21:47
25/8/2016

RMF właśnie podało dość przerażającą informację, że do 5 kancelarii komorniczych w Polsce weszli prokuratorzy. Powodem są podejrzenia, że komornicy “pozyskiwali olbrzymie liczby danych osobowych” z systemu PESEL.

pesell

Co ciekawe, sprawę wykryło Ministerstwo Cyfryzacji, a dokładniej COI (brawo!). Pracownicy rządowi zauważyli duży ruch w systemie PESEL i najprawdopodobniej poprzez analizę logów wytypowali adresy IP serwerów, które masowo odpytywały bazę PESEL. Okazało się, że za tymi adresami stały serwery kancelarii komorniczych, które mają bezpośredni dostęp internetowy do bazy PESEL. Tak przynajmniej podaje RMF, bo wedle jednego z naszych czytelników, który pracuje przy rządowych systemach (“aplikacja ŹRÓDŁO”), dostęp do tej bazy nie powinien być przydzielany przez internet.

Uproszczona-topologia-sposobu-połączenia-infrastruktury-urzędu-do-obecnie-instalowanej-sieci-na-potrzeby-dostępu-do-SRP_pdf

Może więc w przypadku kancelarii komornicznych, dostęp był przez internet, ale w ramach nadzorowanych sesji VPN? W takim przypadku, ktoś kto świadomie pobierał w sposób masowy dane z bazy PESEL musiałby być bardzo naiwny, gdyby liczył na to, że ministerstwo się o tym nie dowie i nie będzie w stanie zidentyfikować sprawcy. Zwłaszcza, że z informacji, które do nas docierają, aby odpytać bazę, komornik musi jeszcze podać sygnaturę konkretnej sprawy, jaką prowadzi. To pod wątpliwość podaje świadome działanie komorników na swoją szkodę.

Nie wiemy jaka jest dokładnie skala problemu, ale RMF informuje, że w ciągu roku jedna z kancelarii wysłała prawie 2 miliony zapytań. Jednocześnie, w innym zdaniu czytamy, że “kancelaria rekordzistka pozyskać miała dane 800 tys. osób“. W sprawie prowadzone jest już śledztwo przez Warszawską Prokuraturę Okręgową.

Żeby sprawie dodać tajemniczości — masowe odpytywania o rekordy z bazy PESEL miały następować w nocy (logi na szczęście nie idą spać).

Czy na pewno winni są komornicy?

Zanim w komentarzach posypią się gromy na niezbyt lubiany w Polsce zawód komornika, warto zauważyć, że jeśli ktoś przejął kontrolę nad komputerami komorników, to mógł bez ich wiedzy (to ważne) korzystać z dostępów, które posiadają. Być może więc to nie “zmowa komorników”, a akcja kogoś, kto włamał się na ich komputery? Z naszych własnych obserwacji wynika, że kancelarie komornicze nie są specjalnie trudnym celem ataku. Co najmniej kilka było ofiarami ransomware’u, a więc klikanie-w-co-popadnie wydaje się być nagminne. Uwiarygodnienie tej hipotezy ograniczają jednak wymagania, jakie prawo stawia dostępowi do bazy PESEL (osobny komputer, bez połączenia z resztą sieci i wyposażony w odpowiednie “certyfikaty”). Zakładając, że zostały one spełnione przez kancelarie, to albo ktoś bardzo zaniedbał konfigurację stacji roboczej, albo problemu należy szukać jeszcze w innym miejscu (błąd oprogramowania zewnętrznej firmy wspomagającej przetwarzanie danych pobieranych z systemu PESEL?). Prawdziwa może być też najprostsza odpowiedź: komornicy pobrali tyle danych, bo mieli taką potrzebę ze względu na np. wejście we współpracę z dużym klientem posiadającym wielu dłużników.

Podsumowując: Wiemy że nie było włamania do bazy PESEL, bo komornicy po prostu mają do niej dostęp. Nie wiadomo natomiast, czyje rekordy zostały przez nich pozyskane, jak dużo ich było, oraz w jakim celu były pobierane (czy świadomie, czy nie). Nie wiadomo też, czy pobrane rekordy w ogóle opuściły komputery kancelarii komorniczych — jeśli przyczyną ich pobrania było błędnie działające oprogramowanie, komornicy mogli w ogóle nie być świadomi “pobierania” rekordów w tle, przez program który ułatwiał im pracę.

Mam PESEL — co robić, jak żyć?

Jeśli jesteś poszkodowany, za wiele zrobić nie możesz — ciężko będzie Ci zmienić dane rodziców czy swoją datę urodzenia. Numery dokumentów możesz jak najbardziej zmienić, poprzez ich zastrzeżenie — ale to będzie Cię kosztować. Dlaczego piszemy o dokumentach? Jeśli myślisz, że w bazie PESEL są tylko twoje podstawowe dane “które i tak wszyscy znają”, to pozwól, że wyprowadzimy cię z tego błędu. Oto co znajduje się w bazie PESEL:

    Imiona i nazwisko (także rodowe)
    Stan cywilny (wraz z danymi małżonka i PESELEM!)
    Data i miejsce urodzenia
    Oznaczenie aktu urodzenia
    Płeć
    Numer PESEL
    Obywatelstwo
    Imiona i nazwiska rodziców
    Miejsce ślubu
    Oznaczenie aktu ślubu
    Seria i numer dowodu tożsamości oraz PASZPORTU
    Historia wszystkich adresów zameldowania i zamieszkania
    Historia wyjazdów zagranicznych

pesel

pesel2

pesel3

pesel4

Co dokładnie jest w bazie PESEL na twój temat możesz sprawdzić przez ePUAP.

Komu miałaby się przydać taka wiedza i do czego? Dobre pytanie… może któryś z czytelników zna odpowiedź?

Dziękujemy czytelnikowi Marcinowi, za podesłanie newsa.

Aktualizacja 23:25
Oto 2 wiadomości, jakie nadeszły na redakcyjną skrzynkę:

(…) chciałbym przedstawić parę faktów o działaniu systemu PLID z punktu widzenia osoby która tym systemem się posługuje w codzienne pracy, oraz osoby odpowiedzialnej systemy w kancelarii komornika sądowego.
Po pierwsze nie ma w mojej ocenie możliwości nieautoryzowanego dostępu spoza kancelarii. [K]omunikacja z serwerami MSWiA przebiega po szyfrowanym łączu poprzez VPN, następnie jest osobny komputer tylko do obsługi zapytań i podpis elektroniczny do szyfrowania i odszyfrowywania przesyłanych plików.
Zapytania są tylko do konkretnych spraw (prowadzonych postępowań) i zapytania śą robione w trybie: wskazuje numer PESEL -> otrzymuję informację zwrotną o danej osobie.
Po trzecie ilość zapytań i godziny zapytań nie budzą moich wątpliwość gdyż duże kancelarie mają po pare set tysięcy spraw i pracownicy szczególnie działy it pracują tam całą dobę.

w urzedach dedykowane sa do tego osobne komputery, ktore nie posiadaja fizycznego dostepu do innych sieci a jedynie wpiete sa do sieci zrodla, w przypadku moich doswiadczen siec zrodla nie mogla nawet przechodzic przez switche glowne urzedu, musialabyc to calkowicie odizolowane okablowanie do dostarczonego przez Ministerstwo switcha wiec w wypadku urzedow jedyny sposib to dostarczenie wirusa na pendrivie a sam wirus musi byc juz zaprojektowany na konkretny atak lub dzialanie. Mysle, ze w wypadku kancelarii komorniczych restrykcje co do dostepu do zrodla sa podobne.

Aktualizacja 26.08.2016, 8:15
Na stronach warszawskiej prokuratury okręgowej pojawił się komunikat, który precyzyjniej niż artykuł RMF wyjaśnia, co się stało. Dowiadujemy się z niego, że sprawa dotyczy kancelarii w Łodzi i Warszawie, u których zabezpieczono nośniki informatyczne, a w śledztwie pomaga ABW. Podane zostały też dokładne liczby zapytań i pobranych danych przez jednego z komorników.

Przeprowadzona analiza połączeń z systemem PESEL – w tym czas ich trwania, częstotliwość zapytań, realizacja w porze nocnej oraz schemat pracy stacji roboczych – wskazywała na zastosowanie złośliwego oprogramowania bądź skryptów służących do automatycznego generowania zapytań (…) Wyniki przeprowadzonej analizy uzasadniły podejrzenie nieuprawnionego pobierania i wykorzystywania danych osobowych, przykładowo jeden z komorników pobrał od marca 2015 r. dane 802.759 osób i złożył 1.792.951 zapytań.

Aktualizacja 26.08.2016, 13:00
Na redakcyjną skrzynkę napisała osoba będąca blisko “centrum” wydarzeń. Oto jej relacja:

Wariant zainfekowania jest bardzo mało prawdopodobny. Stacja robocza na której komornik uruchamia aplikację dostępową (aplikacja jest webowa) jest wydzielona, nie może służyć do niczego innego i transmisja jest via sieć wydzielona. W przypadku komorników jest to sieć PESEL-net dostarczana przez PWPW. Ten komputer nie ma dostępu do internetu.

Tak naprawdę w sprawie wiadomo na razie tyle że:
1. Zapytania były robione automatem, co zasadniczo nie powinno mieć miejsca.
2. Było ich podejrzanie dużo i były podejrzanie częste, regularne.

Na razie nie wiadomo jeszcze czy na 100% były nieuprawnione (bez związku ze sprawami obsługiwanymi). I czy przekazywano je gdzieś dalej. To sprawdza teraz ABW.

Na koniec – sprawy nie wykryli administratorzy ani urzędnicy Ministerstwa Cyfryzacji tylko programiści z Centralnego Ośrodka Informatyki. Ale z jakichś powodów MC zakazuje tego komunikować COI (dlatego usunęli Twitta)

Na szczęście, nic co zostało twittnięte nie ginie. Oto skasowany twitt:

TweetDeck 2

Z nieoficjalnej rozmowy z jednym z pracowników Ministerstwa Cyfryzacji dowiedzieliśmy się, że sprawa “afery komorniczej” nie stanowi żadnego zagrożenia w sensie komputerowym dla bezpieczeństwa czy też stabilności systemu PESEL, a nadużycie systemu zostało wykryte w ramach rutynowej kontroli. Ministerstwo nie zamierza komentować sprawy, ponieważ zajmuje się nią prokuratura.

Aktualizacja 26.08.2016, 21:30
Ciekawą wiadomość w sprawie dostępu do systemy PESEL podesłał nam jeden z pracowników ZUS-u.

jestem zwykłym pracownikiem Zus który również ma dostęp do PESEL Kep. Jeszcze miesiąc temu zapytania do tej bazy nie były monitorowane i moglismy sprawdzać kogo chcieliśmy. Od tego czasu jedyna zmiana jaka nastąpiła to ta, że dostęp jest monitorowany i podejrzany ruch byłby ujawniany. Dostęp jest dla większości pracowników, z każdego prawie komputera i do tego podłączonego do normalnego internetu gdzie działają zwykle najzwyklejsze strony. Oczywiście nie każdy pracownik ma takie możliwości dostępu do sieci, ale ja jako zwykły pracownik mam neta i dostęp do tego systemu. To tyle jeżeli chodzi o bezpieczeństwo danych i bajki o osobnych kompuetarch do tego celu. Chyba że komornikom mniej ufają niż nam pracownikom zusu.

i kontropinia:

Jestem informatykiem w jednym z oddziałów ZUS, używamy u nas aplikacji PESEL KEP jednak to nie jest dostęp do systemu PESEL. Dostęp do systemu PESEL realizowany jest przez komputery niepodłączone do firmowej sieci, podłączone są na wydzielonych VLAN’ach dedykowanym łączem, takie były zalecenia i my je spełniamy. Niestety nikt nie pomyślał, że takie dedykowane komputery trzeba patch’ować no i może antywira zaktualizować co jakiś czas, inna bajka.

Mamy też wyjaśnienia jednego z informatyków w urzędzie pewnego miasta:

Jako młodszy informatyk w lokalnym urzędzie miasta potwierdzam – Źródło jest odseparowaną fizycznie siecią z dostarczanym od ministerstwa switchem i nie może (nie powinna) być podłączona do innych urządzeń sieciowych, do których wpięta jest inna sieć (LAN/Internet) (posiada również dość udziwnioną adresację, która ponadto nie mieści się w zakresach stosowanych w sieciach lokalnych).
Jednak braki finansowe na informatyzację sprawiają, że niemożliwe jest w 100% zdublowanie komputerów dla wszystkich uprawnionych osób. Z tego względu część pracowników posiada jeden komputer, zamiast dwóch odseparowanych – jeden do Źródła, drugi do LAN-a i Internetu. Ważny certyfikat jest jednak potrzebny przy logowaniu wraz z pinem, oraz przy wykonywaniu modyfikacji. Nie działam jednak osobiście na żadnym z SRP (System Rejestrów Państwowych), jednak z obserwacji jestem niemal pewny, że do pobierania (a przynajmniej do wyświetlania danych) nie potrzeba wpisywania PIN-u. Na domiar złego, całe wykorzystywanie certyfikatów, w szczególności podpisywania PIN-u wymaga zainstalowania Javy. Na dodatek wg zaleceń – konkretną wersję Javy (która przecież szybko się deaktualizuje), co stanowi spore zagrożenie.
Z powodu działania w większości (wszystkich?) urzędach podwójnych baz danych, nie ma możliwości, by dany uprawniony użytkownik SRP mógł korzystać wyłącznie ze Źródła. Oprogramowanie dziedzinowe chociażby ze względu na bezpieczeństwo i wymogi Źródła nie jest podłączone pod system SRP bezpośrednio. Jednak aby poprawnie działać, dziedzinówki potrzebują aktualnych danych nt. obywateli powiatu/gminy/miasta, które są regularnie eksportowane ze Źródła i importowane do lokalnej bazy mieszkańców. Dzięki temu pozostałe segmenty, jak podatki, opłaty za odpady, czy też pozwolenia aplikacji dziedzinowej mogą bez problemu pracować na aktualnych danych.


Aktualizacja 29.08.2016, 9:30
Odezwała się do nas osoba, która zdaje się dobrze znać środowisko komorników i tłumaczy, dlaczego mogło nie być żadnego ataku, a mimo wszystko był wzmożony ruch:

Nikt się nie włamał i nie ukradł peseli. Zupełnym przypadkiem ktoś zauważył, że pewni użytkownicy pobierają bardzo dużo danych i zrobiła się afera. A o co w tym chodzi? O tym poniżej.

Koniec lat 90. Pamiętacie takie firmy – Era GSM, Idea Wizja TV i jeszcze kilka innych? Tanie i proste kredyty, karty kredytowe dodawane do zakupów w
marketach? Miliony Polaków z komórkami, płatną telewizją, itp. Ale nie każdy płacił. Czasami ktoś zapomniał o ostatniej racie, opłacie za wznowienie nigdy nie używanej karty, nie zaksięgowanym rachunku… Firmy próbowały sobie windykować, ale zazwyczaj słabo to szło, więc hurtem sprzedawały dane do firm windykacyjnych (nie było wtedy GIODO, ustawy o ochronie danych osobowych – tak, bardzo zamierzchłe czasy…). Firmy – windykowały z różnym skutkiem. Zazwyczaj skupiały się na większych wierzycielach, cała drobnica szła niejako do “kosza”, ponieważ koszty były większe niż zyski…

Ale jakiś czas temu pewien biznesmen – zwany najbogatszym komorniki w Polsce zwietrzył miliardowy interes… Co do tego było potrzebne? Wspomniany już system Pesel, oraz dwa narzędzia, które komornikom spadły z nieba. Pierwszy to “Centralna informacja o rachunkach” (nowelizacja prawa bankowego z 1 lipca 2016). Dzięki niej – jedno zapytanie do bazy i mamy kompletną listę rachunków bankowych dłużnika – obojętnie w jakim banku, skoku, czy banku spółdzielczym – nic się nie ukryje, w systemie są wszystkie dane. Drugie – elektroniczne zajęcie rachunku, które ruszy jesienią. A potem już eldorado…

Kancelaria komornicza bierze dane milionów spraw z firmy inkaso – nawet z przed 20 lat… Pierwszy skrypt ustala aktualny adres. Potem jest drukowane wezwanie do zapłaty (bez żadnych danych wierzyciela, wyliczeń itp. “maksymalny hardkor”). Jak nie zapłaci – to odpytanie o rachunek bankowy, a następnie elektroniczne zajęcie. I nikt nie sprawdza i nie weryfikuje czy należność nie jest przeterminowana, jak są naliczane odsetki, opłaty, itp. Pieniążki znikają z rachunku. Jeśli klient jest potulny – to się po godzi że kilkaset czy nawet kilka tysięcy zostało zabrane – bo faktycznie może coś tam 15 lat temu nie zapłacił… Jeśli nie – to musi szukać prawnika, pisać odwołanie do sądu w sprawie wstrzymania egzekucji, itp.

Z powyższą opinią nie zgadza się inny nasz informator:

zapytania [do centralnej informacji o rachunkach –dop. red] są płatne nawet 50 zł za zapytanie (cena zależy od banku do którego się złoży wniosek), wiec bardziej opłaca przepytać system OGNIVO. (…) Elektroniczne zajęcie rachunku, które ruszy jesienią tylko ułatwi zajmowanie, a przede wszystkim skróci czas reakcji banków, wiec nie ma różnicy czy elektronicznie czy nie. Do wszczęcia postępowania jest potrzebny wniosek i nakaz zapłaty, a to że jest przeterminowany to nic nie zmienia, gdyż zgodnie z polskim prawem zarzut przedawnienia należy podnieść w drodze powództwa. Natomiast jeśli ten “mityczny” komornik miałby wszcząć te postępowania z “Era GSM, Idea Wizja TV” to należy wiedzieć, iż jest w tym roku ograniczony limitem 5 tys. spraw który to już w tym roku wykorzystał. Tak więc opisany proceder nigdy nie mógł i nie będzie miał miejsca.
OSTATNIA NAJWAŻNIEJSZA KWESTIA: komornicy których dotyczy postępowanie w zeszłym roku łącznie przyjęli około 2 milinów spraw do tego dochodzą sprawy z porzednich lat, łącznie dużo dużo więcej niż zrobili zapytań. Tak więc czas zrozumieć, iż cała afera jest sztucznie nakręcona, bo temat chwytliwy, bo ma w tytule słowa “komornik” i “wyciek” wiec kliki lecą jak szalone
PS. Proszę pamiętać że dług przedawniony nie znika. Przedawnienie długu daje możliwość jego uniknięcia, ale dług nie znika, a wszczęcie postępowania egzekucyjnego przerywa bieg przedawnienia.


Aktualizacja 29.08.2016, 20:30
Jak informuje prokuratura, na obecnym etapie śledztwa nie stwierdzono, aby dane pozyskiwane były nielegalnie.

Ministerstwo Cyfryzacji też zaczęło się dziś łagodniej wypowiadać o swoim zawiadomieniu — że było ono przejawem troski i chęcią sprawdzenia, czy wszystko jest OK, a nie biciem na alarm. Anna Streżyńska w TVN oznajmiła, że MC zareagowało nie ze względu na skalę pobieranych danych, a fakt, że odbywa się to nocą, co określono jako “anomalię”. I my cieszymy się, że ktoś w MC wyraził troskę i spojrzał w logi. Tak trzeba! Dziwi tylko, że przez skoro wzmożona aktywność komorników trwała od marca zeszłego roku, to MC zareagowało dopiero teraz. Wcześniej nie patrzono na logi regularnie?

Tymczasem, do prokuratury zgłosiło się już ponad tysiąc osób, które chciały uzyskać status poszkodowanego. Jak wpadli na ten pomysł? Polakom podsunął to ten dziennikarz śledczy, który przez weekend w telewizji roztaczał bardzo horrorystyczne wizje, sugerując że ofiary wycieku dostaną “po kredycie”.

Uspokajamy: jest bardzo mało prawdopodobne, aby ktoś wziął na kogoś kredyt na podstawie tak pozyskanych danych z rejestru PESEL. Serio. W znakomitej większości firm pożyczkowych potrzebny jest do wzięcia kredutu skan dokumentu (tego nie ma w rejestrze PESEL) oraz posiadanie rachunku bankowego na dane pożyczkobiorcy (dostępu do tego też nie ma w rejestrze PESEL). Nie wiemy, prawdę mówiąc, skąd ten strach opinii publicznej i dziennikarzy/ekspertów przed kredytami. W zasadzie wszystkie znane nam osoby, na które ktoś bez ich wiedzy wziął kredyt, to ludzie którzy zgubili swój dowód osobisty i nie zastrzegli go od razu lub naiwnie wykonali jednozłotowy przelew o tytule “otworzenie nowego rachunku bankowego” ze swojego rachunku na podstawiony przez oszusta rachunek bankowy (por. Jak rekrutuje się słupów na OLX).

W dodatku, zwróćcie uwagę, że komornicy, którzy w tym celu (tj. przewałów na kredytach), z własnego dedykowanego łącza pobieraliby dane milionów Polaków, wiedząc, że dostęp do rejestru PESEL jest autoryzowany ich imieniem i nazwiskiem, i robili to tylko po to, aby potem zaciągnąć na pobrane dane kredyty, byliby niespełna rozumu. Zwłaszcza będąc przy okazji właścicielami dochodowych, jednych z większych w Polsce kancelarii komorniczych.

Wychodzi więc na to, że zapytania komorników były ich świadomymi zapytaniami. Dlaczego w takich ilościach i po co? Na te dwa pytania być może odpowiada nasza poprzednia aktualizacja z godz. 9:30, dotycząca niebawem wchodzącego w życie nowego komorniczego narzędzia: elektronicznego zajęcia rachunku


Aktualizacja 30.08.2016
Ministerstwo Cyfryzacji na swoich stronach opublikowało “Pytania i Odpowiedzi” w sprawie afery PESEL-owej. Nie dowiemy się z nich niczego nowego, ale jest jedna ciekawostka. Okazuje się, że każdy z nas może sprawdzić (2 razy w roku) czy ktoś odpytywał Rejestr PESEL o nasze dane. Oto, jak to zrobić:

>Czy każdy może sprawdzić kto i o jakie jego dane z bazy PESEL wnioskował?
Tak. Każdy obywatel dwa razy w roku może bezpłatnie sprawdzić jakie dane na jego temat znajdują się w bazie PESEL oraz czy i w jakim celu zwracały się o nie konkretne instytucje. Taką informację można uzyskać na jeden z dwóch sposobów:

1. Przesłać na adres Ministerstwa Cyfryzacji wypełniony i podpisany Profilem Zaufanym wniosek.

2. Przesłać wypełniony i podpisany wniosek na adres:
Ministerstwo Cyfryzacji, Departament Ewidencji Państwowych, ul. Królewska 27, 00-060 Warszawa, z dopiskiem SRP.

Posiadaczy Profilu Zaufanego zachęcamy zatem do weryfikacji i jednocześnie przypominamy: na żadnych innych stronach NIGDY nie wprowadzajcie swojego numeru PESEL.


Aktualizacja 30.08.2016, 14:00
Stworzyliśmy osobny artykuł, w którym krok po kroku pokazujemy jak za darmo i bez podawania dodatkowych danych możecie przez internet odpytać Ministerstwo Cyfryzacji o to, czy ktoś odpytywał rządowe bazy o wasze dane (a jeśli odpytywał, to kto konkretnie i o jakie konkretnie dane). Zapraszamy do lektury i składania wniosków.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

246 komentarzy

Dodaj komentarz
  1. Oj… Będą rejestrować karty sim? :-)

    • RMF robi sobie reklamę!!! a Niebezpiecznik łyka wszystko :)

    • Barthezz: rzecznik Ministerstwa Cyfryzacji też łyka? http://twitter.com/MC_rzecznik/status/768922735808569345
      Podeslij fotke wyrazu twarzy jaki masz, kiedy dowiadujesz sie ze to prawda a nie SPISEG!!!1!1!!11 :)

    • Wygląda na to, że prokuratura i ABW też łyknęły tę “reklamę RMF…” ;-) http://www.warszawa.po.gov.pl/pl/main/komunikat/id/402/alias/sledztwo_w_sprawie_nieuprawnionego_wykorzystywania_danych_z_systemu_pesel_przez_komornikow_sadowych.html

      Dont drink and surf.

    • Mnie frapują dwie rzeczy:

      1) jak to jest możliwe, że system nie miał żadnego ograniczenia na liczbę zapytań? Dobrze że COI wykrył sprawę, ale come on, po roku i 2 mln żądań? Zero monitoringu bieżącego, alertów po wykryciu nadmiernego ruchu? Byle sklep internetowy ma takie zabezpieczenia. Wyciekom takich danych trzeba zapobiegać, a nie wykrywać. Może ktoś dostanie 2 lata w zawieszeniu i co z tego – dane w sieci, nie da się ich ściągnąć z powrotem, mleko się rozlało.

      2) wyciekło wiele kluczowych danych na temat każdego z tych 800.000 Polaków. Pomyślcie jednak co będzie po wprowadzeniu forsowanego aktualnie projektu e-zdrowie. Wtedy będziemy wycieki historii chorób, wizyt lekarskich, odbytych zabiegów. Kto leczy się u psychiatry, kto był u seksuologa, kto ma AIDS, kto ma raka. Raj dla szantażystów, sprzedawców cudownych specyfików, wścibskich sąsiadów (kto nie ma takiego?), banków i ubezpieczycieli, firm szukających (lub chcących zwolnić) pracowników itp itd. A czy te dane wyciekną? Skoro nastąpił wyciek z zabezpieczonego “Źródła” (osobne terminale, sieci, vpn, dość ograniczona liczba użytkowników) to jakim cudem dane nie wylecą z systemu do którego będzie miał dostęp każdy szpital i przychodnia w kraju? Zabezpieczenia IT w służbie zdrowia są śmieszne; dać im do ręki taką bazę to jak dać małpie brzytwę do ręki. Kwestią czasu jest artykuł w Niebezpieczniku pt. “Wyciekły pełne dane medyczne milionów Polaków”.

      Szanowny Niebezpieczniku, przyjrzyjcie się projektowi e-zdrowie, bo jego założenia i potencjalne konsekwencje są przerażające. Dotknie on każdego Polaka (nie przewidziano np. opt-outu jak w planowanym angielskim Care.data, notabene niedawno zamkniętym właśnie z powodów obaw o naruszenie prywatności).

    • @M

      Pośpiech jest wskazany przy łapaniu pcheł. Przed wyborami 2015 panowie z COI (aby mieć efekty) wypchnęli w wersji produkcyjnej bubel, z którym są ciągłe problemy… Nie dość, że nie nałożyli ograniczenia na ilość zapytań, to zaoszczędzili na obsłudze komputerów… Dawniej komputery mające dostęp do PESEL obsługiwała firma z odpowiednimi szkoleniami teraz ma to zrobić kancelaria komornicza. Ciągłe problemy + brak profesjonalnej obsługi = duże problemy. Jak komornik chciał przyoszczędzić to zrobił siebie administratorem, a faktycznie komputery ustawiał mu jakiś “Janusz”.

  2. Nie bardzo rozumiem, może ktoś wytłumaczy. Czy każdy widnieje w tym systemie? Czy tylko Ci co założyli konto w ePUAP?

    • W systemie PESEL widnieje każdy kto urodził się w Polsce, ePUAP pozwala na podejrzenie danych jakie widnieją w systemie PESEL

    • Wszyscy. To są dwie różne rzeczy. Źródło to baza wszystkich osób posiadających nr PESEL w tym kraju. Służy ewidencji ludności i usc. To jest totalna baza każdego, historii zameldowania, dowodów itd.
      ePuap to tylko platforma dla obsługi profilu zaufanego w instytucjach państwowych – czyli taki podpis elektroniczny, ale tylko w zakresie tej platformy.

      Faktem jest, że komputery podłączone do Źródła nie są wpięte (nie powinny być i chyba nawet nie mogą!) do Internetu. To, co się tu dzieje, to żart z ochrony danych osobowych i ktoś, kto nie zabezpieczył dostępu powinien ponieść srogie konsekwencje.

    • Jeśli masz numer PESEL to prawdopodobnie jesteś w bazie PESEL ;)

    • @Jan, jak niby komputery nie są wpięte do internetu? To jak się komunikują z systemem?

    • @pepe72
      Łącze dedykowane

    • @nitro obecność w systemie PESEL nie zależy od miejsca urodzenia. Obywatele Polscy urodzeni za granicą również mogą tam figurować (np. jeżeli wnioskowali o paszport, dowód osoobisty albo nadanie nr PESEL, a z drugiej strony np. cudzoziemcy mający zgodę na pobyt stały w Polsce).

  3. A kto dał komornikom możliwość dostępu do tych danych?

    • Ale Ty serio? Czy troll?

    • Co rozumiesz przez troll, komornik powinien mieć dostęp do danych jedynie tych, którzy są jego podmiotem zainteresowania i to z nakazu sadu. Z tego co zrozumiałem komornicy maja dostęp do tych danych tak po prostu?

    • A jak nie mam numeru pesel a tylko adres to musze sprawdzic kto tam mieszka i dopasowac osobe. Wtedy uzyskam pesel i moge ustalic czy ta osoba ma rzeczywiscie dlug.

    • W dużym skrócie, dostęp do PESEL-NET-u jest potrzebny komornikowi po to, żeby wiedział, że Jan Kowalski jest tym Janem Kowalskim, o którego mu chodzi.

    • Każde zapytanie do bazy Pesel komornik musi uzasadnić wpisując sygnaturę prowadzonej sprawy. Więc owszem, komornik ma dostęp do danych tylko w zakresie uzasadnionym prowadzonym postępowaniem.

    • @Eee
      “Każde zapytanie do bazy Pesel komornik musi uzasadnić wpisując sygnaturę prowadzonej sprawy.”
      A czy ta sygnatura jest w jakikolwiek sposób sprawdzana, czy można wpisać dowolny ciąg znaków zgodnych z formatem sygnatury i z jego użyciem wysłać 1000 zapytań. A Jeżeli do zapytania potrzebny jest również nr PESEL to nic prostrzego jak użyć generator PESEL. Co któreś zapytanie będzie trafione i zwróci dane jakiegoś ludka. Zwłaszcza, że cyfry 7 do 10 to (zdaje się) kolejny numer porzadkowy więc nie problem wygenerować tysiące zapytań jeżeli system przyjmuje tą samą sygnaturę sprawy w wielu zapytaniach i/lub nie ma możliwości sprawdzenia czy sprawa o danym nr rzeczywiście się toczy.
      PROSZE O KOMENTARZ bo jestem bardzo ciekawy czy system na jakieś zabezpieczenia przed szara rzeczywistością.

    • Mogą pobierać dowolne dane, ale dostęp jest audytowany i zawsze post-factum muszą potrafić wytłumaczyć KAŻDE pobranie danych.

    • Skoro przed wejściem komornika do kogoś odbywa się sprawa sądowa, to nie problem, aby to sąd pozyskiwał te dane dla komornika. Wtedy jest gwarancja, że komornik nie będzie miał zbędnych danych i że go nie złapie tak zwany głód danych.

  4. A zastosowania?

    “Kolekcjonerski dowód” osobisty – i począwszy od rejestracji telefonów po kredyty na wykradzione dane

  5. czy w Polsce istnieje jakieś prawo nakazujące informować o wycieku danych osób które te dane dotyczą?

    • Tak. Administrator danych ma obowiązek poinformować o wycieku osoby, których dane wrażliwe zostały narażone na wykorzystanie osób postronnych zgodnie z ustawą o ochronie danych osobowych z 1997r. Dotyczy to tylko danych przechowywanych i przetwarzanych przez polskie podmioty, organy i osoby fizyczne.

    • “Tak. Administrator danych ma obowiązek poinformować o wycieku osoby, których dane wrażliwe zostały narażone na wykorzystanie osób postronnych zgodnie z ustawą o ochronie danych osobowych z 1997r. Dotyczy to tylko danych przechowywanych i przetwarzanych przez polskie podmioty, organy i osoby fizyczne.”

      A w jaki sposób tego dokonają? Mamy spodziewać się 800 tys. listów poleconych czy coś w tym stylu?

    • Jak to jak powiadomić ludzi? Odczytywać apel peselowy przy każdej uroczystości państwowej, wymieniając wszystkie nazwiska osób, którym skradziono PESEL.

    • są wpięte do routera z zestawionym vpn, który jest wpięty do netu zwykle przez neo/dsl, router ma taką konfigurację która pozwala komputerowi tylko na ruch przez skonfigurowany na nim vpn czyli komp nie może swobodnie poruszać się ma założoną obrożę :P

    • “Danych wrażliwych” – w bazie PESEL nie znajdują się, o ile mi wiadomo, dane wrażliwe (dotyczące zdrowia, poglądów, wyznania, skazań itp.)

    • Masz wszystko co na dowodzie osobistym i paszporcie potrzebne do wzięcia kredytu i podpisania całej masy umów.
      Jeżeli to nie sa dane wrażliwe to jakie?

    • To powinno być łącze dedykowane (terminowane u zwykłego dostawcy, zwykle Orange) a nie VPN over Internet. Aczkolwiek uważam, że poprawnie skonfigurowany VPN byłby wystarczający.

    • W polskim ustawodawstwie nie istnieje definicja “danych wrażliwych”. To termin potoczny. Istnieje jednak zamknięty katalog danych, których przetwarzanie jest możliwe tylko w szczególnych okolicznościach, a za których przetwarzanie niezgodnie z prawem lub udostępnienie osobie niepowołanej można podlegać nawet karze pozbawienia wolności do lat trzech. Zresztą, nawet nieumyślne udostępnienie wszelkich danych zagrożone jest grzywną, ograniczeniem wolności lub pozbawieniem wolności do roku (ale to tylko teoria ;) ).

      Art. 27. 1. Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

  6. >Komu miałaby się przydać taka wiedza i do czego?
    na sprzedaż, innego celu nie widzę

    • np. chwilówki -> sąd elektroniczny -> stalkingowe firmy windykacyjne -> itd.

    • np. do wygenerowania danych legalizacyjnych jakiegoś achmeda bombera. W końcu to są dane prawdziwych ludzi którzy żyją i każda instytucja je potwierdzi.

  7. Można swój SKOK otworzyć …

  8. Grzechooo, jak to do czego? Do do założenia konta i wzięcia kredytu.

  9. “Oznaczenie aktu chrztu”? Chyba pomyliliście akt urodzenia z aktem chrztu. System PESEL raczej nie trzyma kościelnych danych. :)

    • W przypadku osób urodzonych przed wojną, może nie być aktu urodzenia a tylko akt chrztu.

  10. To wcale nie jest takie proste. Dostęp do systemu pesel jest przez wydzieloną sieć, a do komputera, który jest do niej podłączony nie powinna być podłączona inna. O tym bezpośrednim dostępie przez internet pierwsze słyszę. Więc jeśli komornicy korzystali z tego w ten sposób to nie powinno być możliwości na włam z zewnątrz. Poza tym były kancelarie, które rocznie miały dziesiątki tysięcy spraw rocznie, a dla takich zamówić soft na automatyczne odpytywanie tej bazy nie jest problemem i tym sposobem wyszukiwać dane tysięcy dłużników nocą. 2 miliony to jest dużo za dużo mimo wszystko o ile te dane są właściwe.

    • Tylko dwa miliony zapytań, to przecież nie musi być 2 miliony unikalnych numerów PESEL. Bo chyba mogło być, że kancelaria wysyła jakiś monit – idzie zapytanie o sprawdzenie danych (mogły się zmienić). Za miesiąc idzie kolejny (znowu najpierw sprawdzenie danych) itd.

    • Unikalnych na pewno było mniej. Natomiast zgody na automaty też nie było (dostęp był do systemu WWW, a nie do usług webservice). Nikt przy sprawie nie mówi na razie o żadnym wycieku, media trochę to rozdmuchały.

  11. – Witam. Akurat zajmuje się aplikacją źródło jako lokalny administrator systemu czyli LAS w jednym z urzędów. Dla niewtajemniczonych – źródło- a jak niektórzy nazywają bagno – jest aplikacją MSW do obsługi bazy PESEL, Dowodów Osobistych i Stanu Cywilnego. Z tego co mi wiadomo komputery działające w źródle i które dostały urzędy od MSW do obsługi źródła nie mogą być wpięte do internetu ani pośrednio ani bezpośrednio. Więc jakim cudem komornicy wchodzą do bazy PESEL z sieci internet. No chyba ze MSW uznało ze komornicy to informatycy i wiedzą co robią i z internetu nikt do bazy PESEL od nich nie wejdzie

    • Dokładnie. Nie wiem jak jest z podpięciem do sieci wewnętrznej, ale wiem, że u niektórych nie ma nawet tego. Wiem, że z tymi nalotami na kancelarie to prawda i to nie tylko takie z odpytaniami powyżej 100 000, ale najprawdopodobniej rzetelność informacji rmf pozostawia wiele do życzenia.

    • Działa to dokładnie tak jak napisałem dałeś jest wydzielona sieć i wydzielone stanowisko, a zapytanie robi się poprzez wskazanie znanego że sprawy numeru PESEL więc o żadnym wycieku nie może być mowy.

    • Rmf klamie. Brak pojecia o temacie.

    • normalnie osłabiacie mnie – a druga karta sieciowa wpięta do komputera? z tego co wiem to jest sporo instytucji które mają to tak rozwiązane – w końcu to był zakup dodatkowego komputera więc koszty a druga karta sieciowa to koszt 20 zł… więc pani Helenka siedząca przy kompie i obsługująca źródło równocześnie pisze maile i odbiera pocztę.

      Przy okazji łapiąc trojany. I inne ciekawe rzeczy. Więc bruteforce jest jak najbardziej możliwy

    • Wytłumaczcie mi coś proszę, bo nie do końca rozumiem dlaczego panuje zdziwienie jak do tego mogło dojść.
      Mowa tu jest o zabezpieczeniach w postaci osobnych sieci, vpn, skonfigurowanych dedykowany routerach, stacjach roboczych do których nie można/nie da si podpiąć zew. urządzeń itp. Z mojej perspektywy (a nie jestem informatykiem, jestem elektronikiem) to do puki coś jest ze sobą połączone galwanicznie to jest to ze sobą połączone. Nie zależnie czy istnieje bariera programowa w postaci VPN, routingów, “ruli” czy innych tuneli. Do puki fizycznie jest coś ze sobą połączone to wszystko jest kwestią “stosowanie się oprogramowania do zasad”. Ale wystarczy oprogramowanie “namówić”, żeby te zasady złamało – i cały misterny plan w pizdu (jak mówił klasyk). Przecież kiedyś były hub’y potem switch’e, a po drodze ktoś wymyślił “zatruwanie arp”. Technologia idzie pod strzechy. To co 10 lat temu używały tajne agencje i wybitni hackerzy, dziś da się kupić za stosunkowo nie duże pieniądze. Tak sobie myślę, że już ładne kilka lat temu udało się spenetrować tajne, odłączone od świata laboratoria w Iranie, za pomocą pendrive. Mówi się o namierzaniu i przejmowaniu ruchu w sieci TOR, o podsłuchiwaniu monitorów za pomocą widma elektromagnetycznego, łamania zabezpieczeń iPhona – przecież to nie są elementy opowieści Lema, tylko to się dzieje na prawdę. Ale to wszystko to nic przy tym, że na końcu i tak jest człowiek i można go porostu (mówiąc kolokwialnie) podejść. Zadzwonił serwisant z “centrali”, przyjechał ekstra z Warszawy, pokazał certyfikaty z internetu, zrobił co swoje i (karta wifi na usb, skrypt, trojan – “łotewer”) i całe zabespjeczenie (celowo s-j) jak krew w piach. Więc czemu miałoby się nie dać przejąć dostęp do bazy PESEL w jakimś tam randomowym biurze/urzędzie?

    • @Patryk: Nikt na razie nie wie i nie mówi o żadnym wycieku do Internetu. Natomiast wystarczy, żeby na pendrive’y zrzucali tego typu dane by rzecz potrzebowała sprawdzenia. Dopóki nie wiadomo nic więcej – nie ma sensu drążyć. Sprawdzą i ustalą.

    • koboldzisko ministerstwo samo dawało komputery, switch i modem skonfigurowany przez nich. Więc urzędy nie musiały nic kupować, ponieważ do źródła dostęp nie musza mieć wszyscy urzędnicy a jedynie kilku wybranych to u mnie w urzędzie tylko dwa wydziały miały dostęp do niego. W urzędzie stanu cywilnego stał 1 komputer i 2 kompy w drugim wydziale. DO tych komputerów nawet drukarki nie można było wpinać.

    • @jacob
      sprzęt był przysyłany przy okazji zmoku – dostawało się switche, komputery i serwery które potem należało wykorzystać do ewidencji lub usc – warunki gwarancji były że nie wolno nic ruszać – ale jeśli uczestniczyłeś w szkoleniach to potem na atmo były dyskusje i zapytania do ministerstwa o dokładanie kart sieciowych i tworzenie wirtualnych maszyn – więc proszę cię – założenia były jakie były ale z tego co widziałem osób które chciały przyoszczędzić na drugim komputerze nie brakowało – bo wiadomo że pani Halinka musi też normalne maile obsługiwać prawda ? więc po co do samych maili dawać jej drugi komputer? zresztą – podejrzewam że w urzędach to nawet nie miało za dużo miejsca – bo sprzęt był dostarczony – ale mówimy o kancelarii komorniczej – która raczej sama kupowała sprzęt prawda ? nic mi nie wiadomo żeby go dostawali albo ze źródła albo ze zmoku

    • @koboldzisko

      Dwie karty sieciowe nie rozwiązują sprawy. Trzeba jeszcze wskazać jaki ruch ma iść przez jaką bramę, a tego osoba stosująca tak łopatologiczne rozwiązania nie umie. Prawdopodobnie mogła być włączana raz jedna karta, a innym razem druga karta.

  12. Sprawdzanie danych zostało wyłączone na obywatel.gov.pl
    > Przepraszamy, ale strona jest chwilowo niedostępna. Spróbuj ponownie później.

  13. A kredyty, teraz trzeba co więcej od dowodu, żeby wziąć kredyt?

  14. RooTer, dobre pytanie, podpinam się…

  15. Mam nadzieję, że nikt na mnie kredytu nie weźmie, a z tymi danymi może bez problemu, można kupić na raty, można podpisać wszelakie umowy itp. Jest to przerażające, a potem się tłumacz, ciągaj po sądach, że to nie Ty podpisywałeś umowę. Można przejąć czyjąś tożsamość itd itp.

    Możliwości są olbrzymie

  16. To jest zwykła kradzież tożsamości. Czy będzie ochrona ludzi przed skutkami?

  17. obywatel.gov.pl:

    Błąd serwera
    Przepraszamy, ale strona jest chwilowo niedostępna. Spróbuj ponownie później.

  18. Obowiązek poinformowania o wycieku dotyczy tylko operatorów telekomunikacyjnych. Za 2 lata będzie dotyczyć wszystkich i będą ogromne kary za brak poinformowania o wycieku.

  19. już odpowiadam.. !

    – kredyty po za bankowe! 10 banków w 3h .. po 1.000
    – manipulację tożsamości – np. w krajach zachodnich – “Terroryzm” – pogadaj z usa..
    – BiK polski odrzuca zapytania – ale masz prawo – np. zapytanie ofertowe o telefon złożyć w 3 p-tach w jeden dzień .. No i 3 Iphone .. poszły..
    – itp ..
    -itd…

    i za wiecej ….

  20. Piękny materiał dla włamań opartych o socjotechnikę. Jak ktoś zadzwoni, poda się za urzędnika/policjanta/pracownika banku i będzie znał wszystkie dane osobowe to nie jeden Polak będzie skłonny wciągnąć się w jakiś przekręt. Gorzej ze jak raz wściekli to już nie zniknie.

  21. Kurwa jaki ten epuap jest zjebany, pierwszy błąd: “Nie posiadasz profilu zaufanego”, drugi błąd po przeklejeniu kodu jaki dostałem na email “Niepoprawny kod” nosz kurwa za moje pesos takie gówno!

    • A po kliknięciu linka w tekście “Przeczytałem, zapoznałem się i akceptuję regulamin i zakres przetwarzania danych blablabla” otwiera w zakładce po raz kolejny stronę rejestracji profilu. Pełna profeska.

    • Jeśli kod w sys EPUAP nie działa, sprawdź to rozwiązanie

      https://niebezpiecznik.pl/post/obejscie-dwuskladnikowego-uwierzytelnienia-w-epuap/

    • on taki już jest z natury. Pewna historia z ePuap. Wysłaliśmy pismo przy pomocy tego systemu. Odpowiedzi nie dostaliśmy, musiał człowiek pojechać do urzędu, odebrać odpowiedź na papierze. I na tym skończyło się korzystanie w firmie z ePuap.

  22. Z tego co wiem, to odpytywanie bazy PESEL nie jest darmowe, więc jakoś ciężko mi uwierzyć, że niewinna kancelaria komornicza nie zauważyła rachunku za 800k zapytań.

    • Samo odpytywanie jest darmowe, przynajmniej dla komorników.

    • @Kamil OK to odszczekuję :)
      banki np za to płacą, stąd założenie, że komornicy też

  23. Błąd serwera
    Przepraszamy, ale strona jest chwilowo niedostępna. Spróbuj ponownie później.

  24. Słupy… kredyty / zarządy / firmy.

    Kolekcjonerskie dowody i legitymacje! Ot co biznes!

  25. Czy to przypadek, że stacja która nagle ogłasza wyciek danych pesel w tym samym czasie organizuję konkurs oparty na właśnie peselach?

    • No właśnie usłyszałem reklamę w TV: “Sprawdź swój PESEL i wygraj z RMF FM” i miałem to samo pytanie zadać

    • Ha! Przypadek? Nie sądzę… :P

  26. Przeraża mnie możliwość, że ktoś tą bazę wykradnie i wystawi na sprzedaż.

    • Ale zapewne tak właśnie będzie. Np. za pół roku pojawi się na jakimś forum na TORze…

  27. RMF podało informację o wycieku, a organizują akcję “Spradz swój PESEL”czy jakoś tak, Niebezpiecznik łyka słabą reklamę jak bocian żaby.
    NIebezpiecznik – słabo i to bardzo, w każdy dzinnikarski syf uwieżycie?

    • UWIEŻOM.

  28. Do wzięcia rat do ok 5tys. przy okresie około 24-48 miesięcy sam dowód i oświadczenie o zarobkach zazwyczaj (czyli ustnie oświadczasz, gdzie pracujesz i ile zarabiasz, choc zaświadczenie o zarobkach to też dziś żaden problem, bo pieczątki na Allegro tanie i na fałszywe dane do paczkomatu możesz zamówić).
    Obstawiałbym chwilowki, albo kredyty ratalne na sprzęt IT, rtv, rowery i inne rzeczy ruchome łatwe do upłynnienia w komisach i lombardach. Ewentualnie lewe umowy na telewizje cyfrowe (zwłaszcza przy promocjach 6 miesięcy za free albo nawet za 1 zł. Później można kupić zestaw z pełnym pakietem kanałów za 200-300zl).
    W telefony dość śliskie: sprzedawcy mają spisane nr IMEI i później łatwo znaleźć ostatecznego klienta, a po nitce do kłębka…

  29. Jak coś to za mój kredyt obarczam Szydłową i Jarka…

  30. “wskazuje numer PESEL -> otrzymuję informację zwrotną o danej osobie.”
    Czyli komornik może lecieć bruteforcem po wszystkich numerach i zgarnie bazę wszystkich polaków… Innymi słowy założono, że komornicy nie będą nadużywać swych uprawnień do pobierania danych osób nie związanych z prowadzonymi sprawami i nikt nie sprawdzał czy tak jest w rzeczywistości?

    • Do tego trzeba wskazać sygnaturę prowadzonego postępowania. W ten sposob komornik moze dokonywać zapytań tylko odnoszących się do dłużników, wobec których prowadzi postępowanie.

    • Nawet mało inteligentny programista jest w stanie napisać skrypt, który w pętli będzie inkrementował sygnaturę sprawy.
      KM, KMP, KMS – randomowo +n.

  31. W sumie wpięcie radiolinii / bądź adaptera na krótki obszar jest możliwa. (Słabości USB… myszka i nie tylko)

  32. dodając do tego dokumenty “kolekcjonerskie” można pozostać bezkarnym.

  33. co to znaczy nie można się włamać ?
    spytajcie gatesa albo linuxa
    jestem pewien, że dane wyciekły ze dwa lata temu
    pamiętam, że była też akcja policyjne punkty i mandaty za 5 zł smsa

  34. Jestem w szoku, że w Polsce ktoś może sobie wpisać PESEL na stronie i zobaczyć wszystkie dane. W UK jest podobny system i tutaj NIN (National Insurance Number

    • Słusznie byłbyś w szoku ale to co piszesz nie jest możliwe.

  35. Dobra zmiana.

    • Dane wyciekają co najmniej od marca 2015:
      “przykładowo jeden z komorników pobrał od marca 2015 r. dane 802.759 osób i złożył 1.792.951 zapytań.”
      więc nie pie*dol.

    • to nie wp, tvn czy inny portal dla polityki tudzież biedaków narzekających w komentarzach jakie to mają słabe życie za 2 tys zł, więc wypad stąd

    • Przepraszam, że trochę politycznie… System został wprowadzony za PO z licznymi błędami powodującymi destabilizację kraju.
      – komputery przestała obsługiwać firma profesjonalna (niestety spora część informatyków w urzędach jest zatrudniona za ładne jaja i przepraszam tu tych co znają się na robocie),
      – opis konfiguracji stacji roboczej z COI miał na celu wyłącznie zadziałanie,
      – brak wytycznych, że konta użytkowników nie mogą mieć uprawnień administratora (niby oczywiste ale prawdopodobnie 50% użytkowników ma uprawnienia administracyjne bo wówczas system łatwiej było skonfigurować),
      – brak wytycznych o blokadzie portów USB,
      – brak wytycznych o ustaleniu czasowych zmian haseł dostępu do systemu,
      – brak wytycznych o ustaleniu złożoności hasła dostępu do systemu,
      – brak wytycznych o ustaleniu minimalnego i maksymalnego terminu ważności hasła,
      – jeżeli z powyższym są problemy to szczegółowa instrukcja lub szkolenia jak to zrobić,
      – brak wytycznych o przeprowadzeniu specjalnych szkoleń użytkowników aplikacji i szczegółowej instrukcji jak te szkolenia mają wyglądać, jak było po staremu, jak jest po nowemu i na co zwracać uwagę,
      – wielki projekt domknięty z buta, aby było w czasie(nie ma znaczenia czy dobrze).

  36. Ta sytuacja to najlepszy dowód na to, jakim “źródlanym” państwem jest PL. Bardzo dobra nazwa dla najważniejszej bazy w państwie – BAGNO. To nawet trudno komentować – ochrona danych osobowych ? Naprawdę ? Ja chronię jako ja – ale po co ? Dla jaj, zabicia czasu, poklikania se ? W jakim celu jest ustawa o ochronie danych osobowych i te tony wypowiedzi tzw. specjalistów w tym zakresie, skoro najważniejsza podstawa śmierdzi i nikt nie reaguje ? Żadnej ochrony danych osobowych nie ma w PL chłopcy i dziewczynki. To fikcja. Zastanówcie się przez chwile – kto może być zainteresowany pozyskanymi informacjami przez komorników ? Z kim kojarzą Wam się komornicy ? Ciekawie co ?

    • Hmm, jak kiedyś ujawnią szczegóły, będziesz odszczekiwał hasła o braku ochrony danych osobowych… a na razie obserwuj co się będzie działo…
      Każdy użytkownik z dostępem do BAGNA jak nazywasz ŹRÓDŁO/SRP musi złożyć wniosek imienny ze swoimi danymi o certyfikat – bez tego nie ma dostępu… certyfikat jest na karcie, plus PIN, więc ktoś musiał być totalnym idiotą lub działał celowo, lub ktoś nie wiedział, że na jego koncie takie rzeczy się dzieją…

    • Z kim się kojarzą ?

    • Ludeczki, ogarnijcie.

      1. Czy posiadacie świadomość, o jakiej bazie tu wszyscy piszą ?. To nie jest jakaś tam baza danych. To jest TA BAZA DANYCH.

      2. Budując system zabezpieczeń dla tego rozwiązania, nikt nie wziął jednego, kluczowego elementu pod uwagę : Czlowieka. Zastosowanie pięknej technologii i techniki to jedno, ale jeśli dajecie granat malpie i nikt nie patrzy jej na ręce, to po co się zabezpieczacie ? Dlaczego nie zorganizowano tego tak, ze dostęp do tych danych z TEJ BAZY jest tylko i wyłącznie do odczytania z ekranika, bez możliwości drukowania i wykonywania innych cudownych dzialan na bazie danych, poza miejscem jej utrzymania w ruchu ?

      3. Dlaczego nie ma nadzoru nad kopia informacji pobranych? Co się dzieje z tymi pobraniami wyników przeszukiwania bazy danych – mogą pozostawać już nie chronione ?

      Trudno jest oprzeć się wrażeniu, ze wszystko zostali zwalone na technologię, a myślenie zostali w lesie.

      I kto jest poszkodowanym – pieprzony komornik, it w rządzie, projektant systemu czy – na szarym końcu, zwykły obywatel, który kompletnie nie ma żadnego wpływu na te dane ?

      Pozdrawiam służby – oby zaczely się zastanawiać nad pytaniem 2. i 3.

    • Nie wiem jak wam,ale mi ze złodziejami.Różnica jest tylko taka,że komornikowi nie możesz za bardzo stawić legalnie żadnego fizycznego oporu,a złodziejowi w tym kraju nie możesz tylko zrobić krzywdy.

      Ok.My tu sobie gadu gadu,a jak sprawdzić czy peselek wyciekł czy nie ?

  37. Dane między komputerem do systemu PESEL a serwerami są szyfrowane, dodatkowo dostęp do serwerów możliwy tylko przez VPN – tu wszystko wygląda dobrze.

    Duża kancelaria ma dziesiątki pracowników i tyleż sam komputerów, a ten do bazy PESEL jeden?

    W jaki sposób kilkadziesiąt osób może korzystać z jednego komputera? Mają komitet kolejkowy? Mają jednego pracownika tylko do tego?

    Wydaje się, że problemem nie był sam dostęp do systemu ŹRÓDŁO, tylko dalszy sposób postępowania z danymi: przesyłanie mailem, odkładanie na jakimś NAS, dostęp do komputera przez RDP, VNC lub innego TeamViewer.

    • Tak, mają jednego pracownika/wybranych, którzy wyszukują informacje i później umieszczają dane w danych dłużnika, do których już ma dostęp reszta pracowników.

      Jeśli było jakieś nadużycie to albo przez takie intencje w kancelarii komorniczej(w co szczerze wątpię, bo to trzeba by być ostrym idiotą biorąc pod uwagę kontrolę nad dostępem do tych danych), albo przez głupotę administratora kancelarii, który, np. podłączył 2 kartę sieciową do komputera ze Źródłem i dostęp do internetu.

  38. “duże kancelarie mają po pare set tysięcy spraw”.
    z internetow:
    “Największą kancelarią w Polsce już po raz kolejny okazała się Dentons. Ta firma prawnicza ma już 186 prawników, w tym 117 to adwokaci i radcy prawni.”

    Czyli mając np 400 000 spraw rocznie na jednego prawnika przypadnie ok. 2150 spraw. Czyli licząc prace 365 dni w roku to będzie ok. 5,89 sprawy dziennie…

    • Mylisz kancelarie komornicze i adwokacko-radcowskie. Dentons nie jest kancelarią komorniczą.

    • Bo to są takie kancelarie do masowego nabijania w butelkę – a to, że się nie zarejestrowało bazy w GIODO, a to że abonament nie opłacony…

    • “Rocznie jeden komornik potrafi obsłużyć nawet pół miliona spraw. Gdyby odliczyć dni wolne od pracy, dzień w dzień wszczyna się tam ponad tysiąc postępowań egzekucyjnych. Jak to możliwe, że jeden komornik jest w stanie obsłużyć taką liczbę spraw? Do pomocy zatrudnia zwykle ponad stu pracowników (asesorów, aplikantów, studentów prawa). Jego praca bardziej przypomina zawód windykatora niż funkcjonariusza publicznego z polskim godłem w pieczęci.”

  39. Dla tych co nie wiedzą. System emp@tia kojarzycie? Każdy ośrodek pomocy społecznej, pomocy rodzinie itp ma dostęp przez internet bazy do pesel, epodatki, cepik i jeszcze parę innych. Co w sumie daje tysiące takich jednostek pomnożone przez X pracowników tych jednostek. Wystarczy, że ktoś przejmie jeden komputer.

    • Bzdura. Dostęp, owszem, jest. Ale cały ruch odbywa się poprzez certyfikowane (przez ministerstwo) oprogramowanie. Więc aby zadawać zapytania automatycznie, trzeba by hakować oprogramowanie dziedzinowe (a przynajmniej idealnie je imitować).
      W ramach oprogramowania możliwe jest odpytanie o pojedyncze osoby, ale każde zapytanie jest rejestrowane (wg. przepisów, tak jak u komorników, powinno dotyczyć prowadzonego postępowania).

    • Więc nie taka bzdura. Baze można wykraść, instalkę oprogramowania masz na stronach dostawców. Hakerem nie jestem, ale to już chyba spore narzędzia dla kogoś takiego?

    • A czyn nie jest możliwe przejęcie np. laptopa w MOPS z zainstalowanym takim oprogramowaniem a następnie wrzucenie zwykłego macro, uruchamianego jeśli kamerka w laptopie nikogo nie widzi?

  40. Mając takie dane, można je później porównać w CEIDG. Wtedy do kompletu w/w danych mamy kolejne dane takie jak: NIP, REGON, NIP spółki cywilnej, REGON spółki cywilnej, Numer KRS, Nazwa firmy, Imię, Nazwisko, Województwo, Powiat, Miejscowość, Gmina, Ulica, Numer nieruchomości, Numer lokalu, Rodzaj działalności. Później hipotetycznie (gdybając), można podesłać do takiej firmy “konsultanta słupa” z propozycją np. zmiany dostawcy energii elektrycznej lub usług telekomunikacyjnych i na koniec rozmowy poprosić o podpis i pieczątkę firmy aby potwierdzić odbytą rozmowę. Można też pogrzebać w firmowych śmieciach i uzyskać dane np. jakiegoś kontrahenta, nr. konta bankowego itp.. Teraz mamy komplet danych z dwóch baz oraz wzór pieczątki, podpis właściciela firmy no i wiemy z kim firma prowadzi interesy. I dopiero teraz robi się ciekawie co z takimi danymi można zrobić.

  41. Nie wiem czy ktos wspominal ale… Stanowisko na ktorym jest zainstalowany PESELNet nie moze miec bezposredniego polaczenia z internetem. Wiec na wstepie juz zrobili blamaz z bezpieczenstwa

  42. Sugestia o “ofiarach hakerów” jest raczej mało wiarygodna w kontekście tego, że zapytania szły w nocy.
    Po co kancelaria komornicza będąca zwykłym biurem ma zostawia przez n-dni komputer na noc włączony?

    • Teoretycznie nie musi, komputer może się włączyć sam o określonej godzinie z RTC.

  43. Aha czyli nie ma możliwości aby przejąć kontrolę nad komputerem logującym się do bazy z peselami tj. komputera, który ma połączenie z internetem, nawet jeżeli jest to komputer wydelegowany tylko do takich zadań ? ;)

  44. winna jest firma komornik IT i ich aplikacja która wdrożyli u siebie niektórzy komornicy komornicy.

    aplikacja masowo wysyłała zapytania do systemu w sposób bezbłędny. potrafiła w ciągu doby wygenerować 2 tys zapytań.
    ABW już przeszukuje komornika IT.

  45. Komputery takie prawdopodobnie korzystają z dedykowanego łącza i stanowiska. Przynajmniej u mnie tak było, gdy funkcjonowała baza pesel w systemie IPE. Oczywiście była możliwość podpięcia do internetu ale chyba ostatni kretyn by tak zrobił.

  46. To takie pytanie: czy BIK (albo cokolwiek innego) wykaże mi każdą udaną i nieudaną próbę wzięcia kredytu na moje dane? Chodzi przede wszystkim o zaciąganie kredytu w instytucjach pozabankowych, parabankach czy pożyczkach przez internet – z tego co wiem w większości przypadków robi się to bez weryfikacji danych w BIKu. Zablokować tego kredytowego procederu raczej nie ma możliwości, ale jak zwiększyć szansę na wykrycie próby, albo chociaż zostać poinformowanym o zaciągnięciu na nas kredytu szybciej niż przed otrzymaniem pierwszego wezwania do zapłaty? BIK np. oferuje alerty (email / sms) o każdym jednym zapytaniu o nasze dane, no ale skoro większość chwilówek nie korzysta zupełnie z BIKu to na nic one. Jak na obecna chwilę można to chociaż minimalnie kontrolować?

    • No udaną to na 200%… będziesz wpisany ślicznie do BIK :D i będzie Cię saszka z witalijem z “parabankoja superdziengi cccp corpo” nękał o zapłatę ;>

  47. Rozbawiło mnie to hasło
    “Mam PESEL — co robić, jak żyć?”

    No zmieniam PESEL. lol

  48. Przy pierwszej próbie logowania po rejestacji konta na ePuap a to ciekawe :D

    “Error 500: Please provide the correct credentials or verify the Application Component settings” :D

  49. A może to akcja ISIS? Albo kogoś, jakiejś organizacji której potrzebne są dane w celu podszywania się pod ludzi? W sumie były filmy o odbieraniu tożsamości może czas na rzeczywistość? Tylko zastanawia mnie dlaczego akurat Polska, czy to może przygotowania do wojny? Luźne rozważania, trochę ironiczne, ale czy taki scenariusz można zupełnie wykluczyć? I miałam z artykułu dowiedzieć się, gdzie mogę sprawdzić czy były tam również moje dane bo zdanie “jeśli jesteś poszkodowany” nic mi nie mówi, odpowiedź skąd się dowiem, że jestem poszkodowany byłaby bardziej na miejscu, bo wiadomo że są rzeczy których nie zmienię:)

  50. Jakby ktoś chciał, to nas stronach PLID (projektu, w ramach którego stworzono Źródło) jest opisany sposób podłączenia infrastruktury Systemu Rejestrów Państwowych: https://plid.obywatel.gov.pl/wp-content/uploads/2014/12/Uproszczona-topologia-sposobu-po%C5%82%C4%85czenia-infrastruktury-urz%C4%99du-do-obecnie-instalowanej-sieci-na-potrzeby-dost%C4%99pu-do-SRP.pdf

  51. A może po prostu część komorników, mających w obsłudze egzekucyjnej po kilkaset tysięcy spraw, zautomatyzowało proces odpytań, stąd podejrzana częstotliwość, ilość i praca w nocy?

    • Możliwe. Dalej dziwne, że mają ich tyle, że nie potrafią w dzień pobrać dość danych. Możliwe też, że uzupełniają dane WSTECZ do wszystkich poprzednich swoich spraw. Tego nie powinni robić.

  52. Polacy hacked : (
    Ktoś z Ministerstwa powinien podać się do dymisji.

    • @Supertux: I powtarzać je, dopóki nie osiągniemy pożądanego wyniku.

  53. kogo trzeba pozwać, żeby dowiedzieć się, czy moje dane zostały ukradzione?

  54. “czas ich trwania, częstotliwość zapytań, realizacja w porze nocnej oraz schemat pracy stacji roboczych – wskazywała na zastosowanie złośliwego oprogramowania bądź skryptów służących do automatycznego generowania zapytań”

    Zgaduję, że robią testy wydajnościowe jakiegoś swojego narzędzia

    • Blisko, po prostu jak się ma w roku prawie milion spraw (przypominam że 2015 był ostatnim rokiem w którym komornik mógł mieć ile chciał spraw) + aktualizuje sprawy obecnie prowadzone to wychodzą takie liczby…

  55. Pięknie, jak to w polandzie. Dajcie znać kiedy już będzie dobry moment na składanie wniosku o wydanie nowego numeru PESEL.

  56. Ale co? Jak? Gdzie? To komornik włożył kartę (certyfikat kwalifikowany) do czytnika, napisał na niej PIN i poszedł spać? Kwestię przechwycenia PIN mogę zrozumieć (keylogger), ale kartę z certyfikatem to chyba chowa się pod klucz, przynajmniej widzę, że tak to robią u nas. Odrębną sprawą jest brak dziennego/miesięcznego/rocznego limitu zapytań, po przekroczeniu którego trzeba by uzyskać rozgrzeszenie.

    • @ hihi

      Do przeglądania wystarczy raz podać poświadczenia. Kolejny raz poświadczenia podaje się jak sesja wygaśnie lub jak chcemy dokonać zmiany w PESEL, a tego zapewne komornicy nie mogą robić. Jeżeli nie zmienial nic w pesel to kartę mógł wyciągnąć. Piszę mógł bo prawdopodobnie była zostawiona w czytniku.

  57. Znalazłem taką stronę informacyjną o aplikacji Źródło:
    https://mswia.gov.pl/pl/aktualnosci/12940,ZRODLO-prosty-i-bezpieczny-program-do-obslugi-Systemu-Rejestrow-Panstwowych.html
    Wynika z niego że aplikacja nie wymaga dedykowanego sprzętu. Jest tam też informacja że SRP, do którego dostęp daje aplikacja ruszyło 1 marca zeszłego roku, czyli krótko mówiąc wycieki trwały od samego początku. Biorąc pod uwagę “prostotę” obsługi i to że aplikację można było wybadać w dowolnym urzędzie w Pipidówie, stworzenie wirusa przejmującego kontrolę nad aplikacją (i przechwytującego PIN do karty, zostawionej przez panią Krysię dla wygody na stałe w czytniku) nie wydaje się jakieś niemożliwe.

    A teraz trochę fantazji: to kolejny gruby wyciek danych w ostatnich miesiącach, dane te mogą być masowo wykorzystane w dogodnym momencie do wprowadzenia ogromnego chaosu w funkcjonowanie państwa i życie zwykłych obywateli i unicestwienie resztek zaufania do państwa. Coś takiego spokojnie może być elementem wojny hybrydowej.

  58. no tak, to teraz trzeba sie rejestrowac gdzies gdzie beda monitorowac nasze dane czy nikt nie bierze kredytow

  59. Czyli teraz mamy grzecznie czekać, aż komuś przyślą rate do zapłaty z pożyczki której nigdy nie brał? Chyba obywatel nie powinien płacić za błędy innych? Priorytetem, wydaje mi sie jest ustalenie czyje dane zostały wykradzione…

    • Czyje to kto ma wiedzieć ten wie bo logi są

  60. No dobra, jest sobie ta stacja dostarczona przez Ministerstwo czy inną organizację: komputer, Przełącznik, Router czy inny UTM.

    Jak to ma wyglądać?
    Przychodzi Pani Komornik, wklepuje PESEL i dostaje dane na ekranie.
    Co dalej?
    Bierze długopis i sobie przepisuje?
    Robi zdjęcie?

    Zapewne jakoś to drukuje lub przesyła dalej.

    Jakie są formane wymagania odnośnie do takiej stacji PESEL-net?
    To, że nie może mieć dostępu do internetu już wiemy, ale czy może być dostępna z sieci lokalnej?

    • nie może być dostępu z sieci lokalnej

    • Dostęp jest ograniczony do konkretnych użytkowników systemu – czyli pani Krysia jak nie ma uprawnień, to nie wyśle.
      Jedno jest pewne – komuś się musi mocno dupa palić

  61. Zgnoić ich tak karami i odszkodowaniami jak oni gnoili ludzi. Puścić w skarpetkach i z długami do końca życia! Bez litości!

  62. Dane z bazy PESEl maja o wiele mniejsze wymagania niż uzyskanie zapytań z systemu CEPiK. W sumie to CEPiK ma największe wymagania dotyczące bezpieczeństwa.

  63. Witam,
    czy wiecie na jakiej zasadzie zbierane są informacje o wyjazdach zagranicznych w tym systemie?

    • Masz obowiązek zgłosić każdy pobyt zagranicą dłuższy niż X mcy, afair

    • Piotr Konieczny: Krąży legenda, że ktoś to kiedyś zrobił.

    • Well, niektórzy muszą coś takiego zgłosić w innym wypadku np. ich prawo jazdy nie działa w Polsce.

  64. Mnie ciekawi w którą stronę poszły te dane czy na zachód czy na wschód.

    • A ile kart SIM można na to zarejestrować, pożyczek nabrać.

  65. Z drugiej mańki byli komornicy tzw. hurtownicy u nich działy IT działały 24h, jeden taki przyjamował kilkaset tyś spraw rocznie 1 sprawa= min. 1 dłużnik, takich hurtowników w Polsce było (było bo wprowadzono ograniczenia pod koniec 2015r.) policzcie sobie ile rocznie mogło być legalnych zapytań. Dodajcie do tego rzetelność dziennikarzy.
    Jak pewne jest tylko to tyle, że z tych 5 kancelarii były zapytania via PESELNET w nocy. Jeśli byli to Ci hurtownicy to całkiem możliwe że robili zapytania we wszczętych przez siebie postępowań.
    Pamiętajcie o tym że rocznie wszczyna się okolo 5mln. postępowań egzekucyjnych. Informacji uzyskanych w ramach jednego postepowania egzekucyjnego nie możan wykorzystać w innym (choćby dotyczyło tego samego dłużnika). Prawdopodobnie pracownik COI nie ma zielonego pojęcia ile jedna kancelaria tzw. hurtownika prowadzi postępowań.

    1. Dostęp dla komorników jest przez łącze dedykowane.
    2. Nie każdy komornik ma dostęp do bazy danych PESEL.
    3. Jak narzazie nie można mówić o wycieku danych (Gównoburza zrobiona przez jakże rzetelnych dziennikarzy RMF).

    Co do ilości zapytań dziwią się ze wysłała 2mln zapytań – mnei nie to nie dziwi skoro komornicy hurtownicy wszczęli w zeszłym roku około 4 mln. postepowań egzekucyjnych.

    • Fakt, jedna z takich hurtowni jest w Warszawie

    • Oczywiście o wycieku jeszcze nie można mówić, są łatwiejsze bazy do ataku np. dostawców telekomunikacyjnych

  66. Sytuacja z przed 2-3 lat: Starostwo powiatowe, geodezja. Przynoszę jakieśtam papiery. Brakuje PESELa żony. Już mam dzwonić kiedy urzedniczka z tego samego komputera z którego przegląda mapy odczytuje mi po chwili dane żony. Pytam skąd ma. Z basy PESEL, pada odpowiedź.

    Finito.

  67. Moglibyście coś zrobić z tą stroną bo w SRWare Iron nie działa, w Chrome pewnie też bo to to samo, wyświetla się błąd: ERR_SSL_VERSION_OR_CIPHER_MISMATCH

  68. Takim Hamerykanom baza Social Security Numbers (cała albo w częściach) wraz z dodatkami wycieka raz na 2 miesiące.
    Idziemy na zachód.

  69. Bawią mnie stwierdzenia, że system “Źródło” to odseparowana sieć i że bezpieczna itp. Nie wiem czy ktoś sobie zdaje sprawę jak wygląda IT w małym, biednym urzędzie gminy. Jak budżet jest mały i do wyboru mamy zrobienie chodnika albo wyposażenie serwerowni, to oczywiście wygra chodnik, bo serwerowni wyborca nie zobaczy. Za serwery robią pecety, a każde urządzenie jest na wagę złota. Jak jeden urzędnik ma jednocześnie mieć dostęp do “Źródła” i innych systemów to nikt mu nie kupi drugiego peceta, tylko dołoży kartę sieciową i okrakiem wepnie do tej superbezpiecznej sieci ministerialnej i do lokalnych dziurawych jak sito zasobów. Dziwić może tylko, że to się stało tak późno.

  70. Z tego co pamiętam kilka lat temu podawali w teleexpresie(!), że serwery z wrażliwymi danymi Polaków, w tym numery pesel, zostały “przeniesione w bezpieczne miejsce” i “teraz są już bezpieczne”, a wszystko to zrobiła niezależna prywatna niemiecka firma…. Cytaty z pamięci.

  71. Ciekawe jest to, że mając dane z dowodu można na daną osobę wziąść kredyt, pożyczkę itp, a mając nawet dowód tej osoby nie można odebrać jej awiza na poczcie…

  72. Nie wiem jakiej aplikacji używają komornicy, ale w urzędach miast i gmin ODPYTANIE Źródła i bazy PESEL w kwestii danych osobowych może mieć jedynie Wójt/Burmistrz (ewentualnie inna wytypowana i zgłoszona do MSWiA osoba). I teraz ciekawostka: dane mogą być pobrane jedynie przy włożonej do czytnika karty z certyfikatem i po podaniu PINu. Jeżeli pobieraniem danych zajmowały się “roboty”, to co z autoryzacja?

    • Przez aplikację Źródło jest pełna funkcjonalność SRP (w ramach uprawnień użytkownika) a więc odczyt i zapis danych (meldowanie, wymeldowanie, urodzenia, małżeństwa, zgony, zmiana nazwiska, itp). Ale SRP dopuszcza również korzystanie z tzw. Aplikacji Wspierających, które mają prawo tylko do odczytu. Dla sądów jest nawet specjalna aplikacja PESEL-SAD. Akurat nie wiem z którego rozwiązania korzystają komornicy ale nie musi to być Źródło.

    • A tak swoją drogą, PESEL-SAD jest repliką bazy PESEL co rodzi pewne problemy prawne:
      http://wiadomosci.dziennik.pl/wydarzenia/artykuly/500649,pesel-bezprawnie-kopiowany-w-ministerstwach.html

  73. zaden wlam, obstawiam ze zwykly handel – kilku gosci pomyslalo ze zarobi.. przez ponad rok szarpali te pesele jak rolnik doplaty – bez ograniczen..

  74. Mam inny scenariusz. Komornik zamawia nielegalne oprogramowanie do pobierania danych z bazy PESEL. Haker za niewielkie pieniądze pisze taki programik. Instaluje na komputerze komornika za jego zgodą. Program działa w określonych godzinach. Komornikowi pobieranie danych idzie wolno więc kontaktjje się z 2 komornikiem. Na 2 komputery wykradanie danych idzie szybciej. Do procederu angażują następnego komornika, następnego i następnego. Więdzą, że ministerstwo tego nie sprawdzi.

  75. Za wszystkim stoi firma Komornik.IT jest marką Eccom Partners Sp. z o.o. Sp. k. ul. Nowogrodzka 31 00-511 Warszawa

    Programiści komornik IT stworzyli moduł, aplikacje która automatycznie wysyła zapytania do systemu źródło pesel – net. ta aplikacja potrafi bez problemu wysyłać 100% pozytywnych zapytań, czyli nie popełnia błędu w podawaniu peselu jak ma to miejsce.

    Firma komornik IT sprzedawała ta aplikacje wraz z innym modułami kancelarią komorniczym.
    Komornik IT instalował na dedykowanym komputerze do pesel netu swoja aplikacje wraz z baza danych sql. Aplikacja u komorników potrafiła działać nawet 48 godzin nom stop.

    Problem z rodził się z tego powodu żę komornik IT nie wystąpił do pesel netu o udzielenie autoryzacji jej aplikacji i dopuszczenie jej do użycia w wydawaniu zapytać do źródła.

    Winna leży też po stronie samych kancelarii komorniczych którzy nie zgłosili do peselentu ze zamierzają użyć aplikacji która ma zautomatyzować proces wysyłanie zapytań i zastąpił w tym wypadku człowieka który reczanie z poziomu przeglądarki www wpisywał pesele i szukał informacji o dłużnikach.

  76. “jeden z komorników pobrał od marca 2015 r. dane 802.759 osób”
    802.749/543 dni (do dziś) = 1478 pobranych danych dziennie !!!!!!

    Skoro nagradzacie COI za odkrycie tego po ponad roku !! to i innym się należy :)
    Brawo dla projektanta tego czegoś za nieograniczoną ilość zapytań dziennie i tego co odebrał to coś i zatwierdził do użytkowania ! Ciekawe czy w ogóle przeprowadzano jakieś testy tego czegoś ?
    Brawo dla pana/pani ADO, ABI i ASI z tegoż urzędu !!! (robicie co roczny raport dla GIODO?)

    ps1.Ochrona danych osobowych w Polsce to fikcja.
    ps2. Handelek zarejestrowanymi prepaidami kwitnie.

  77. Tylko czekać na windykację, jak się pojawią informację o wszczętej, iść do najbliższej kancelarii komorniczej i przy pomocy noża kuchennego wyrwać chwasta.

  78. Jakiej wysokości będę wypłacane odszkodowania? I kto je będzie wypłacał?

  79. Po co komuś takie dane?
    Przecież mając takie dane można w zasadzie w 100% podszyć się pod tą osobę.
    Mamy wszystkie dane, żeby zrobić fałszywy dowód. Mamy wszystkie dane, żeby się autoryzować w bankach przez infolinię (oj, zapomnieliśmy hasła/loginu i chcemy je odzyskać – część banków nie ma pytania pomocniczego, tylko odpytuje z danych osobowych swoich i ewentualnie rodziców.
    Można mając takie dane wziąć coś na kredyt w sklepie – system obsługujący raty wszystko łyknie, bo dane na dokumencie będą się zgadzały w 100% – nawet adresy zamieszkania można w sklepie podać.
    Pole do oszustw jest potężne.

    • Baza PESEL zawiera dane osób zmarłych. Z danymi tych osób można zrobić większy “użytek” niż z danymi osób żyjących. Puść wodze wyobraźni. Komornicy współpracują z notariuszami, sędziami, adwokatami, prokuratorami, urzędnikami, bankowcami itd.

    • Cytując klasyka: Ja tu widzę niezły burdel!

  80. Hm, po #4 aktualizacji, nie mam już żadnych wątpliwości – profesjonalizm pęłną gębą.

    Z cytatu zwykłego pracownika ZUS :
    “To tyle jeżeli chodzi o bezpieczeństwo danych i bajki o osobnych kompuetarch do tego celu.”

    To śmiać się, czy plakać już ? Jak mawiają u ruskich : i straszno i śmiszno.

  81. Wychodzi na to, że nie tylko ze względów na niższe podatki warto przenieść się do innego kraju, niedługo strach będzie wysyłać sprawozdania do US, bo jeszcze wyciekną i konkurencja zrobi z tego użytek…

    • No właśnie! Jednolity plik kontrolny, centralny rejestr faktur i dane on-line z kas fiskalnych! :)

  82. Czyli dziś samo obywatelstwo w tym kraju może Cię załatwić na szaro.

  83. “Mam PESEL — co robić, jak żyć?”
    Zawsze można zmienić płeć :>

    • Taa, Kopernik też była kobietą. Będzie państwo samych żeńskich lub samych męskich obywateli…. No może i tak trzeba.

  84. Z tego co wiem COI kupił ostatnim czasem sporo sprzętu obliczeniowego i bezpieczeństwa i pewnie stąd dopiero teraz udało się im wykryć co kolwiek ;)

  85. A co będzie po 8 września, jak komornicy uzyskają mozliwośc elektronicznego blokowania kont ?

  86. Prokurstura Okręgowa powiedziała: “Śledztwo zostało wszczęte z zawiadomienia Ministerstwa Cyfryzacji, które ujawniło, że ustaleni komornicy pobierali od kilkudziesięciu do kilkuset tysięcy rekordów z bazy PESEL miesięcznie. ” Oznacza to, że komornicy są w posiadaniu prawie wszystkich lub wszystkich rekordów z bazy danych PESEL.

  87. A na allegro handel kwitnie:
    http://allegro.pl/listing/listing.php?order=d&string=sim+zarejestrowana&bmatch=base-relevance-w2-uni-1-1-0812

    przypadek…? nie sądzę!

  88. A gdyby dostęp do tak wrażliwego rejestru jak PESEL był nie za pomocą komputerów ale dedykowanych sprzętowych terminali? Oczywiście jego konstrukcja musiałaby być idiotoodporna. Terminal nie posiadałby gniazd dla zewnętrznych urządzeń i nośników danych. Komunikacja byłaby zawsze szyfrowana, zawsze z tym samym serwerem i wg ustalonych wcześniej parametrów aby użyszkodnik nie mógł nic majstrować. Przykładowo, w razie wykrycia najmniejszej niezgodności certyfikatów wywala BŁĄD i koniec a nie pyta czy “dodać wyjątek bezpieczeństwa”!

    • Komornicy chyba by tego nie pokochali, jakby mieli robic zamiast copy&paste, przepisywanie z ekranu :)

    • Trudno! Kto powiedział, że praca komornika lekką ma być?

    • Właśnie tak, obok zabezpieczenia informatycznego byłoby też zabezpieczenie fizyczne – ograniczenie szybkości pozyskiwania danych. Zapytanie trzeba wpisywać ręcznie z klawiatury terminala (odpada brute-force z generatora numerów PESEL) a odpowiedzi z rejestru trzeba przepisywać lub fotografować.

    • bezpieczeństwo != wygoda

  89. To jest fajne .Nasze Godło.

    https://obywatel.gov.pl/E-uslugi-theme/img/svgs/bg-godlo.svg

  90. Podejrzewam, że znajdzie się w polsce kilku pomysłowych i dorzuci do wydzielonych stacji drugą kartę sieciową, żeby pani krysia miała ułatwione życie ;)

    • Pani Krysia przyniesie sobie z domu modem LTE i sama podłączy. :)

  91. to może trochę matematyki …
    od marca do komunikatu minęło 545 dni

    zadano w tym czasie 1792951 zapytań czyli …:

    około 3290 zapytań codziennie ! lub 4606 zapytań dziennie bez weekendów !
    to daje odpowiednio od 137(codziennie 24h/7 dnie w tygodniu) do około 460 (10 h dziennie 5 dni w tygodniu) zapytań na godzinę !!!
    czyli jedno zapytanie co odpowiednio 26 do 8 sekund !!!!!

    • Czyli krótko mówiąc – dane wrażliwe, przestały być wrażliwe.

      Teraz poobserwujemy sobie, jak służby, głupole politycy i reszta, będzie zamiatać pod dywan, a szary człowieczek w PL, zostanie z problemem na głowie, jak się dowie, że np. nie ma zdolności kredytowej :), Bo nawet nie będzie wiedział, że ma na “swoje” dane kilka chwilówek lub innych bankowych “produktów” na głowie.

      Śmiesznie tylko wygląda ta cała paplanina o technicznych rozwiązaniach IT. Można poczytać, dowiedzieć się czegoś “nowego”. I chyba tylko tyle, bo życie leci, przepisy są, teorie się zmieniają, a specjaliści od – czegokolwiek, wiedzą swoje.

      Ochrona danych osobowych w PL ma jeszcze jakikolwiek sens ?

    • Dokładnie o tym samym od razu pomyślałem. Gdyby nawet te ok. 2,000,000 zapytań (z jednej kancerii!) o dane odbywało się w sposób ciągły to mamy 3 zaptania co minutę z tego samego adresu – tak sobie wyobrażami, w końcu tych odpytujących nalaży jakoś identyfikować. Ale podobno ruch głównie odbywał się nocami, więc ta ilość zapytań była pewnie lokalnie wielokrotnie większa. To jak była wtedy robiona autoryzacja? Pewnie przez aplikację z zawirusowanego Widnowsa i winnegonie ma.

      Ja jestem ciekawy, gdzie byli administratorzy tej bazy danych i serwerów – i czy kiedykowiek analizowali lub chociaż czytali logi. Co robi normalny i w miarę odpowiedzialny administrator sieci/serwera po przyjściu rano do roboty? Analizuje logi, i to kilka razy dziennie, a są przecież automaty do analizy statystycznej, przy takim ruchu, to można się zorientować co jakiś czas po prostu przeglądając dzienniki! I o czym my tu mówimy?! O centralnej bazie danych z tak wrażliwymu informacjami. Okazuje się, że pomimo GIODO< przepisów prawnych, zagrożenia sprawamu karnymiu nikt tak naprawdę się nie interesował serwerami i ruchem na nich, bo to jest po prostu niemożliwe, żeby w świadomy sposób przeoczyyć taki przektęt.

      Sienkiewicz (Bartłomiej) miał rację, w końcu było najlepiej poinformowany, to państwo istnieje tylko teoretycznie.

      Co teraz może zrobić tzw. szay obywatel? Nic. Bo to państwo powinno teraz wprowadzić adekwatne kroki prawne, które szarego obywatela uchronią od złodziei chociaż częściowo. Sejm ma taką praktyczną sprawność, jest w stanie przepchnąć każdą ustawę, włączając takie o charakterze zmieniająm ustrój, w kilka dni, pracując np. do 4 rano. Ale założę się, że w tej sprawie nikt z rządzących nie kiwnie palcem.

  92. Żeby jeszcze dołożyć do tego całego bałaganu coś ze swojej strony to opiszę wam skalę dostępu do danych z PESEL w samych urzędach miast i gmin, reszty nie znam to się nie wypowiadam. U nas dostęp do systemu ma kilku urzędników a gmin mamy niecałe 2500. Średnio w urzędzie dostęp do PESEL ma kilku do kilkunastu urzędników. Jest to pełny dostęp (pełna modyfikacja) ale nawet nie myślę teraz o możliwościach modyfikacji (strach nawet myśleć). Skupię się na pozyskaniu danych… Każdy z nich może przeglądać pełne dane wszystkich Polaków i teraz najlepsze: bez podawania żadnego powodu, czy też sygnatury akt itp. Dowolną ilość i dowolną ilość razy. Czyli mamy jakieś 25000 miejsc w urzędach skąd potencjalnie bez podania powodu można zabrać wszystkie nasze dane. Nie potrzebujemy tego Pesla, wystarczy tylko część innych danych Polaka, np. Imię, nazwisko, miejscowość i ulica… Nie trzeba brać pod uwagę drugiej karty sieciowej, błędu softu, włamań… Wystarczy czynnik ludzki!!! Skala jest niesamowita, poziom świadomości urzędnika średni a pokusa dla niektórych? Poczekamy zobaczymy. Jeżeli dołożymy do tego Informację o tym że dostęp pesla mają jeszcze m.in. starostwa, cała państwówka i Ministerstwa w różnych celach, sądy, komornicy, wszystkie służby mundurowe, kolej itd … No to sami sobie odpowiecie . pozdrawiam

    • Od tego jest audyt i konsekwencje nieuprawnionego działania, żeby urzędnik był świadomy.

  93. Pracownicy zauważyli duży ruch… Znaczy systemy systematycznie nie mogły od tygodnia udźwignąć tylu zapytań? Bo gdyby systemy nie padły nikt by się tym nie zajął… A może po prostu chcieli wyeliminować konkurencję to znaleźli byle jaki pretekst…

  94. Nie trudno sobie wyobrazić jak niepoprawna konfiguracja sieci (patrząc na skan pdf’a z początku artykułu) mogła doprowadzić do dostępu z wewnątrz sieci (przejęty komputer, serwer) albo z zewnątrz przez urządzenia sieciowe.

    Urzędas pisze, że “Każdy z nich (urzedników z dostępem) może przeglądać…” bez ograniczeń – trudno żeby się tłumaczyć z każdego zapytania w każdym urzędzie (choć powinno być to też monitorowane) ale 1400 dziennie z jednego źródła musi wywołać blokadę i telefon z Warszawy z pytaniami tego samego dnia a nie po roku…

    W Polsce (a może nie tylko w Polsce) problemem jest to, że urzędnicy nie biorą odpowiedzialności za swoje decyzje czy zaniechania. Dodatkowo jest też problem, z postrzeganiem ludzi, którzy się pomylili (i by się przyznali) – nikt nie chce być opluty więc rozmywają odpowiedzialność, zamiatają a tu trzeba wnioski wyciągać.
    (Nie sądzę żeby jakakolwiek prywatna firma pozwoliła sobie na brak lub błędny monitoring tak ważnego systemu). Pozdrawiam

  95. Witam,
    w telewizji właśnie mówili, że można się “zabezpieczyć” wysyłac pismo do prokuratury, ktoś wie jak powinno coś takiego wyglądać?

  96. na dole strony brakuje <?php ;)

    Wszelkie prawa zastrzeżone © 2009- echo date("Y");

    • witamy nowego czytelnika :)

  97. Najlepszy komentarz w tej sprawie:
    “Chyba że komornikom mniej ufają niż nam pracownikom zusu.”

  98. Znalezione w Internecie:
    […]informacja podana w TVN jest z punktu widzenia standardów dziennikarskich skonstruowana fatalnie. Ktoś zapyta o czym ja gadam, o jakich standardach? Przecież wiemy, że od dawna nie ma żadnych standardów dziennikarskich. Jak to o jakich? Żeby była informacja w mediach muszą coś powiedzieć przynajmniej dwie osoby. Tutaj zaś mamy jakiś bełkot płynący z nie wiadomo czyich ust i tego Kittela, który nas straszy. Gdzie jest wypowiedź rzecznika ministerstwa cyfryzacji albo rzecznika prokuratury okręgowej? Nie widzę. Dlaczego tego nie ma. Bez spełnienia tego, podstawowego warunku, cały ten news jest tylko i wyłącznie elementem jakiegoś lobbingu, afera zaś jeśli rzeczywiście istnieje, jest po prostu próbą zmuszenia urzędów do zakupienia czegoś nowego, rewelacyjnego i świetnie działającego. Jeśli zaś urzędy tego nie zrobią, posługując się przy tym jeszcze owym zespołem ekspertów, czyli zgrają pośredników dobrze przebranych i wyselekcjonowanych, wtedy może się coś „zadziać”. No i dopiero będzie. Wtedy nie tylko TVN, ale i gazownia i cała reszta napiszą, że rząd PiS wystawił Polaków na żer bankom, bo nie zapewnił bezpieczeństwa danym wrażliwym. Możliwe też, że w związku z kredytami we frankach banki wysłały po prostu Kittela do mediów, żeby ten ogłosił narodowi, co się może stać, jeśli rząd będzie się za bardzo szarogęsił w sprawie tych frankowych pożyczek.

  99. Mnie zastanawia czy jeżeli ktoś wykorzystał te dane do złych celów czy podpis osoby pokrzywdzonej nie jest wtedy największa obroną ?? bo chyba w bazie pesel nie mają skanów podpisów ?

    • prawdopodobnie będzie to jeden z dowodów na korzyść, problem jest w tym, ze prawo mamy tak skonstruowane, ze to osoba poszkodowana będzie musiała udowadniać niewinność i wszystko odkręcać: banki,komornicy. Do niedawna istniała możliwość ‘klonowania’ kont bankowych poprzez przelewanie drobnej kwoty, prasa podawała historie pewnego człowieka na którego non stop brano kredyty. Co udało mu się zamknąć jedną sprawę, komornik przychodził z kolejną.

  100. @arkadiusz, zaloguj się do podanej w artykule bazy, zobaczysz :D całe [nie]szczęście w bankach mają oddzielne wzory podpisu

  101. Raf 2016.08.29 10:55

    Mają wzorce podpisów z dowodu osobistego (nie mają ze starych – książeczkowych).
    Załóż konto na epuap i sprawdź co o tobie siedzi w bazie pesel, to się zdziwisz ;)

    rotfl 2016.08.29 04:11

    @arkadiusz, zaloguj się do podanej w artykule bazy, zobaczysz :D całe [nie]szczęście w bankach mają oddzielne wzory podpisu
    Roj 2016.08.29 09:48

    Kolega kupił zarejestrowaną karetę sim i zobaczył na kogo jest…
    Na moja koleżankę z podstawówki!!
    Chyba wymienię dowód osobisty…

    Proponuje pospolite ruszenie…. Wymieniamy dokumenty!

    Meg 2016.08.29 09:59

    Teraz wszyscy ruszyli na BIK. Ale no cóż, Polska. Jest problem z dostępem.

    Proces weryfikacji tożsamości został wstrzymany
    Zgodnie z Regulaminem Portalu BIK, w trakcie niedostępności systemu centralnego BIK, proces nie może być kontynuowany. Dalsze czynności związane z procesem będzie można wykonać po przejściu systemu centralnego BIK w tryb dostępności.
    slowik 2016.08.29 10:22

    patrząc na najnowszą aktualizację to osłowie niezłego bubla wypuścili i jak będzie vacato legis ustawy to się spore szambo wyleje …

    Dustie 2016.08.29 10:27

    “I nikt nie sprawdza i nie weryfikuje czy należność nie jest przeterminowana, jak są naliczane odsetki, opłaty, itp. Pieniążki znikają z rachunku.”

    Pozostaje nam obywatelom życzyć wam komornikom aby ktoś się wam do dup dobrał, bo widać za dobrze wam się powodzi. Bez sprawdzania, bez weryfikowania… bez odpowiedzialności, lekką ręką i jeszcze z uśmiechem na ustach i potem z bajkami opowiadanymi do kamer telewizji, że wszystko było w porządku. Krew człowieka zalewa.

    R_B 2016.08.29 14:35

    Bo komornik nie jest od badania podstawy zadłużenia. To jest organ tylko i wyłącznie egzekucyjny.

    QkiZ 2016.08.29 10:40

    Podziękujcie pisowi. Zamiast ograniczyć uprawnienia komorników, którzy teraz robią co chcą, są ponad policjantem, to dali im jeszcze większe uprawnienia. Czekam teraz jeszcze na opcję “nie chcesz płacić podatków na 500 zł na dziecko, ciach, nie masz pensji w tym miesiącu”.

    R_B 2016.08.29 14:34

    Ciężko żeby niewykształcony policjant miał większe uprawnienia w zakresie egzekucji aniżeli komornik.

    Jacek 2016.08.29 10:41

    Korzystanie z bazy PESEL powinno odbywać się za pośrednictwem karty z certyfikatem/PINem.
    Każde zapytanie do bazy – włożona karta i podanie PINu.
    Raf 2016.08.29 10:53

    Aktualizacja 29.08.2016, 9:30 – nie sądzę, by osoba “blisko komorników” myliła dłużników z wierzycielami …

    R_B 2016.08.29 14:39

    Przecież to jest w ogóle stek bzdur. Chociażby fragment;
    “Kancelaria komornicza bierze dane milionów spraw z firmy inkaso – nawet z przed 20 lat”

    Kancelaria nie bierze DANYCH, a dostaje od wierzyciela wnioski egzekucyjne do których są dołączone tytuły wykonawcze, a więc wyroki sądowe i nakazy.
    Nic również w tym dziwnego, że sprawy mogą być 20 letnie. Takie zobowiązania mogą się nigdy nie przedawnić, a i za 30 lat będzie można ich dochodzić- np. od spadkobierców.

    pepe72 2016.08.29 16:19

    @R_B w Polsce przedawnienie jest max po 10 latach więc branie spraw starszych jest łamaniem prawa przez windykatora. Na tym się e-sąd w Lublinie wyłożył. Tu masz trochę teorii: http://www.forbes.pl/przedawnienie-dlugow-kiedy-juz-nie-musimy-splacac-zobowiazan,artykuly,174501,1,1.html

    R_B 2016.08.29 19:54

    @pepe72 Najpierw poczytaj sobie o przerwaniu biegu przedawnienia, a potem wypowiadaj się na tematy o których nie masz pojęcia. Wierzytelności stwierdzone tytułami wykonawczymi nie przedawnią się nigdy jeżeli wierzyciel będzie przerywał bieg przedawnienia.

    Poza tym nie jest żadnym “łamaniem prawa” dochodzenie długów przedawnionych- kolejna bzdura. No i mylisz komornika z windykatorem…

    BartOwl 2016.08.29 12:13

    Heh – jeśli to wszystko leci tak z automatu, to tylko patrzeć jak jeden komornik zlicytuje drugiego… A w tym środowisku to poważna sprawa raczej… :) Skrypty nie wybaczają…
    Marcin Maziarz 2016.08.29 13:51

    Jak egzekucja źle idzie to z pomocą przychodzi “trałowanie dłużników”! :)
    jw 2016.08.29 14:51

    To teraz kioskarze i sklepikarze rejestrujący karty SIM będą mieli spore obroty.

    R_B 2016.08.29 15:44

    Kioskarze i sklepikarze nie rejestrują kart sim.

    jw 2016.08.29 14:57

    Wydaje mi się że dane osobowe są nie do ochronienia.
    Dla tego powinien istnieć przepis że na sprzedawcy, pożyczkodawcy, kredytodawcy(i.t.p. roszczący sobie prawa do spłaty, zapłaty) spoczywa obowiązek jednoznacznego udowodnienia że umowę zwarł faktycznie z osobą której dane znalazły się na niej.

    R_B 2016.08.29 15:45

    A niby jak byś coś takiego udowodnił?

    Juri 2016.08.29 16:57

    W USA nawet nie są chronione, to wynalazek w UE, ale nie do ochrony obywateli tylko władz przed nimi.

    aaron 2016.08.29 15:35

    Nadeszła “dobra zmiana”, czy wiąże się ze zmianą numerów PESEL?

    Pio 2016.08.29 15:40

    No to będzie wielu zdziwionych we wrześniu: http://poradnikwierzyciela.pl/-elektroniczne-zajecie-rachunku-bankowego-przez-komornika

    luk 2016.08.29 17:12

    Strona BIK niedostepna, jesli wogole uda sie dodzwonic na infolinie, to automat informuje iz czas oczekiwania 1,5h.
    Informacja na stronach BIKu ze mozna konto zalozyc w kazdej placowce pocztowej lub banku pocztowego jest nieprawdziwa (https://www.bik.pl/bik-na-poczcie), próbowałem w dwóch różnych i na ‘poczcie głównej’, Świętokrzyska,Wawa, w banku pocztowym, odmówiono mi.

    Czyzby kolejna instytucja (b/p)ioraca miliony zlotych a nie potrafiąca sprostac w sytuacjach kryzysowych?

    hmmm 2016.08.29 17:37

    zaujwazyliscie, ze krd, gdzie mozna za free sprawdzac zapytania o swoje dane, ma siedzibe w tym samym budynki co kaczmarski inkasso, wiec pewnie nalezy do tej samej firmy? Gosciu mial dobry pomysl, ludzie sami mu podaja na tacy swoje dane osobowe

    Radek 2016.08.29 19:51

    Gratulacje! Właśnie odkryłeś “biurowiec”. W ramach pracy domowej sprawdź ile dużych firm (a niech będzie, że tylko korporacje) ma biura we własnych budynkach.

    Olo 2016.08.29 20:04

    Hm, ale KRD to spółka akcyjna a nie urząd i należy do … Kaczmarskich. To jawne. Zmyliła Cię nazwa? Pewnie o to im chodziło

    noname 2016.08.29 18:15

    a tak przy okazji ;)
    po co komornikom dostęp do systemu PESEL ? czy nie jest tak że zlecając komornikowi windykację itp podajesz kogo ma windykować, podpierając się nakazem sądowym, wyrokiem itp itd, gdzie dane dłużnika są podane włączenie z PESELem.

    No chyba nie dożyliśmy czasów że komornicy windykują na podstawie okazanej faktury ?

    Cały ten system jest źle zaprojektowany skoro komornicy mogą sięgać po dane osób które nie mają grosza zadłużenia gdziekolwiek !!!! System powinien być powiązany z takimi rejestrami jak BIK czy BIG. PESEL powinien sprawdzać: jeśli gość jest wpisany w BIK lub BIG wtedy jego dane są dostępne dla komorników, w przeciwnym wypadku komornik powinien na ekranie zobaczyć wielkiego środkowego “palca” !!!

    R_B 2016.08.29 20:02

    Chociażby żeby sprawdzić gdzie delikwent jest zameldowany i czy w ogóle żyje…

    Nikt Ważny 2016.08.29 18:21

    Skoro weekend już minął i być może wróciło trochę zdrowego rozsądku, proponuję zapoznać się z tym oświadczeniem:

    http://www.komornik.pl/?p=7848

    i przeczytać je ze zrozumieniem.

    Oryl 2016.08.29 19:18

    Ten “rutynowy bełkot” korporacji nic nie wnosi i nic nie wyjaśnia w tej konkretnej sprawie!
    Wiec czytanie ze zrozumieniem do ta kich wniosków tylko może doprowadzić!
    R_B 2016.08.29 20:05

    @Oryl No właśnie wszystko wyjaśnia w tej sprawie… Pobierano dane do prowadzonych postępowań. Dzisiaj min Streżyńska potwierdziła, że zawiadomienie złożyli w zasadzie prewencyjnie bo nie wiedzieli, że komornicy pobierają taka ilość danych i to w nocy… Kolejna afera wynikająca z kompletnej nieznajomości specyfiki pracy komornika- tak przez polityków, urzędników w ministerstwach, jak i dziennikarzy.


    Nikt Ważny 2016.08.29 20:10

    To może oświadczenie Minsiterstwa?

    http://wiadomosci.onet.pl/kraj/ministerstwo-cyfryzacji-dostep-do-bazy-pesel-maja-tylko-uprawnione-podmioty/1p4fck

    No chyba że już wiadomo że dane wykradziono oraz, jak wczoraj pisano, że wykradziono dane połowy polaków. 1.4 mln x 2 = 2.8 mln. Nie wiedziałem że tyle aż nas jest, no ale jestem słaby z matmy to nie ma się co dziwić.

    Marcus 2016.08.29 20:16

    Po analizie logów? Za taką ilość powinni mocno beknąć. Czy w COI wiedzą co to jest WAF?

    obywatel 2016.08.29 20:20

    I znów teoretyczne państwo udowodniło że wszystko CHDIKK. Nie ma szansy na budowanie jakichś obywatelskich postaw bo obywatel nie może mieć żadnego zaufania do państwa. ŻADNEGO.
    Marcin Maziarz 2016.08.29 20:24

    Na stronie Ministerstwa Cyfryzacji można przeczytać: “Dostęp do bazy PESEL odbywa się za pomocą łączy dedykowanych, zaś ona sama NIE JEST PODŁĄCZONA do sieci internet”. Jak w takim razie działa usługa sprawdzania własnych danych poprzez ePUAP? Mi nikt do domu nie doprowadzał żadnych specjalnych łączy! :)

    Nikt Ważny 2016.08.29 20:42

    Ty wpisujesz w epuap, Panu Urzędnikowi (na dyżurze) się wyświetla, przepisuje co wpisałeś do drugiego komputera obok, tam mu się wyświetla, przepisuje co mu się wyświetliło do internetu, tobie się wyświetla.

    Nie, no żartowałem.

    Albo w sumie to sam nie wiem.

    krecik_77 2016.08.29 21:34

    A gdzie dokładnie w epuap można to sprawdzić, bo kompletnie nie potrafię znaleźć tej “sprawy” ?
    drut5 2016.08.29 21:46

    ostatnie 8 lat razem wziętych mogę powiedzieć że złote zegarki Nowaka na kontrakatach autostradowych, Sowa i Przyjaciele.A dane już na FB sprzedaje czyli FBI na NK.pl Niemcom ;) Dzwonią z jakimiś ofertami nie wiadomo skąd,znając mój numer już nie mówiąc o tzw”prezentacjach”.

  102. W takiej sytuacji jak ta należy zgłosić się do odpowiedniej Prokuratury z wnioskiem o uznanie za pokrzywdzonego. Na prawdę warto to zrobić, bo jak np. ktoś weźmie na twoje dane za pół roku pożyczkę, to nie będziesz musiał się tłumaczyć że może ktoś wykradł twoje dane tylko będziesz miał oficjalne pismo z prokuratury z potwierdzeniem.

    Można to zrobić emailem bo jest najtaniej i najprościej, wysyłając zgłoszenie według wzoru na adres e-mail: sekretariat@warszawa.po.gov.pl

    Wzór zgłoszenia:

    — cut here — cut here — cut here — cut here — cut here —

    Jan Kowalski
    ul. Zielona 1/1
    00-000 Warszawa

    Do: Prokurator Okręgowy w Warszawie

    Na podstawie art. 49 kpk wnoszę o uznanie mnie za pokrzywdzonego w prowadzonej przez Państwa sprawie tzw. wycieku danych z bazy PESEL.

    W związku z możliwym udostępnieniem danych znajdujących się w bazie PESEL, w tym także moich danych, moje dobro prawne zostało bezpośrednio zagrożone przez wskazany czyn. W związku z powyższym niniejszy wniosek jest uzasadniony.

    Jan Kowalski

    — cut here — cut here — cut here — cut here — cut here —

    Dzięki wysłaniu takiego zgłoszenia będziemy informowani co się dzieje w sprawie (ale już zwykłą pocztą poleconą) oraz nabędziemy cały szereg uprawnień które nam mogą się potem *BARDZO* przydać.

    Na prawdę warto, to nic nie kosztuje a wiele daje.

    • Może Niebezpieczik pociągnąłby dalej ten temat tj. obrony prawnej obywateli. Czy taka propozycja jak w poście powyżej ma sens? Może coś innego?

  103. Ja chciałbym się podzielić z wami swoimi spostrzeżeń w związku z informacją że o żadnym wycieku nie ma mowy.
    Po pierwsze:
    Kancelarie w nocy nie pracują więc musiał to robić ktoś po godzinach lub automat. Jeżeli po godzinach ktoś ściągał to mógł na dysku wynieść dane sprzedać. Jeżeli to był automat to rodzą się kolejne pytania. A najważniejsze Po co automatem i jak autoryzował wejście do bazy. Po drugie mówią że te komputery nie mają dostępu do globalnej sieci. Ok jest to jak najbardziej do zrobienia ale: jaki problem wziąść wpiąć na usb modem z mobilnym internetem i cyk Tada mamy dostęp zdalny do kompa. Po Trzecie ja bym jednak pokusił sie o stwierdzenie iż te dane wyciekły lub bedą powoli wyciekać wiec moja rada taka bądźcie czujni.

  104. W natłoku informacji i pytań umykają rzeczy istotne:
    1. Źródło – dostęp do Źródła realizowany jest na wydzielonym łączu (ok) i zwykorzystaniem dedykowanego komputera, który nie może mieć dostępu do internetu… Wiemy jak wygląda urzędnicza rzeczywistośc, praktyka jest taka, że urzędnik ma dospozycji dwa kabelki koło biurka i wpina wg potrzeb. TADAM! Cała idea “odseparowej” sieci idzie się paść.
    Krótko mówiąc Państwa nie stać na zapewnienie dostępu poprzez terminale (DLACZEGO!? Dlaczego nie pomyślano o terminalach? Zamiast prostych i bezpiecznych terminali mamy megarozpasioną i g* wartą ideę, naiwnie zakładającą, że użytkownik końcowy dostosuje sie do restrykcyjnych procedur), stać to Państwo natomiast na szafowanie danymi swoich obywateli. Czysty Bantustan…

  105. Jak dowiedzieć się, czy na moje dane jest zarejestrowana karta SIM?

  106. Po aktualizacji #7 przejrzałem zalinkowaną stronę – a tam ciekawostka ;)

    https://mc.gov.pl/e-uslugi/rozliczanie-podatkow-i-obsluga-celna

    MC prosi obywateli o informacje, co już zostało zinformatyzowane w kraju ;D

  107. Ale jakiś czas temu pewien biznesmen – zwany najbogatszym komorniki w Polsce zwietrzył miliardowy interes… Co do tego było potrzebne? Wspomniany już system Pesel, oraz dwa narzędzia, które komornikom spadły z nieba. Pierwszy to “Centralna informacja o rachunkach” (nowelizacja prawa bankowego z 1 lipca 2016). Dzięki niej – jedno zapytanie do bazy i mamy kompletną listę rachunków bankowych dłużnika – obojętnie w jakim banku, skoku, czy banku spółdzielczym – nic się nie ukryje, w systemie są wszystkie dane. Drugie – elektroniczne zajęcie rachunku, które ruszy jesienią. A potem już eldorado…

    ciekawe że prokuratura się tym nie zainteresowała, ale przecież komornicy wszystko mogą … Polska ;/

  108. “jest bardzo mało prawdopodobne, aby ktoś wziął na kogoś kredyt na podstawie tak pozyskanych danych z rejestru PESEL”
    http://www.wykop.pl/link/3190561/
    http://www.wykop.pl/link/3082977/
    http://www.wykop.pl/link/3166637/

    • ad 1.
      alior nie udzielil informacji jak weryfikował dane. material mowi, ze 6 razy probowano brac kredyt, a 2 razy sie udalo. Znow niedopatrzenie banku?

      ad 2.
      lewa pozyczka potwierdzona przelewem 1 groszowym z banku. Materiał nie wyjaśnia jak w każdym z banków były zakładane konta, ani nie precyzuje który bank dopuścił się niedopatrzenia, że nie zweryfikował dowodu. Obstawiałbym błąd pracownika banku.

      ad 3.
      To instagram (ze zdjęciami dowodów), a nie rejestr Pesel, który ich nie ma. Oddalam to pytanie ;)
      A lepszy artykuł na temat patoli z Insta masz tu: https://niebezpiecznik.pl/post/instagram-pelen-zdjec-dowodow-praw-jazdy-i-kart-platniczych-polakow/

      I to prawda, ze takie przypadki beda (ktoś z pracowników ma “target” do wyrobienia, więc przymknie oko na nieprawidłowości) – ale to sa incydentalne a nie masowe przypadki. Myslisz, ze komornicy wlasnie w tym celu pobierali dane “milionow Polakow”?

    • Tylko chciałem pokazać ze gdyby faktycznie ktoś pozyskał dane z rejestru pesel, to mógłby na nie np. uzyskać pożyczkę. O wyłudzeniach na skradziony czy zgubiony dowód co jakiś czas jest w gazecie czy w TV. Mało prawdopodobne żeby wieczorami komornik pod swoim nazwiskiem odpytywał bazę rejestru.

  109. Co do rady “nie wpisujcie PESELu na innych stronach: biblioteka UŚ; wszystkie portale informacyjne Sądów jako login maja PESEL.

  110. “na żadnych innych stronach NIGDY nie wprowadzajcie swojego numeru PESEL.”
    Niestety, aby zalogować się na konto Biura Informacji Kredytowych trzeba podać PESEL, jako drugi etap logowania po podaniu loginu i hasła…

    • Biuro Informacji Kredytowej to prywatna firma.

      Nawet nie patrzycie co klikacie.

  111. Zwrot dziennikarz śledczy brzmi tak samo dobrze jak białoruski wahadłowiec i ma pojecie o bezpieczeństwie takie samo jak białoruski wahadłowiec o lataniu.

  112. Niestety ale z niewiadomych przyczyn aktualizacje w tym artykule się raz to pojawiają raz z nikają, a moje 2 komentarze jakoś nie chcą się pojawić…. :/ anyway – można co najmniej na kilka znanych mi sposobów wzbogacić się będąc w posiadaniu danych z tej bazy, ale nie chce mi się tego po raz kolejny pisać, skoro komentarze lecą w dev > nul…

  113. Chyba jeden ze słabszych artykułów na Niebezpieczniku.
    Wychodzi, że nikt nie wie jak działa kancelaria komornicza, do czego może służyć PESEL…
    Co do pożyczek, widzę, że np. do wzięcia pożyczki w Wonga nie potrzeba skanu dowodu a jedynie jego numer plus dane osobowe z dowodu. Czyli rzeczy, które są w systemie o którym jest cały czas mowa.

    • Ok, to spróbuj wziąć tę pożyczkę na swoje dane i daj znać, na którym kroku się zatrzymasz, bo wymagana będzie informacja, której nie ma w bazie PESEL.

    • Wszedłem na wniosek. Nie zauważyłem informacji, której nie było by w systemie PESEL.

    • Idź dalej, a zobaczysz :)

    • Nope, nothing.

    • a potwierdziłeś już własność rachunku bankowego na który spłynie pozyczka?

  114. to co piszecie, że “Uspokajamy: jest bardzo mało prawdopodobne, aby ktoś wziął na kogoś kredyt na podstawie tak pozyskanych danych z rejestru PESEL. Serio. W znakomitej większości firm pożyczkowych potrzebny jest do wzięcia kredutu skan dokumentu (tego nie ma w rejestrze PESEL) ” to troszkę nie prawda, bo grupa przestępcza ma dostęp aby podrobić dokument dowodu osobistego, a dzięki takim danych jakie są w Bazie PESEL to 99% procentach mają sukces, a co do “posiadanie rachunku bankowego na dane pożyczkobiorcy” to dzięki podrobionego dowodu, wcześnie zakładają konta bankowe… więc jak pisałem, nie jest to troszkę nie do końca prawda co napisaliście

    • Dlatego tam stoi bardzo mało prawdopodobne, a nie niemożliwe. Bardzo mało prawdopodobne, z powodu, który jest dalej w cytowanym przez Ciebie akapicie.

    • ze skanem dokumentu nalezy uważać
      ja poza zaufanymi polskimi bankami i rządowym instytucjom nie daję nikomu

  115. Tak BTW: nawet jeśli nie było faktycznie kradzieży, to taki szum dobrze zrobił: inne kancelarie komornicze zobaczą że może im wjechać ABW, więc bardziej do serca sobie wezmą zalecenia co do zabezpieczeń maszyny która łączy się z PESEL

    • Argumentacja na poziomie – jak policja będzie wjeżdżać o 6 rano do mieszkań losowych ludzi to inni zobaczą że ich też może to spotkać, nie będą trzymać trawy i nielegalnych windowsow w domu i będzie bezpieczniej.

      Srsly?

    • Popieram! Narkomanii i złodziejstwu mówimy stanowcze nie! Jak się hołota nie potrafi nauczyć, że skoro go nie stać na coś co konieczne do życia nie jest, kradzież rozwiązaniem nie jest, to niech ma.

  116. O jaki okres zadajecie zapytania do Ministerstwa Cyfryzacji?
    Zastanawiam się, czy (biorąc pod uwagę możliwość dwukrotnego w roku dokonania zapytania) nie zapytać o okres… sam nie wiem… od 18 roku życia do teraz?
    Niby spory okres, ale nie powinno im robić różnicy. A warto byłoby wiedzieć.

    • ja zapytałem o 17 lat:)

    • ja zapytałem o okres od moich narodzin – skoro nie ma nigdzie żadnych restrykcji to why not?

  117. “Dziwi tylko, że przez skoro wzmożona aktywność komorników trwała od marca zeszłego roku, to MC zareagowało dopiero teraz. Wcześniej nie patrzono na logi regularnie?”

    Zwyczajnie teraz ktoś na logi popatrzył inaczej :-). (Albo nowy gostek przyszedł do firmy i zapytał “ej a to tak jest ok ?”

    • Albo utworzyl sie pion bezpieczenstwa w COI i zaczal powaznie traktowac zgloszenia i analizy ktore byly robione przez caly czas.

  118. Hola, hola!

    Kancelaria ściąga milion rekordów dedykowanym komputerem. Czy później te dane są przetwarzane tylko i wyłącznie na dedykowanym komputerze? I tylko przez jedną osobę uprawnioną do ściągania danych z bazy?

    Czy może każdy z 10 pracowników kancelarii dostaje kopie danych na własny laptop i tam sobie przegląda?

    • Wynik jest drukowany i trzymany w takiej papierowej teczce zawiązywanej na dwa sznurowadła, nazywa się to akta sprawy.

      I od czasu wydrukowania do akt sprawy ma dostęp każdy kto zgodnie z prawem może mieć dostęp do akt sprawy, a ten kto nie może ten nie ma.

  119. @Nikt Ważny

    I nikt akt sprawy nie zanosi do domowej szafy, nawet Kiszczak!

  120. W artykule piszecie ,by nie podawać nigdzie PESELu. A logowanie do KRD jest poprzez PESEL właśnie… …

  121. Ogólnie to śmiechawa się z tego robi.
    Włamanie, którego nie było.
    Kradzież, która w sumie była spamem zapytań…
    Wnioski o bycie poszkodowanym, chociaż żadnej sprawy nie ma.

    Istna burza w szklance wody.

    Dobre w tym wszystkim jest to, że teraz w końcu każdy polski Seba z kancelarii 3 razy się zastanowi zanim zleci napisanie BOT-a do zapytań PESEL. ;-)

  122. Nie było wycieku…..A to to co to jest?! https://raw.githubusercontent.com/lodzwarszawa/pesel/master/PESEL.xz

  123. witam. pozwolicie ze wtrącę się do tematu.ponad 3 lata pracowałem na systemie OGNIVO w jednym z dużych Banków w obsłudze : Moduł zapytania o rachunki bankowe dłużników prowadzonym przez KIR.Zapytania na poziomie 30 – 40 tysięcy rekordów dziennie od komorników, ZUS i US razem wziętych nie było czym specjalnie dużym. Tyle że ten system jest autoryzowany przez KIR ( karta SIM z czytnikiem oraz kwalifikowany podpis elektroniczny w imieniu instytucji pytającej/odpowiadającej). Zapytania były pobierane rano danego dnia ( za dzień poprzedni) i jakoś nie miałem problemów z transmisją danych w plikach po kilkanaście MB. Dziwi fakt że w tej sprawie zapytania były w nocy oraz z wysyłane przy pomocy “jakiegoś programu automatu” który chyba nie jest autoryzowany przez KIR i czy PESEL-NET. Jednym zdaniem ktoś zwietrzył interes na tańszym dostępie od baz za pomocą automatów nie zawsze zgodnych z przepisami. Jak ktoś wie jak działa OGNIVO to też kuma że za dostęp i wydanie karty trzeba zapłacić obecnie 199 PLN netto / 244,77 zł brutto – patrz https://szafir.kir.com.pl/eshop-web/items.html?id=435 Nie wiem czy dalej się pobiera opłaty ale jakiś rok/dwa temu temu było tak że wg indywidualnych ustaleń za każde zapytanie o rachunki Komornik mógł zapłacić chyba około 1 PLN więc oficjalna ścieżką sporo by zabulił…

  124. Właśnie dostałem odpowiedź od MC z listą zapytań o mój PESEL. Wygląda na to, że moimi danymi w sierpniu 2012 interesował się Komornik Sądowy Środa Wielkopolska. Nigdy tam nie byłem, nikogo stamtąd nie znam, więc zgaduję że ciągnęli jak leci.

  125. Tez otrzymałem odpowiedz od MC. Moimi danymi interesowała sie jako nieuprwniona Poczta Polska Moze ktos pomoze co mam dalej robic ? Mi wiedzy brakuje

  126. […] całej sytuacji jak zwykle szybko i kompetentnie poinformował serwis Niebezpiecznik.pl. Tam też odsyłam po szczegółowe informacje. Ja skupię się na podsumowaniu znanych obecnie […]

Odpowiadasz na komentarz noname

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: