20:37
14/1/2019

Ponad 3 000 paszportów, konkretnie ich skanów z pełnymi danymi osobowymi posiadacza i zdjęciami, udostępniła, w sposób niezamierzony, firma pośredniczącą w uzyskiwaniu wiz. Problem dotyczy osób, które starały się o wizę do Wietnamu od kwietnia 2015 roku.

“Myślałem, że się skan nie wysłał…”

Nasz Czytelnik — nazwijmy go Władek — leci niebawem do Wietnamu. Chciał zdobyć wizę, a znajomy polecił mu w tym celu usługi serwisu Wietnamwiza.com.

Możliwość uzyskania wizy online jest bardzo wygodna, ale Władka trochę zmroziło, gdy strona poprosiła o skan paszportu. Jego znajomy uspokajał, że sam skan już przesłał i zapewniał, że wszystko będzie w porządku. Niestety nie było.

Zrobiłem skan, przesłałem go w formularzu i [zostałem przekierowany na] stronę z potwierdzeniem. Na wspomnianej stronie widnieje rubryka ze zdjęciem paszportu i w niej była ikonka “nieistniejącego obrazka”. Pomyślałem, że skan się nie wysłał i kliknąłem w tę ikonę. Moim oczom ukazał się mój skan dowodu pod publicznym adresem URL.

Jeszcze bardziej zaskakujące było to, że usuwając nazwę pliku, można było dostać się do katalogu nadrzędnego, a tam było ponad 3000 plików ze skanami dowodów.

Głębokie ukrycie 3000 paszportów

Naliczyliśmy 3491 skanów. Najstarsze pliki zostały dodane do katalogu w kwietniu 2015 roku. Były to nie tylko skany dokumentów pojedynczych osób, ale wręcz całych rodzin (co nie dziwi — ludzie podróżują rodzinami).

skan paszportu

skan paszportu

skan paszportu

skan paszportu

Dane widoczne na skanach obejmują:

    obraz własnoręcznego podpisu.
    informacje o dacie wydania,
    numer paszportów,
    numer PESEL,
    data i miejsce urodzenia,
    imię i nazwisko,
    zdjęcie,

Dodatkowo ze skanów można było wyciągać wnioski o pokrewieństwie różnych osób gdyż — jak wspomnieliśmy — skany całych rodzin były podobnie opisane.

POLVIET: “Mieliśmy ataki na stronę”

Strona Wietnamwiza.com jest prowadzona przez biuro POLVIET. Skontaktowaliśmy się z nim wczoraj rano. Bardzo szybko udało nam się porozmawiać z dyrektorem Maciejem Ryczko i dostęp do katalogu ze skanami został wkrótce zablokowany.

Już w czasie pierwszej rozmowy pan Maciej podkreślił, że POLVIET to firma wietnamska i działa według wietnamskiego prawa. Niemniej przyznał, że te skany nie powinny być ot tak dostępne.

Nieco później  otrzymaliśmy niepodpisaną z nazwiska wiadomość e-mail z informacją, iż…

Całość była zabezpieczona skomplikowanym hasłem – natomiast mieliśmy w 3 i 4 kwartale 2018 ataki na stronę (raczej nie celowe, a przypadkowe) i kilkukrotnie musieliśmy ja od nowa stawiać.

3… 2… 1… wychodzimy z szoku i tę wypowiedź skomentujemy znanym, starym wietnamskim przysłowiem:

Co ma piernik do wiatraka?

Administrator danych podkreśla, że jest firmą wietnamską i działa na podstawie prawa wietnamskiego, ale po przeprowadzeniu analizy logów firma ma zamiar poinformować o wycieku osoby, których dane wyciekły, a więc chyba wszystkich swoich klientów od 2015 roku, którzy wgrali skan przez formularz na stronie. Nie wiemy, czy wyciek zostanie zgłoszony do polskiego UODO.

RODO dotyczy nie tylko firm z UE

Rzeczywiście POLVIET jest firmą wietnamską, ale w tym miejscu należałoby przypomnieć, że RODO może obejmować nie tylko firmy z UE. Art. 3 ust. 2 rozporządzenia mówi, że “rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii (…) jeżeli czynności przetwarzania wiążą się z a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii”.

Strona Wietnamwiza.com jest niewątpliwie skierowana do Polaków, co potwierdzają również ujawnione skany paszportów. POLVIET ma też swoje polskie biuro w Stalowej Woli. W tej sytuacji nie do końca przekonujące wydaje się tłumaczenie, że firma jest wietnamska.

RODO może dotyczyć także firm spoza UE jeśli te firmy współpracują z firmami z UE, oferują produkty dla konsumentów z UE lub opierają swoja działalność na przetwarzaniu danych europejczyków.

W każdym razie — jeśli wysłaliście POLVIET-owi skan swojego paszportu, dajcie znać, czy otrzymacie od nich komunikat o tym, że Wasze dane osobowe były publicznie dostępne w internecie.

Starałem się o wizę do Witnamu — co robić, jak żyć?

Jeśli korzystałeś z usług firmy POLVIET, załóż najgorsze — że ktoś ma Twój skan paszportu. Temu co należy zrobić, jeśli skan naszego dowodu lub paszportu wyciekł, poświęciliśmy osobny tekst pt.: Jak uchronić się przed kradzieżą tożsamości po wycieku skany dokumentu — opisuje on 20 (!) czynności jakie musisz wykonać, aby spać spokojniej.

O tym jak chronić przed wyciekiem pozostałe swoje dane, tożsamość i pieniądze opowiadamy zaś na wykładzie “Jak nie dać się zhackować?”, który już niebawem odbędzie się w 15 polskich miastach. Zapraszamy, można się już zapisywać :)

Wizy zawsze bezpieczniej załatwiać bezpośrednio. Choć przyznajemy — nie zawsze jest to najwygodniejszy sposób.

PS.

Ten incydent, to także piękne przypomnienie, aby nie wierzyć w takie frazesy, jak ten z obrazka powyżej.

Aktualizacja 16.01.2019 11:56

Otrzymaliśmy dodatkowe oświadczenie od pana Macieja Ryczko z firmy POLVIET.

W uzupełnieniu

  1. Firma Polviet Travel jest firma wietnamska, nie mamy siedziby w Polsce.
  2. Zgłosiliśmy wyciek do wietnamskiej policji (to dla nas lokalny organ nadzorczy), Ambasady i zgłaszamy do UODO
  3. Wszystkie osoby są powiadamiane na bieżąco o tym problemie.
  4. Sadzimy ze dane nie zostały pobrane masowo, sadzimy po działaniach tutaj na miejscu ze chodziło o zrobienie nam czegoś w rodzaju „czarnego PR”.

Pozostałe sprawy będziemy realizować zgodnie we współpracy z polskimi instytucjami odpowiedzialnymi do których się zgłosiliśmy.

Stosujemy zabezpieczenia www oraz danych klientów. Ustawienia dostępu na stronie zostały zmienione z zewnątrz, staramy się cały czas ustalić kto i jak to zrobił. Czekamy tez na informacje od lokalnej policji i firmy obsługującej stronę www.

Przeczytaj także:

46 komentarzy

Dodaj komentarz
  1. Pan Maciej nie zna prawa. Szkoda. Jeszcze bardziej szkoda poszkodowanych. Innym pozostaje zapamiętać, aby z usług tej firmy (ani innych, w których kierowanie zaangażowany jest pan Maciej) nie korzystać.

    • Raczej nie wysyłać nigdzie i nigdy żadnych skanów swoich dokumentów :P

    • W zasadzie nie powinno się NIGDZIE żądać żadnych skanów dokumentów tożsamości. Wystarczyłoby żądać imienia, nazwiska i numeru paszportu – przecież i tak trzeba dokument okazać przy kontroli granicznej w Wietnamie, bez niego nas nie wpuszczą.
      Niestety jednak praktyka żądania kopii paszportu (a niekiedy nawet WSZYSTKICH stron tego dokumentu, również pustych) jest bardzo rozpowszechniona w biurach podróży, biur pośrednictwa wizowego, a nawet w samych konsulatach i centrach wizowych. A tak naprawdę, jak napisałem powyżej, nie ma ona większego sensu.

    • A propos skanowania… czy nie po to, by komputerowo przetwarzać dane, powstała maszynowo czytelna ścieżka na dole dokumentu? Ustandaryzowana czcionka, standardowe czytniki…

  2. No, przynajmniej dzięki SSL nikt nie przechwyci skanów, które masowo pobieramy z indeksu…

    • Jakiego SSL? Mi się ładuje tylko http:// …

  3. Dowalić karę 20 mln euro i po problemie.

    • Chyba nie doczytałeś artykułu. Pośrednik jest z Wietnamu gdzie na słowo rodo pojawia się jedynie uśmiech na twarzy. Rodo dotyczy UE.
      20 baniek to maks maksów, straszak którego pewnie nikt w nigdy nie dostanie.

    • @Nonane
      Poczytaj. 20 mln euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa (w zależności co jest większe). Co z tego, że z wietnamu? FB jest w usa, google jest w USA i jakoś muszą spełniać RODO:
      “Rzeczywiście POLVIET jest firmą wietnamską, ale w tym miejscu należałoby przypomnieć, że RODO może obejmować nie tylko firmy z UE. Art. 3 ust. 2 rozporządzenia mówi, że “rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii (…) jeżeli czynności przetwarzania wiążą się z a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii”.”

    • Google jest “z” Irlandii: Google Ireland Ltd., VAT no IE 6388047V, Gordon House, Barrow Street, Dublin 4.

    • > RODO może obejmować nie tylko firmy z UE
      Bo ktoś tak powiedział/napisał? Ten ktoś chyba nie zna pojęcia bycia poza jurysdykcją prawną. Równie dobrze MS może sobie napisać, że na terenie całego świata obowiązują amerykańskie patenty na oprogramowanie i nie musi to oznaczać, że ktoś w PL się tym przejmie.
      Socjaliści zawsze chcieli więcej, ale tu mogą czasem skandal dyplomatyczny sprowokować, bez względu na intencje ;)

    • @Lukasz032 No raczej musi się przejmować jeśli chce robić interesy na terenie EU. Zawsze można zamknąć ich biuro w EU, zablokować stronę www w DNS ;), zamrozić konta jeśli mają takie pod jurysdykcją EU.

      Jeśli firma chce robić biznes w EU to się dostosuje.

    • @Lukasz032 Niech prowokuje “skandal”. Jeśli firma działa na rynku UE, musi się dostosować do unijnego prawodawstwa. Jeśli w Polsce – do prawodawstwa polskiego. A jeśli nie chce – fora ze dwora. Zamknąć biuro w Stalowej Woli i krzyżyk na drogę.

    • Ale firma równie dobrze może działać po prostu w internecie. Internet jest wszechobecny i nie da się go kontrolować – parę krajów już próbowało ;)

  4. Szkoda ze stroną nie ma ssl

  5. Ktoś jeszcze zauważył, że po tym SSL to się w ogóle nie ładuje? Mi tylko http działa…

  6. Przy okazji możecie podziękować waszym miłościwie panującym, że taka wiza w ogóle jest wam potrzebna. Niemcom czy Białorusinom, skądże znowu:

    https://en.wikipedia.org/wiki/Visa_policy_of_Vietnam

  7. A wiecie, że jak załatwiacie promesę wizową do Wietnamu to dostaniecie z firmy pośredniczącej dokument na którym będą dane osobowe (imię, nazwisko, data urodzenia i numer paszportu) wasze i innych osób załatwianych w tym samym “pakiecie”? Oczywiście to nie są skany paszportów czy innych dokumentów jak w tym wypadku, ale tak właśnie taka promesa grupowa wygląda. I trzeba mieć ją kompletną przy wykupowaniu właściwej wizy po przylocie na lotnisku. :-) #rodosrodo

    • Dokument jest z “Immigration Department”, a nie z firmy pośredniczącej, która go tylko przekazuje… aż wygrzebałem maila sprzed kilku lat. Na moim jest 19 osób z różnych krajów. ;)

  8. Nie wiem po co korzystać z takich pośredników jak e-visa załatwia się przez internet bez żadnych pośredników na steoniecwietnwmskiego ministerstwa za 25$ plus prowizje przy płatności kartą wychodzi +\- 100 zl

  9. Dlatego należy wyrabiać wizy (jeżeli jest taka możliwość) bezpośrednio na stronie rządowej Wietnamu (tak, Polacy jako nieliczni mają tę możliwość): https://evisa.xuatnhapcanh.gov.vn/en_US/web/guest/khai-thi-thuc-dien-tu/cap-thi-thuc-dien-tu

    • Muszę przyznać, że Wietnamczycy mają poczucie humoru i to nawet na wysokim szczeblu.
      Przykładowy paszport wystawiony na osobą/okaz: Specimen(t) Martin z kraju Utopia (obywatelstwo: Utopian). :)

      Ale czas wczytywanie tej strony woła o pomstę do nieba. Już nie mówiąc o nieprawidłowych proporcjach zdjęcia po lewej. Aż trudno poznać, że to ta sama osoba co w paszporcie.

  10. Wypelnienie formularza ze swoimi danymi i wyslanie bez ssl samo w sobie jest beznadziejnym pomyslem.
    Zobaczcie czy dodali tylko Options -Indexes i po wpisaniu pelnej nazwy pliku i tak go mozna pobrac czy faktycznie przetrzymuja katalog poza www.

  11. https://evisa.xuatnhapcanh.gov.vn Zamawiałam wizę przez tę stronę, czy myślicie, że również powinnam obawiać się wycieku informacji?

    • Raczej nie powinno być problemu, to jest oficjalna rządowa strona Wietnamu.

    • Jeśli złożyłaś wniosek przez tę stronę, to nie ma się czego obawiać. Jest to strona rządowa Wietnamu, która na 99,99% jest bezpieczna i do żadnego wycieku danych nie dojdzie

  12. Dlaczego ludzie korzystają z jakiś dziwnych firm pośredniczących, zamiast udać się z paszportem do konsulatu lub Ambasady.
    Ja byłem w Wietnamie w 2015r i wyrobienie wizy kosztowało mnie 90zł i 30dni oczekiwania.
    Po przylocie od razu udałem się do kontroli granicznej, natomiast wszyscy ci co mieli promesę ( 80% pasażerów ) stanęło w bardzo długiej kolejce po wklejkę wizy.

    • Bo nie chce im się jechać 400km i marnować czasu, żeby załatwić wizę?
      Chyba lepiej urlop wykorzystać na miejscu niż w ambasadzie.

  13. Z tego co pamiętam, jeszcze kilka lat temu, żeby wziąć kredyt, trzeba było pójść do banku ze stosem papierów. Natomiast dzisiaj wystarczy dowód osobisty, a i to jeszcze nie swój. Czyli kiedyś to było.

    Banki wiedzą, że im więcej będą rzucać kłód pod nogi swoim potencjalnym klientom, tym mniej kredytów udzielą. Ten stos papierów miał być dowodem, że klient da radę spłacać kredyt, ale przy okazji odbierało to złodziejom tożsamości szansę sukcesu, skoro nawet prawowity właściciel tożsamości miał z tym problem. Dawniej przecież ludzie też gubili dowody osobiste.

  14. mam wrażenie, że ten napis o ssl dotyczy tej stronki z banera obok (ona faktycznie ma ssl)

  15. Ja załatwiałem wizę przez stronę
    https://evisa.xuatnhapcanh.gov.vn/en_US/web/guest/khai-thi-thuc-dien-tu/cap-thi-thuc-dien-tu

  16. tylko jedno ale – co z botami które porobiły już zylion kopi tego katalogu.

  17. wylejcie jeszcze więcej hejtu i pomyj na nieszczęśników co im się włamali na stronę. Jak przedwczoraj na Owsiaka. To rezultat jedynej od was wszystkich refleksji. No dalej. Do boju!!!

  18. ale nowość

  19. Oczywiście, że ten przypadek pod GDPR w pełni podpada. Firma która nawet nie oferuje żadnych usług dla obywateli EU, a użytkownicy tacy przypadkiem się zaplączą, podlega pod GDPR (stąd też tak wiele stron z USA blokuje użytkowników z EU). Ściganie poza terytorium unii będzie zależało od determinacji naszego krajowego i unijnych Organów Ochrony Danych, w tym przypadku może być z tym różnie. Ale skoro jest biuro w Polsce, to sprawa powinna być prosta. Żądnych krwi można uspokoić, że kara ma odzwierciedlać szkodliwość i możliwości finansowe firmy naruszającej (nie ma jej doprowadzić do bankructwa), w tym przypadku nie spodziewam się więc milionów kary.

    >tylko jedno ale – co z botami które porobiły już zylion kopi tego katalogu
    Chyba jedyna droga to samemu szukać w wyszukiwarkach po nazwach plików i innych metadanych i wysyłać żądania GDPR/RODO do firm je indeksujących.

    • Wietnamska firma może takie “żądanie” od jakichkolwiek polskich/eurocośtam urzędów bez żadnych pytań równie dobrze wykorzystać jako papier toaletowy dla pracowników i nic nikt im nie zrobi. Tak samo, jak służby, które do takiego NordVPN (z siedzibą prawną spółki w Panamie) uderzyłyby o logi. A jakiekolwiek drążenie spowodowałoby co najwyżej skandal dyplomatyczny.
      Granice państw to granice państw, one po coś istnieją.

    • @Lukasz032 Racja. Granice to granice. Nikt im nie każe prowadzić działalności na terenie RP (Stalowa Wola).

    • “Przedstawicielstwo” może równie dobrze działać jako niezależna spółka, powiązana tylko kapitałowo, tylko licencyjnie bądź w ogóle. Częściej to się wykorzystuje do optymalizacji podatkowej, ale do zmiany jurysdykcji prawnej równie dobrze się nada ;)

    • @Lukasz032 – nie do końca. W rzeczywistości, w regulacji GDPR były zadania wyznaczone dla Komisji i innych organów, m.in. nawiązania umów miedzynarodowych w sprawie wymuszania regulacji na krajach trzecich poprzez zawieranie umów. Unia europejska ma mocną pozycję na świecie, i takie regulacje po prostu może wymuszać. Interesowałem się rok temu sytuacją w USA, i wnioski były takie że nawet gdy nie oferujemy żadnych usług obywatelom EU, ciągle jesteśmy zagrożeni. Stąd też masowe blokowanie na części stron ruchu z EU – minialne zarobki z ruchu europejskiego nie pokryją w żadnym wypadku kosztów dostosowania siędo regulacji.

    • o, proszę bardzo, szybki guugiel i jest umowa z paź 2018 o zniesieniu ceł EU-Wietnam

    • Jest jeszcze Panama, Seszele, Wyspy Zielonego Przylądka, Liberland czy nawet neutralna Szwajcaria, choć ten ostatni przykład ma bardziej germańskie regulacje pod względem danych ;)

  20. nex0
    [quote]Jeśli złożyłaś wniosek przez tę stronę, to nie ma się czego obawiać. Jest to strona rządowa Wietnamu, która na 99,99% jest bezpieczna i do żadnego wycieku danych nie dojdzie[/quote]

    Niczego z góry nie zakładaj, może mają hasło admin1 jak u nas było ;-)

    • Chyba quản trị 1 :)

    • Robiłem wizę do Wietnamu na stronie rządowej i nie rozumiem po co komu pośrednik. Nie ma co zakładać że dane nie wyciekną ale odpada jedno miejsce z którego mogą wyciec dane…

  21. Strona powinna mieć zabezpieczenie ssl, ale mimo to dużo ludzi w Polsce bez żadnego problemu udostępnia swoje dane, skany dowodów, prawa jazdy itd i niczym się nie przejmują, a potem jest płacz.

  22. heh, wielkie mi halo skan paszportu….w conajmniej 50 krajach swiata podczas check-in w hotelu obowiazkowo wykonywany jest skan paszportu…. skany mojego paszportu sa w jakis 35 krajach na swiecie razy conajmniej 5 hoteli, plus niezliczone wypozyczalnie samochodow/skuterow itp itd

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.