptopie
      – osłonka na kartę płatniczą z NFC

  15. Zaślepkę na kamerę z Waszym logo to bym nawet kupił :)

  16. rozumiem. kantor kryptowalut, portfele i giełdy kryptowalut, allegro, fejsbuk, paypal, uber czy też wiele innych mam się wybrać fizycznie? do PZPN-u również? Ok tutaj możemy pofatygować się do alior banku ale i tak odsyłają nas na portal. Brawo niebezpiecznik! Logiczne!

  17. Interesujący tekst :)

    PS
    Arka niech spływa :P

  18. Świetna odpowiedź: “Serwis jest tworzony przez firmę zewnętrzną…” To właściwie nie wina PZPN… przecież oni nie mają wpływu na to co inna firma sobie robi… WTF?!?

    Żenada. Powinni skończyć odpowiedź na “Dziękujemy za czujność, luka załatana. Dołożymy wszelkich starań żeby nie dać ciała w przyszłości.” Co to za pomysł że Zamawiający nie jest odpowiedzialny za ostateczny kształt aplikacji?

    Niech wreszcie instytucje publiczne zaczną zatrudniać ekspertów IT i szkolić swoje kadry a nie tanim kosztem próbują się ślizgać po temacie. I potem fakap na fakapie i pitu pitu “nie nasza wina”. To ten wykonawca jest zły. eh…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: