12:08
15/5/2020

O kontrowersjach związanych z przekazaniem Poczcie Polskiej danych wyborców już pisaliśmy. Przypomnijmy, poczta wysłała niepodpisane pismo, domagając się od samorządowców danych obywateli. Dane miały być niezaszyfrowane i choć Poczta Polska chciała, aby przekazać je przez EPUAP, to z racji niejasnych zwrotów w piśmie, część osób mogła zrozumieć, że chodzi o przesłanie ich e-mailem, a to byłby bardzo zły pomysł.

ePUŁAPKA

W naszym poprzednim artykule informowaliśmy, że użycie EPUAP-u do wymiany danych nie jest takie złe, jak niektórzy to przedstawiali. Platforma powstała po to aby wymieniać przez nią dane istotne i z zachowaniem poufności w tranzycie. Postawiliśmy w tekście nawet tezę, że jeśli do wycieku danych wyborców dojdzie, to pewnie na skutek błędu ludzkiego, bo ktoś albo nie będzie się obchodzić odpowiednio z danymi na swoim komputerze przed wysłaniem przez EPUAP, albo po odebraniu przez EPUAP albo po prostu prześle pismo nie na tę skrzynkę w EPUAP na którą powinien. EPUAP-owi daleko do ideału intuicyjności.

I zgadnijcie co zrobiło Ministerstwo Cyfryzacji (COI) rutynowo informując samorządy o nowych funkcjonalnościach systemu ePUAP? Komunikat nadało ze skrzynki Poczty Polskiej dedykowanej wyborom! No chyba, że nadawcą tego komunikatu jest Poczta Polska. Ale w takim razie, dlaczego wiadomość jest podpisana przez Ministerstwo Cyfryzacji 🤔

Oto treść tego komunikatu:

A kiedy zajrzy się do Urzędowego Potwierdzenia Odbioru, aby zweryfikować metadane i podpisy komunikatu, widzimy:

I teraz nie wiemy:

  • czy to Poczta Polska ma dostęp do podpisów elektronicznych Ministerstwa Cyfryzacji?
  • czy to Ministerstwo Cyfryzacji kontroluje skrzynkę Poczty Polskiej?

 

Żadna z tych sytuacji nie powinna mieć miejsca! Jeden ze zgłaszających nam problem urzędników twierdzi, że:

Podważa to zaufanie do ePUAP i skrytek esp.

Drugi z trzecim zastanawiają się:

Ministerstwo podszywa się pod spółkę?

Kto był wyznaczony do przeprowadzenia wyborów, COI, MC czy poczta? ;)

Czwarty, chyba pracujący w urzędzie długie lata, po prostu pozdrawia nas “z tego zwariowanego kraju”…

Reakcja Ministerstwa Cyfryzacji chce uznać wpadkę za niebyłą

MC po zorientowaniu się, co zrobiło, nadało kolejne pismo. Prosi w nim aby tę kłopotliwą na wielu poziomach wiadomość potraktować jako “niebyłą”. Problem w tym, że wysłanych przez EPUAP wiadomości nie uda się ministerstwu tak łatwo skasować z internetu, jak niedawno zrobiło to z kontrowersyjnymi zaleceniami, aby faworyzować w sklepach tych Polaków, którzy mają zainstalowaną rządową aplikację Stop COVID (dawniej ProteGo Safe). No chyba, że zaczną kasować ze skrzynek odbiorców. Ale to by tylko pogorszyło sytuację.

Dzisiaj otrzymali Państwo pismo dotyczące wdrożenia nowego modułu w systemie ePUAP. W wyniku błędu wysyłka realizowana przez Centralny Ośrodek Informatyki na rzecz Ministerstwa Cyfryzacji została wysłana z niewłaściwej skrzynki nadawczej „/Poczta_Polska/wybory2020”. Przepraszamy za pomyłkę i prosimy o nieodpowiadanie na poprzednią wiadomość i uznanie jej za niebyłą.

Wiadomość zostanie przekazana ponownie ze skrzynki nadawczej Ministerstwa Cyfryzacji.

Z poważaniem,

Marcin Walentynowicz
Dyrektor Centralnego Ośrodka Informatyki

Tego właśnie się obawialiśmy w poprzednich tekstach poświęconych przesyłaniu danych wyborców przez internet. Że ktoś popełni błąd ludzki. Nie sądziliśmy, że tak szybko. I że potem będzie chciał go uznać za “niebyły”.

Zakładanie że mylnie przesłane dane są “niebyłe” to kiepski pomysł. Nawet jeśli odbiorca potwierdzi ich usunięcie, nigdy nie ma pewności, że faktycznie je usunął… Na koniec zaznaczmy, że tu błąd popełnił operator systemu, ktoś kto powinien znać go doskonale. Jakie błędy popełnią mniej zaznajomieni z EPUAP-em urzędnicy, którzy na mocy ustawy będą musieli przesłać do Poczty Polskiej (Ministerstwa Cyfryzacji?) spis wyborców? Czas, niestety, pokaże…

PS. Nie masz się z czego cieszyć Czytelniku. Jakieś Twoje dane też już na pewno wyciekły.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

38 komentarzy

Dodaj komentarz
  1. Ministerstwo Cyfryzacji traci w oczach ludzi zainteresowanych bezpieczeństwem sieci czy też ogólnie ludzi z branży i okręgu zainteresowania IT…. Co za wstyd…

    • Jest bardzo proste wyjaśnienie tego. Przecież Ministerstwo Cyfryzacji, Poczta Polska i Policja to ten sam narząd wywiadowczego i policyjnego państwa. Tu kolejny dowód na moje słowa – policja dostarcza decyzję administracyjną. Policja pełniąc czynności listonosza.

      youtube. com/watch?v=y7SWR6TFSfk

  2. ?! Jaki ludzki błąd?! To jest coś znacznie poważniejszego… ludzki błąd mógłby być w przypadku fanpage na Facebooku, który daje się prowadzić jakiejś zewnętrznej firmie, która to mając takich kilka(naście), mogłaby faktycznie się pomylić. Ale tu?! To są dwie oddzielne instytucje „zaufania publicznego”, każda ze swoimi tajnymi i poufnymi danymi, do tego każda powinna posiadać wykwalifikowany personel który by się tym zajmował… a tu najwyraźniej obie „firmy” kozystają z jednego i tego samego biednego technika, który faktycznie mógł się po prostu pomylić… No chyba, że jest jeszcze gorzej i jedna firma może się podszywać pod drugą, wtedy stracę jakiekolwiek zaufanie do tego systemu elektronicznego.

    • Ja już przestałem się bać. Zwyczajnie zmieniam obywatelstwo i mam to w D….

    • @Tokkotai

      > Ja już przestałem się bać.

      Ja nie.

      > Zwyczajnie zmieniam obywatelstwo i mam to w D….

      Super. Tylko jak to chcesz zrobić żeby mieć to w d…?

      Muszę Cię rozczarować. Jeżeli nie uwierzysz w to co napiszę, poczytaj ustawę i obywatelstwie polskim, ustawę o ewidencji ludności i powiązane ustawy i rozporządzenia.

      Żeby móc przestać być obywatelem Polski, wpierw musisz uzyskać obce obywatelstwo albo przynajmniej przyrzeczenie jego nadania od władz danego państwa. Z potwierdzającym taki fakt dokumentem zwracasz się do prezydenta Polski, żeby zechciał wyrazić zgodę na utratę przez Ciebie obywatelstwa polskiego.

      Prezydent może się zgodzić lub nie. Nie jest związany żadnymi terminami i żadnymi wytycznymi poza tym, że musi zadbać o to żebyś nie stał się bezpaństwowcem – stąd wymóg o którym napisałem powyżej. Prezydent nie musi swojej decyzji uzasadniać i nie masz żadnej możliwości odwołania się od takiej decyzji do żadnego organu. Co najwyżej możesz ponowić wniosek do Prezydenta w nadziei, że może tym razem wyda inną decyzję.

      Aha, i musisz wypełnić długaśny wniosek do prezydenta, dołączyć biometryczne zdjęcie, podać dane osobowe, swoje adresy oraz informacje o Twoim małżonku. Przed przekazaniem wniosku prezydentowi, będziesz sprawdzany przez policję i ABW. Podane przez Ciebie dane oczywiście zostaną na wieki w polskich archiwach.

      I rzecz najważniejsza: po utracie obywatelstwa nie zyskasz NIC jeśli chodzi o prywatność. Wręcz stracisz: staniesz się cudzoziemcem polskie służby (a konkretnie szef ABW) będą mogły Ci założyć podsłuch albo nawet kamerę w domu (także w łazience) bez zawracania sobie głowy wnioskami do sądu.

      Zabiorą ci polski dowód i paszport, ale Twój numer PESEL zostaje ten sam, podobnie jak prawo jazdy i informacje o punktach karnych kierowcy. Dane o Tobie w rejestrach państwowych pozostaną wszystkie takie jak były dotąd, włączając w to wszystkie Twoje zdjęcia, jakie dałeś (bo musiałeś) naszemu państwu do dowodów i paszportów, wszystkie Twoje dotychczasowe adresy zameldowania na pobyt stały, dane o Twoich małżonkach i dzieciach z ich numerami PESEL – itd. – całość z dostępem online dla Policji, innych służb i urzędów. Jedyne co się zmieni to pole “obywatelstwo” w rejestrze PESEL właśnie.

      Wnioski wyciągnij sam…

    • @tokkotai

      > Ja już przestałem się bać

      Ja nie.

      > Zwyczajnie zmieniam
      > obywatelstwo i mam to w D….

      Super. Tylko jak to chcesz zrobić żeby mieć to w d…?

      Muszę Cię rozczarować. Jeżeli nie uwierzysz w to co napiszę, poczytaj ustawę i obywatelstwie polskim, ustawę o ewidencji ludności i powiązane ustawy i rozporządzenia.

      Żeby móc przestać być obywatelem Polski, wpierw musisz uzyskać obce obywatelstwo albo przynajmniej przyrzeczenie jego nadania od władz danego państwa. Z potwierdzającym taki fakt dokumentem zwracasz się do prezydenta Polski, żeby zechciał wyrazić zgodę na utratę przez Ciebie obywatelstwa polskiego.

      Prezydent może się zgodzić lub nie. Nie jest związany żadnymi terminami i żadnymi wytycznymi poza tym, że musi zadbać o to żebyś nie stał się bezpaństwowcem – stąd wymóg o którym napisałem powyżej. Prezydent nie musi swojej decyzji uzasadniać i nie masz żadnej możliwości odwołania się od takiej decyzji do żadnego organu. Co najwyżej możesz ponowić wniosek do Prezydenta w nadziei, że może tym razem wyda inną decyzję.

      Aha, i musisz wypełnić długaśny wniosek do prezydenta, dołączyć biometryczne zdjęcie, podać dane osobowe, swoje adresy oraz informacje o Twoim małżonku. Przed przekazaniem wniosku prezydentowi, będziesz sprawdzany przez policję i ABW. Podane przez Ciebie dane oczywiście zostaną na wieki w polskich archiwach.

      I rzecz najważniejsza: po utracie obywatelstwa nie zyskasz NIC jeśli chodzi o prywatność. Wręcz stracisz: staniesz się cudzoziemcem polskie służby (a konkretnie szef ABW) będą mogły Ci założyć podsłuch albo nawet kamerę w domu (także w łazience) bez zawracania sobie głowy wnioskami do sądu.

      Zabiorą ci polski dowód i paszport, ale Twój numer PESEL zostaje ten sam, podobnie jak prawo jazdy i informacje o punktach karnych kierowcy. Dane o Tobie w rejestrach państwowych pozostaną wszystkie takie jak były dotąd, włączając w to wszystkie Twoje zdjęcia, jakie dałeś (bo musiałeś) naszemu państwu do dowodów i paszportów, wszystkie Twoje dotychczasowe adresy zameldowania na pobyt stały, dane o Twoich małżonkach i dzieciach z ich numerami PESEL – itd. – całość z dostępem online dla Policji, innych służb i urzędów. Jedyne co się zmieni to pole “obywatelstwo” w rejestrze PESEL właśnie.

      Wnioski wyciągnij sam…

    • @Tokkokai

      Zmiana obywatelstwa nic Ci nie da, z rejestrach państwowych pozostaną Twoje dane już na wieki.

      Ba – nawet Twój numer PESEL pozostanie niezmieniony!

  3. Niestety – obnażony poziom świadomości ryzyk i kompetencji u samego źródła. Długofalowo rzutuje na wiarygodność całego mechanizmu.

  4. Przecież to właśnie jawne przyznanie, że rząd chciał ukryć się pod przykrywką Poczty i zbudować protezę dla ubezwłasnowolnionej przez siebie PKW.

  5. W sumie nie dziwi nic. Wygląda że poczta tylko w teorii to robi a naprawdę robi MC. Bo nie wierzę że MC i poczta polska dzieła się hasłami i kluczami do bezpiecznej poczty. Witki opadają.

  6. A może pracownicy MC mają superadmina i mogą się przełączać na dowolne konto?

  7. Ale dlaczego oburzenie? Przecież Poczta Polska od zawsze dostarczała korespondencję. Szczególnie urzędową :-P

  8. Oznacza to, że ministerstwo może wysłać pocztę, z dowolnego, również nie należącego do nich konta. Podszyć się pod kogokolwiek, i to właśnie robią. Jeden plus, że chyba nie mają dostępu do kluczy podpisów cyfrowych.

  9. jakby nie było to ePuap przechodzi teraz modernizację silnika, potwierdzone

  10. No cóż. Jeden kraj, jedna spółka, jeden wodzirej.

  11. Nie wiem skąd to zdumienie i zaskoczenie? Można na to było postawić kasę i się wzbogacić.

  12. po prostu AMEBIX xD

  13. Partia rządząca po prostu uważa, że Państwo to my.
    Co najlepiej widać gdy mówią o Państwowej Wytwórni Papierów Wartościowych… i do głowy im nie przyjdzie, że jak firma się nazywa Polska, to nie jest to tożsame z Państwowa.

  14. Jeżeli dobrze zrozumiałem to COI wysłał pismo. Z konta PP, zamiast konta MC… Czyli operator systemu może wysyłać wiadomości z nie swoich kont… utworzonych dla innych podmiotów, wystemie którym zarządza… Ciekawe czy mają upoważnienia od obu instytucji na korzystanie z ich skrzynek pocztowych, i czy dokumentują takie zdarzenia… zakladam że z tego zdarzenia powstał jakiś raport po incydencie. Lokalny bezpiecznik na pewno tego dopilnuje…

  15. Faflun z Podlasia, to jednak jest fachowiec. Dobry minister cyfryzacji

  16. A ja usiłuję od paru dni skorzystać z możliwości dopisania do listy wyborców w miejscu zamieszkania przy pomocy profilu zadufanego. Tylko że od ponad tygodnia strona do składania wniosków jest zablokowana z komunikatem “Wnioski można było składać na 5 dni przed wyborami”. To, że wybory się (nie) odbyły, jakoś nie zauważyli. Albo uznali, że w obecnej dyktaturze żadnych więcej wyborów już nie będzie…

    • Nie martw się. Nic nie straciłeś ;) 5 dni przed wyborami też się nie dało dopisać – próbowałam. Wniosek niby szedł a potem raptem nigdzie go nie było. Gdy zadzwoniłam na infolinię, okazało się, że nie da się już zbadać sytuacji, która miała miejsca raptem parę dni wcześniej. Po złożeniu nowego wniosku-widma i zrobieniu oficjalnego zgłoszenia o błędzie zległa cisza. Chyba mam zbyt niski scoring, by zostać dopuszczoną do wyborów :D

  17. Pod artykułem z 07.05 ”
    Ktoś podając się za urzędnika Ministerstwa Cyfryzacji dzwoni do Polaków i prosi o pokazanie dowodu do kamerki” – dodałem taki komentarz i postanowiłem go przekleić 1:1 – rozumiecie dlaczego ;)

    obercik on 2020/05/07 at 23:02

    (…) poprosi o okazanie dowodu tożsamości w taki sposób, by mógł przeczytać jego treść.  
    Gorszej bzdury chyba nie słyszałem <<< od kogo, jak od kogo, ale od speców z MC oczekiwałbym większego profesjonalizmu.

  18. Takie tam pentesty :) Ktoś zapewne z COI pomylił środowiska :P

    • Albo po prostu i w COI i na Poczcie pracuje ta sama osoba, ma dostęp do obu skrzynek i przypadkiem zapomniała zmienić prawidłowej :D

  19. Dlatego właśnie “klauzule informacyjne RODO” mają sens.
    Zgodnie z art. 14 RODO Poczta Polska ma miesiąc na poinformowanie wszystkich osób, których dane pozyskała, m.in. o odbiorcach danych. I tam powinniśmy przeczytać czy Poczta Polska nasze dane przekazała lub zamierza przekazać do COI czy do jakiejś drukarni. Gdyby Poczta zechciała wykonać ten obowiązek to do skrzynek pocztowych milionów Polaków powinny trafić klauzule informacyjne. Pamiętacie sprawę pierwszej kary nałożonej przez UODO? Parwie milion złotych kary za to, że firma Bisnode nie wysłała klauzuli informacyjnej…
    I miliony złotych pójdą …

  20. Dlatego właśnie “klauzule informacyjne RODO” mają sens.
    Zgodnie z art. 14 RODO Poczta Polska ma miesiąc na poinformowanie wszystkich osób, których dane pozyskała, m.in. o odbiorcach danych. I tam powinniśmy przeczytać czy Poczta Polska nasze dane przekazała lub zamierza przekazać do COI czy do jakiejś drukarni. Gdyby Poczta zechciała wykonać ten obowiązek to do skrzynek pocztowych milionów Polaków powinny trafić klauzule informacyjne. Pamiętacie sprawę pierwszej kary nałożonej przez UODO? Prawie milion złotych kary za to, że firma Bisnode nie wysłała klauzuli informacyjnej…
    I miliony złotych pójdą …

  21. to więcej niż zbrodnia, to błąd

  22. Podobno ePUAP trzeba było zaorać.

  23. Dla mnie to przede wszystkim incydent z nieuprawnionym? dostępem do danych. COI serwisuje ePUAP, ale czy to znaczy, że mogą mieć dostęp i korzystać ze skrytki służącej do odbioru danych osobowych 30 mln wyborców??!
    I jeszcze te stwierdzenia, że dane mają być wysłane bez hasła…

  24. Tylko jedna uwaga , to że jako właściciel podpisu kwalifikowanego jest wskazane MC, to chyba norma . User certyfikuje się w epuap a później epuap potwierdza nas certyfikat. Nie jest to intuicyjne ale tak działa epuap

  25. Uprzejmie wnoszę o zmianę koloru wyróżników. Czerwone litery na czarnym tle są uciążluwe. Proponuję jasnoczerwony, żółty, błękitny… Dziękuję bardzo.

  26. Taka to cyfryzacja państwowa…

  27. Więce, że od 10 strona http://www.policja.pl/
    I http://pis.org.pl/ nie działają? Chyba ktoś DDosuje je

  28. Może po prostu admin PP założył skrzynkę pocztową przedstawicielowi MC w ich domenie na potrzeby komunikacji związanej z wyborami? Nie wiem, dla mnie zero szoku. Zgadzam się, że to świadczyłoby o pewnym chaosie, ale obyśmy mieli tylko takie problemy.

  29. W sumie nie wiem o co takie halo robicie, przecież pole w mailu “Od” każdy możne sobie nazwać jak chce. To, ze w “od” jest napisane “wybory_2020..” nie znaczy, ze MC kontroluje maila poczty polskiej. Najprawdopodobniej MC robi jakis projekt, pewnie przekazanie danych dla poczty i to konto pocztowe jest zaangażowane w jakiś sposób w przekazanie tych danych.
    To, ze to jest niekonicznie zgodne z prawem to inna kwestia ale taki mail nie znaczy, ze Poczta steruje MC.

  30. […] Dlaczego przesyłanie danych wyborców e-mailem to słaby pomysł i poruszaliśmy ten wątek przy okazji afery dotyczącej Poczty Polskiej (por. Poczta Polska wystąpiła do gmin o dane wyborców w niezaszyfrowanym pliku TXT ) i jeszcze większej wpadki Ministerstwa Cyfryzacji, które “włamało się” na skrzynkę Poczty Polskiej w EPUAP-ie (por. Wyborczych porażek ciąg dalszy, nawet Ministerstwo Cyfryzacji nie umie w EPUAP). […]

Odpowiadasz na komentarz Mic

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: