13:12
9/3/2013

Media rozpisują się o serwisie, który za opłatą udostępnia przeszukiwanie księg wieczystych. Już 3 dni temu nasz czytelnik zwrócił na to uwagę w komentarzu pod postem o włamaniu do KPRM.

Księgi wieczyste są publicznie dostępne od 2 lat…

Przykładowe dane z jednej z ksiąg wieczystych

Przykładowe dane z jednej z ksiąg wieczystych

Po pierwsze — dostęp do ksiąg wieczystych umożliwia za darmo strona rządowa ekw.ms.gov.pl. Na problem tego typu publicznego dostępu do wszystkich ksiąg wieczystych zwracaliśmy uwagę już 2 lata temu w tekście ataki na księgi wieczyste:

Rządowy serwis z księgami daje każdemu dostęp do informacji takich jak: imiona i nazwiska (rodziców też), PESEL-e, nazwy banków w którym są zacięgnięte kredyty. Jedyną ochroną przed wglądem w dane dowolnej księgi jest znajomość jej numeru

…i ostrzegaliśmy, że predzej czy później ktoś zbruteforce’uje taki mechanizm dostępu i wyciągnie całą bazę danych, bo znając format numeru księgi, wystarczy wysłanie 100 000 000 zapytań do rządowej wyszukiwarki aby ściągnąć dane wszystkich ksiąg wieczystych z danego miasta. Że mieliśmy rację, po dwóch latach udowadnia serwis znajdzksięge.pl, którego model biznesowy polega na udostępnieniu wyszukiwania ksiąg wieczystych nie po ich numerze, ale po numerze działki lub adresie (koszt 29 PLN za zapytanie).

Właściciele znajdzksiege.pl (rejestracja na seszelach ;) zapewne napisali bota, który automatycznie odpytywał o kolejne numery ksiąg wieczystych, wyliczając odpowiednio sumę kontrolną, a prezentowany mu CAPTCHA rozwiązywał sam OCR-em lub zlecał rozwiązanie na zewnątrz (w Indiach są firmy, które kasują 2 dolary za 1000 poprawnie rozwiązanych CAPTCHA).

Nie można także wykluczyć, że administratorzy znajdzksiege.pl skorzystali z alternatywnego dostępu do bazy — wiadomo, że komornicy mogą przeszukiwać księgi wieczyste po nazwisku, a nie numerze, (por. aktualizacja tego artykułu)

Wyciek, którego nie było

Zgoda, teraz łatwiej sprawdzić dane sąsiada, ale nie ma tu mowy o żadnym wycieku poufnych danych z ksiąg wieczystych jak sugeują niektóre media! Nie można przecież “wycieknąć” danych, które są publicznie dostępne dla każdego (trudność w dostępie polegająca na znajomości jednego numeru to żadna trudność).

Podsumowując od 2 lat można uzyskać dostęp do ksiąg wieczystych, dlatego dziwimy się, że dopiero teraz niektóre media zauważają zagrożenie dla prywatności obywateli…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

34 komentarzy

Dodaj komentarz
  1. Rozdmuchiwanie zimnego po fakcie ?

  2. Istotą księgi wieczystej, jest publiczny dostęp do niej. I nieprawda, że jest tak od dwóch lat, jak to sugerujecie, ale również wczesniej każdy mógł obejrzeć KW każdej nieruchomości. Różnica była taka, że nie w Internecie, a trzeba było się udać do sądu po odpis.
    Druga rzecz, to że taki serwis można również stworzyć w oparciu o zasoby ewidencji gruntów w gminach – więc nie wiem czy na pewno zrobiono to tutaj na podstawie EKW.

    • Oczywiście, że wcześniej można było obejrzeć księgi na żywo, pisząc 2 lata, my mamy na myśli możliwość szbkiego, automatycznego dostępu do nich. Nie będizesz przecież kserował tego w sądzie (czas!).

  3. Czy ten kraj to juz całkiem zdziczał? Co jeszcze wycieknie?

    • Nie wiem, ale po Twoim komentarzu wnioskuję, że zdolność czytania ze zrozumieniem (także tytułu!) zanikła :(

  4. A czy nielegalne jest zrobienie zrzutu takiej bazy ze strony rządowej?

    • Nie, robienie zrzutów ekranu nigdy nie jest nielegalne. Ich rozpowszechnianie może być, w zależności od tego co zawierają ;)

    • @Piotr Konieczny:

      screenshot ≠ dump bazy danych…

  5. Po 2 dolary?! Mocno nieaktualne dane…

    • Potaniało czy podrożało?

  6. Cala sprawa z ta baza danych jest niezlym skandalem. Skanadlem do dzis tolerowanym. GIODO, dupa, upa – placza jak wyplynie jeden PESEL, a tutaj czarno na bialym masz cala Polske, wszystkich Polakow. A to wszystko po to aby mafia komornicza z roznymi Krukami i innymi miala dostep do tych danych – bezprawny ale jednak w imieniu prawa. Rzygac mi sie chce gdy myslie co dzie dzis dzieje w tzw systemie (poza)prawnym.

    • Co rozumiesz poprzez ‘bezprawny’ ? skoro informacje te są jawnie dostępne…
      Normalnie do sądu można pójść bez znajomości nr. KW i wyszukać w skorowidzu dla danej nieruchomości, bądź podać nazwisko i ‘Pani Halinka’ Ci znajdzie wszystkie powiązane KW. Skandalem jest tu tylko to, że ktoś żąda opłaty za dostęp do publicznie i nieodpłatnie dostępnych danych.
      Cały system internetowo dostępnych KW został wdrożony po to by oszczędzić interesantom drogi (niekiedy na drugi koniec miasta, do sądu) i opłaty za odpis (o ile pamiętam było to 60zł).
      ‘Mafia komornicza’ ? – śmiać mi się chce… ‘rączka rączke myje’ w każdej branży, czy to jeśli chodzi o komorników, czy o lekarzy, czy jeszcze innych… A to że ludzie są mamieni łatwymi kredytami i są zbyt niedoedukowani by przeczytać i zrozumieć umowy a później płaczą że im komornik mieszkanie zajął – to już inna bajka.

    • Nie wszystkich. Bardzo bardzo nie wszystkich.

    • RED:
      “Co rozumiesz poprzez ‘bezprawny’ ? skoro informacje te są jawnie dostępne…”

      Rejestr jest publiczny co oznacza, że można z niego korzystać ale nie dowolnie go przeglądać i kopiować. Pozyskując dane z Rejestru sam przetwarzasz dane osobowe a żeby robić to legalnie musisz mieć podstawę prawną wynikającą z ustawy o ochronie danych osobowych. Poza tym rejestr jest dostępny według pewnych kryteriów wyszukiwania i w takiej formie jest jawny, oferowanie wyszukiwania np. przez numer PESEL jest niezgodne z prawem.

    • @RED
      Jaki skandal? Pobiera kasę za ułatwienie życia, nie masz obowiązku korzystać i możesz sam tydzień klikać aż znajdziesz.

    • @Zdegustowany
      Chyba nie do końca przeczytałeś/zrozumiałeś co napisałem.

  7. Dziękuję za przytomny komentarz do rewelacji
    mediów.

  8. Nie wiem po co tyle krzyku o księgi wieczyste. Starostowie prowadzą ewidencję gruntów i budynków w której to obok danych osobowych, oznaczenia geodezyjnego nieruchomości i innych danych składających się na tzw. “operat ewidencyjny” jest ujawniona także księga wieczysta (numer).
    Zgodnie z art. 24 ust 2 ustawy prawo geodezyjne i kartograficzne dane w operacie są jawne i na podstawie ust 4 powyższego art. każdy, z zastrzeżeniem ust. 5, może żądać udostępnienia informacji zawartych w operacie ewidencyjnym. A kto może uzyskać od Starosty >>dane osobowe<< sprecyzowane jest w art 24 ust 5 prawa geodezyjnego (właściciel, władający, organy administracji i inne osoby mające w tym interes prawny).
    Numer księgi wieczystej to nie dane osobowe i możliwe jest teoretycznie uzyskanie takiej informacji przez każdego, nie tylko właściciela działki. Poza tym, jak ktoś już wyżej napisał, księgi wieczyste są jawne. Udostępnienie takiej informacji przez Starostę to jakaś drobna kwota, kilka złotych, a można też skorzystać z platformy e-puap i dostać informacje zdalnie. Jak to jest w praktyce nie wiem, nie próbowałem uzyskać takiej in formacji z operatu ewidencyjnego.

  9. Już od jakiegoś czasu imiona rodziców podaje się TYLKO jeśli nie znasz nr. PESEL, w innych przypadkach podaje się TYLKO nr. PESEL. Zwróćcie uwagę na druki do zakładania KW (wnioski) – tam nawet nie ma miejsca na wprowadzenie imion rodziców. Oczywiście, w ‘starych’ KW nadal można znaleźć te dane.

  10. hehe niestety MINISTERSTWO SPRAWIEDLIWOSCI ma teraz przerwe techniczna tak samo znajdzksięge

  11. Gazety piszą o tym że problemem jest to, że dane udostępnia firma z Seszeli.. Jakie Seszele, wystarczy sprawdzić do kogo należy IP na którym stoi ten serwis i mamy jak na dłoni firmę z Warszawy.

    Pewnie że mogą próbować się wyprzeć że to strona ich klienta…

    • A whois mówi, że wpis w dns jest zrobiony przez jakić Michau Enterprises z Cypru :) coś jak te stronki zarób przez internet nie robiąc nic, wałęk dla zarabiania kasy jak nic

  12. “Istotą księgi wieczystej, jest publiczny dostęp do niej” A może istotą księgi wieczystej jest dostęp pojedynczej osoby do nich wszystkich?
    W bezpieczeństwie informacji jest taki termin jak agregacja informacji. Słyszał ktoś o czymś takim?

  13. “Opłata ta służy pokryciu kosztów funKcjonowania serwisu, w tym mechanizmów indeksujących treść ksiąg wieczystych.

    Dla osób dokonujących większej ilości wyszukiwań oferujemy atrakcyjne zniżki.
    Czy dane zawarte w serwisie są aktualne?

    Dokładamy wszelkich starań, aby dane prezentowane w serwisie były aktualne. Na bieżąco indeksujemy też nowo zakładane księgi wieczyste.

    W rzadkich przypadkach, gdyby wskazana przez nas księga wieczysta nie opisywała żądanej nieruchomości (na przykład w wyniku niedawnej modyfikacji treści księgi), dokonamy niezwłocznego zwrotu pełnej opłaty za wyszukanie księgi. ”

    W praktyce oznacza to, ze oni w jakis sposob indeksuja ksiegi wieczyste. Zakladajac 2$ za 1000 captcha to pewnie kosztuje ich jakies 64 000$ za 16 milionow, co oznacza, ze placa znacznie mniej. Ewentualnie w inny sposob wyludzaja uzycie captcha, albo prowadza jakas inna dzialalnosc z ksiegami. W praktyce to ~10$ oplaty za ksiege oznacza, ze wystarczy iz znajda 6400 chetnych co miesiac, na caly kraj zeby “pi razy drzwi” wyszli na swoje. Dowcip polega tez na tym, ze serwer gdzies musi stac, a pewnie sa to osoby z polskim obywatelstwem, ktore Seszele co najwyzej w wakacje widzialy. Metoda wplat przez siec zostawia jakis slad(nie liczac tych glupcow co wyplacaja z kont, albo uzyczaja dowodu osobistego i potem laduja w wiezieniu).

    Jednak faktycznie oznacza to, ze nie moga(albo udaja) miec dostepu na biezaco do danych, co faktycznie oznacza, ze nie maja 100% pokrycia.

    Co do mediow ogolnych, “publicznych” lepiej pozno niz wcale…

    • Chyba, że faktycznie korzystają z jakiegoś konta komorniczego/notarialnego i wyszukują na zapytanie. Wtedy to jest czysty zysk.

  14. Wpis na http://whois.domaintools.com/195.2.208.104 to jakieś stare dane?
    Podane są dane jakiejś osoby z polski?
    person: Marcin Waligorski
    address: ul. Malej Laki 9/7
    address: 02-793 Warszawa
    address: Poland
    fax-no: +48 22 2428662
    phone: +48 22 2428672
    a nie szeszeli?

    • Hosting?

  15. Recaptcha była cały czas jako zabezpieczenie czy wcześniej jakaś inna captcha?

    • Kiedyś AFAIR była nawet źle zaimplementowana CAPTCHA (czyt. do ominięcia :>)

  16. Szybka weryfikacja tej bazy i wygląda na to, że nie mają wszystkich danych.

  17. A pamietacie Armeńca co miał dostać 10 lat za wysyłanie zautomatyzowanych zapytań do serwera rządowego? Było kiedyś na niebezpiecznku….

  18. Problem pojawia się wtedy, gdy:
    1) dane są przetwarzane (słowo klucz) przez podmiot bez naszej zgody – MS taką zgodę ma, serwis X nie
    2) ktoś tymi danymi handluje i wykorzystuje je komercyjnie
    3) nie mam możliwości zaprzestania przetwarzania tych danych przez podmiot X ani możliwości jakiejkolwiek kontroli
    4) na zrobienie zrzutu musisz mieć też zgodę – trzymając dane osobowe musisz zarejestrować bazę danych w GIODO

    Zatem co z tego, że dane te są do wglądu na stronie MS? Można dyskutować, że poznanie numeru KW to też nie jest problem. Rzecz dotyczy naruszenia Ustawy o Ochronie Danych Osobowych. Dzięki takiemu serwisowi mogę sobie np. za 3 dyszki sprawdzić jaki PESEL ma mój sąsiad, kilka innych szczegółów a potem.. itd. itd.

    • Dokładnie. 5 lat minęło i nikt z tym nic nie zrobił. Sama baza jest moim zdaniem częściowo aktualizowana przez samych nieświadomych niczego użytkowników. Jak ktoś daje zapytanie o dane znając numer KW, to baza może uaktualniać się wtedy. Dostaje nowy numer i mając go może wyłuskać kolejne numery ze strony MS, np. numer główny nieruchomości gruntowej, a z niej całą litanię numerów KW dla np. pozostałych lokali samodzielnych i danych ich właścicieli. Niesamowity syf… i cyrk, że nikt z tym nic nie robi.

  19. a nie wydaje Wam się, że społecznie korzystne byłoby gdyby dane na temat własności (np. z wyłączeniem PESEL) były po prostu ogólnodostępne np. w geoportalu?

    jakie widzicie zagrożenia?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: