9:46
26/2/2019

Wystarczyło wysłać jednego maila z dowolnego adresu, aby zmienić adres e-mail przypisany do konta użytkownika w systemie jednego z Biur Informacji Gospodarczej. Być może nikt nie skorzystał z tego “triku” do podglądania cudzych danych, ale na wszelki wypadek sprawdźcie swoje konta.

Dobrze jest się sprawdzać

Rok temu pisaliśmy o tym co zrobić, aby uniemożliwić komuś wzięcie pożyczki na nasze dane. Opisaliśmy w tamtym artykule wiele rozwiązań antyfraudowych, które niestety nie tworzą w Polsce spójnego systemu. Co więcej, podkreślaliśmy, że korzystanie z nich może się wiązać z pewnym ryzykiem, nawet jeśli te usługi same w sobie mają na celu obniżyć ryzyko męczenia się z niechcianym kredytem.

W tym tekście sprzed roku wspominaliśmy też m.in., że Biura Informacji Gospodarczej mają usługi sprawdzania kto pytał o nasze dane. Jedno z takich biur — ERIF BIG S.A. — świadczy tego typu usługę pod adresem infoKonsument.pl. W tym serwisie możemy “sprawdzić siebie, zanim zrobi to bank” i to nawet za darmo, przynajmniej jeśli nie robimy tego za często. Oczywiście sprawdzenie wymaga przekazania do ERIF BIG S.A. pewnych danych m.in. o naszym numerze PESEL.

Wystarczył jeden e-mail

Nasz Czytelnik Baltazar (imię zmienione) założył sobie konto na infoKonsument.pl właśnie po przeczytaniu naszego artykułu. Podał wszystkie wymagane dane, włącznie z adresem e-mail. Niestety kilka dni później stracił dostęp do konta e-mailowego więc postanowił zmienić adres e-mail w systemie ERIF.

Na infolinii zostałem poinformowany, że mam wysłać wiadomość na BOK z prośbą o zmianę adresu e-mail na moim koncie w infokonsument.pl. Z ciekawości czy taki proces zadziała, wysłałem maila z mojego e-maila (nazwijmy go e-mailem B) w treści pisząc, że proszę o zmianę [przypisanego do konta] adresu e-mail (nazwijmy go e-mailem A) na C (jeszcze inny adres e-mail należący do mnie). Chwilę później dostałem odpowiedź w której napisane było, że zmiana zakończyła się sukcesem (…) Zalogowałem się używając adresu e-mail (C) oraz wysłanego przez nich hasła. Logowanie się powiodło.

Kiedy jeden *facepalm* to za mało…

Z ciekawości i my postanowiliśmy sprawdzić, czy zmiana adresu e-mail do logowania wymaga tylko wysłania wiadomości do BOK i czy Baltazarowi się “poszczęściło” czy brak dobrych praktyk w tego typu procesie jest w ERIF BIG S.A. standardową praktyką. Założyliśmy więc konto w infoKonsument.pl i dosłownie 10 minut później wysłaliśmy do eBOK prośbę o zmianę adresu. Zrobiliśmy to rzecz jasna z adresu innego niż ten, na który założono konto. Musimy przyznać, że obsługa klienta zareagowała bardzo szybko.

Rzeczywiście udało nam się zalogować na nowy e-mail. Dodajmy, że serwis InfoKonsument.pl umożliwia pobranie kopii swoich danych w bardzo wygodny sposób. Ilość danych dostępnych w serwisie zależy od poziomu weryfikacji konta, ale nawet na kontach niezweryfikowanych dostępny jest PESEL.

Poprawili, ale ich pracownicy nie rozumieją poprawionych procedur

Mając pewność co do istnienia problemu, zwróciliśmy się z pytaniami do ERIF. Odpowiedź otrzymaliśmy dość szybko i początkowo byliśmy nieco zaskoczeni. Okazało się bowiem, że sprawa została zgłoszona do ERIF jeszcze zanim wykonaliśmy nasz tekst i zadaliśmy pytania.

Szanowny Panie,
dziękujemy za zwrócenie uwagi na opisany przez Pana problem. W zeszłym tygodniu otrzymaliśmy zgłoszenie w tej sprawie od jednego z klientów. Niezwłocznie przeanalizowaliśmy sytuację i wprowadziliśmy działania korygujące, żeby zwiększyć poziom bezpieczeństwa użytkowników. Jesteśmy w trakcie wdrażania pracowników w nową procedurę obsługi tego typu zgłoszeń.

Dlaczego więc nam udało się zmienić e-mail, mimo że nowe procedury były już wdrażane? To wyjaśniono nam od razu.

Opisana przez Pana sytuacja jest wynikiem niedostatecznego zrozumienia nowej procedury przez obsługującego zgłoszenie pracownika. Błędnie ocenił, że użytkownik, który ma dostęp do ograniczonego zakresu danych (czyli taki, który nie ma pełnej aktywacji konta w serwisie infokonsument.pl), nie jest objęty nową procedurą.

Później jeszcze przyglądaliśmy się jak ERIF “sprząta” po wpadce. Na naszego testowego maila przyszła wiadomość o “weryfikacji założonego konta”. 

Baltazar też otrzymał e-maila o tym, że musi przejść dodatkową weryfikację. To dobry ruch, ale my (i Baltazar) wiadomość otrzymaliśmy już po zalogowaniu się na konto z nowego adresu e-mail, tak więc była to reakcja spóźnione. Ale lepsza niż żadna i — co chyba najważniejsze — wygląda na to, że ERIF uważnie sprawdził na jakich kontach dokonywano zmian adresu.

Co robić? Jak żyć?

Nie ma podstaw by mówić o “wycieku danych z ERIF”. Wiemy tylko, że jeden z naszych Czytelników zmienił swój adres w zadziwiająco prosty sposób, a nam udało się to powtórzyć. Jesteśmy trochę zdziwieni tym, że sami pracownicy ERIF nie dostrzegli w swoich procedurach dość poważnego błędu. Absolutnie w żadnej firmie nie powinno być tak, że e-mail połączony z kontem zmienia się na podstawie wiadomości wysłanej do eBOK z bylejakiego adresu.

Pozostaje mieć nadzieję, że nikt nigdy nie skorzystał z tego triku do złośliwego przejęcia cudzego konta. Na wszelki wypadek sugerujemy, by ci, którzy posiadają konta w infoKonsument.pl zalogowali się na swoje konta i sprawdzili, czy nie dokonano na nich jakichś nieautoryzowanych zmian.

A ci którzy kont nie posiadają… No cóż. Już wcześniej ostrzegaliśmy, że korzystanie z serwisów do sprawdzania zapytań w rejestrze długów wiąże się z ryzykiem wycieku danych. Również korzystanie z serwisów do zastrzegania numerów PESEL wiąże się z ryzykiem wycieku. Nie oznacza to, że takie usługi są “domyślnie złe” i nie powinno się z nich korzystać. W każdym przypadku trzeba indywidualnie rozważyć, czy lepiej sprawdzić, czy coś złego się stało, nawet jeśli nic złego się nie dzieje i w razie czego rozpocząć procedurę zastrzegania, czy po prostu nie korzystać z tego typu usług i nie tworzyć kolejnego miejsca, w którym przechowywane będą Wasze dane wrażliwe, ryzykując że dostęp do nich mogą uzyskać nieautoryzowane osoby.

Przeczytaj także:

17 komentarzy

Dodaj komentarz
  1. W BIK jest lepiej, bo (kiedyś zmiana była możliwa chyba tylko telefonicznie – teraz już można po zalogowaniu zmienić maila) na infolinii dostałem informację, że jeśli straciłbym dostęp do starego maila, to musiałbym usunąć konto (i ewentualnie założyć nowe na nowy adres e-mail). Do zmiany potrzebny jest dostęp do starego i oczywiście nowego konta e-mail. W mBanku, w epuap, w PUE zus zmiany maila nie są w żaden sposób potwierdzane (w mBanku chyba tylko smsem, ale nie ma informacji na jaki adres mailowy zostało zmienione) i to jest moim zdaniem problem (wystarczy niby sprawdzić czy dobrze się wpisuje, ale jedna wiadomość potwierdzająca na nowy adres e-mail by nie zaszkodziła, bo już nie mówię o potwierdzaniu jak w BIK).

    • Zamiast tworzyć rejestry to wystarczyłoby zastrzec możliwość zaciągania kredytów przez internet ,albo przenieść odpowiedzialność na bank za brak weryfikacji.

      Albo każdy kto chce idzie do banku i zanosi im oświadczenie sporządzone przy notariuszu ,że nie wyraża zgody na jakiekolwiek zaciąganie kredytu ,ale to już gorsze rozwiązanie.

      No ale Polska to chore istniejące w teorii państwo zarządzane przez niemców, usa to tu potrafią tylko syf robić i ściągać od ludzi podatki.

    • Credit blocki sa w usa ale tez trzeba je w kilku miejscach skladac

    • Sam pomysł że trzeba robić jakiś “creditblock” to absurd. Domyślnie powinna być zablokowana możlwość brania kredytu/pożyczki dopóki osobiście się człowiek nie stawi w placówce z dokumentami ze zdjęciem. Plus ustawowy zakaz przetwarzania przez firmy skanów/zdjęć dokumentów typu i paszport, dowód osobisty czy prawo jazdy. Numery PESEL do likwidacji.

    • @mic
      Co do BIK to usunięcie konta odbywało się jedynie telefonicznie. Ciekawe czy dalej tak to wygląda i jak weryfikują, że ja to ja.

    • W BIK jest “blokada umów kredytowych”, ale też nie działa w 100%, bo nie wszystkie firmy korzystają chyba z BIK. Korzystam z BIK, ale wolałbym tego nie robić, tzn. wolałbym żeby takie coś dało się zrobić bez korzystania z prywatnych firm (tak jak piszecie).

  2. Jak to było? RODO? Rażące niedbalstwo? Kolejny dowód na to, że RODO to fikcja.

    • Przecież RODO to nie jest automat do wykrywania i zatrzymywania takich akcji.

      Jak zobaczysz, że ktoś przejedzie na czerwonym, to zwalisz winę na Prawo o ruchu drogowym?

    • Naucz się wreszcie, dobry człowieku, że RODO ma się nijak do urzędów państwowych (wyjątek dodany właśnie po to, żeby tak zwana administracja publiczna mogła dalej bezkarnie partaczyć).

    • @CatLady
      Masz pojęcie o pojęciu..

  3. Ta cała “możliwość sprawdzenia się” w rejestrze i “upewnij się czy nikt nie wziął na Ciebie pożyczki” są obrzydliwe. Jeśli ktoś wziął na moje dane pożyczkę bez mojej zgody to jest jego problem, a nie mój. Kiedy skończą się praktyki “prosimy o przesłanie skanu dowodu”, “umowę przyślemy kurierem który sprawdzi dokumenty” (akurat!)

    • No własnie nie. To jest w 100% Twój problem, bo to do Ciebie zapuka windykacja i to Ty będziesz miał kłopoty i ciąganie sie po sądach. A jak się sprawdzisz w takim ERIFie, to da się zacząć działać wcześniej i może zapobiec kłopotom. Ale kto by o tym myślał….

  4. Jednym ze sposobów weryfikacja tożsamości na podstawie przesłanej kopii dokumentu tożsamości. Czy potencjalny złodziej konta nie dysponuje przypadkiem po jego uprzednim przejęciu danymi wystarczającymi, żeby sobie taki dokument po prostu wygenerować i przesłać sfałszowaną kopię?

    • Jakiekolwiek wysyłanie skanów czegokolwiek by potwierdzić cokolwiek to ZŁO.

      Nieuwierzytelniona kopia nie jest potwierdzeniem istnienia oryginalnego dokumentu – a nawet gdyby wysłać (pocztą tradycyjną) fizyczny, oryginalny dokument tożsamości, to przecież nie wiadomo czy jego nadawca to właściciel dokumentu. Po to jest zdjęcie twarzy w specjalnie zabezpieczonym dokumencie by porównać je z posiadaczem w czasie rzeczywistym (nie na video, nie selfie).

      Tylko podpis elektroniczny gdzie klucz prywatny generuję na swoim, zabezpieczonym urządzeniu a zaufana trzecia strona go podpisuje swoim kluczem prywatnym rozwiązuje sprawę. Niestety, takich rozwiązań w użyciu jest bardzo mało.

  5. To poroniony pomysł że żeby być bezpiecznym trzeba zakładać konto w serwisie który będzie monitorował, czy twoje dane nie wyciekły. Zamiast tego powinny być *drakońskie* ograniczenia w przetwarzaniu danych osobowych do minimum absolutnego.

  6. Zaliczyli wpadkę – jasne nie powinno się tak zdarzyć, ale sytuacja jest opanowana, chyba nie ma co bić piany w komentach…

  7. Niestety są firmy, gdzie w podobny sposób można uzyskać czyjeś dane wykorzystując prawo dostępu do danych gwarantowane przez RODO.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: