7:58
14/12/2017

Cztery osoby zatrzymano w związku z tzw. “wyciekiem” z bazy PESEL z sierpnia ubiegłego roku. Jednym z zatrzymanych jest warszawski komornik, Rafał W. który ułatwiał windykatorom uzyskanie informacji o osobach, wobec których nie prowadzono postępowań komorniczych. Zatrzymanym przedstawiono zarzuty, ale śledztwo jest rozwojowe.

“Wyciek”

Zapewne wielu z Was pamięta “wyciek” z bazy PESEL z sierpnia 2016 roku? Ciągle piszemy o wycieku w cudzysłowie gdyż tak naprawdę to nie był wyciek. Po prostu Centralny Ośrodek Informatyki zorientował się, że pewne kancelarie komornicze masowo po nocach odpytywały bazę PESEL. Pojawiła się obawa, że dane mógł pobierać ktoś nieuprawniony, albo osoba uprawniona pobierała więcej danych niż to konieczne.

Po wycieku wiele osób zaczęło odpytywać Ministerstwo Cyfryzacji o dostęp do ich danych w rejestrach państwowych. Przy okazji wielu obywateli dowiedziało się, że w ogóle jest taka możliwość. Ministerstwo miało pewne problemy z nagłym napływem wniosków, ale odpowiadało. Wiemy, że część z naszych Czytelników odnotowała nieoczekiwane sprawdzenia ich danych.

Kilka razy po uruchomieniu śledztwa pytaliśmy prokuraturę o postępy. Za każdym razem dowiadywaliśmy się, że nie wykryto żadnych nadużyć. Obraz sytuacji nieco się zmienił we wrześniu tego roku gdy GIODO ogłosił, że dane z bazy PESEL mogły być pobierane nadmiernie. Oczywiście GIODO nie prowadził zasadniczego śledztwa, ale skupił się na wytknięciu Ministerstwu Cyfryzacji, że dostęp do bazy PESEL powinien być nieco lepiej zabezpieczony.

Tymczasem do nas od Czytelników napływały sygnały, że jakiś komornik mógł się dogadać z firmą windykacyjną w kwestii sprawdzania danych na jej rzecz. Dostaliśmy też sygnały od osób, które zostały w tajemniczy sposób odnalezione przez windykatorów, najprawdopodobniej na podstawie danych z rejestru PESEL. Ostatnie osiągnięcia prokuratury i ABW potwierdzają, że zbyt bliska współpraca komornika z windykatorami naprawdę miała miejsce.

Zatrzymania

13 grudnia Prokuratura Okręgowa w Warszawie poinformowała o dokonaniu zatrzymań i postawieniu zarzutów w śledztwie dotyczącym nieuprawnionego wykorzystywania danych z systemu PESEL.

Wcześniej – 7 grudnia – funkcjonariusze ABW zatrzymali cztery osoby:

  • Rafała W. – komornika sądowego prowadzącego kancelarię komorniczą w Warszawie przy Al. Solidarności,
  • Agnieszkę B. – byłego pracownika kancelarii komorniczej,
  • Grzegorza G. – byłego asesora komorniczego i jednocześnie pracownika firmy windykacyjnej,
  • Bartłomieja W. – administratora systemu informatycznego kancelarii.

Przeszukano 14 nieruchomości na terenie Warszawy i okolic, w tym kancelarię komorniczą. W ramach śledztwa przeanalizowano też nośniki i sprzęt elektroniczny, przesłuchano prawie dwustu świadków. Ustalono, że w kancelarii komornika sądowego Rafała W. dochodziło do nieprawidłowości w zakresie wykorzystywania punktu dostępowego rejestru PESEL.

Nieprawidłowości polegały na:

  • podłączeniu stanowiska do sprawdzeń w rejestrze PESEL przez zdalny dostęp do siedziby głównej kancelarii;
  • podłączeniu stanowiska do sprawdzeń do sieci publicznej oraz sieci wewnętrznej kancelarii;
  • używaniu skryptu automatyzującego zapytania i pobieranie danych;
  • udostępnieniu osobom nieupoważnionym haseł do systemu Jantar;
  • udostępniani nieupoważnionym pracownikom kancelarii dostępu do aplikacji Źródło (a tym samym do danych osobowych ponad 350 tyś osób z rejestru PESEL);
  • umożliwianiu windykatorom dostępu do całej bazy danych kancelarii komorniczej – Komornik SQL (obejmującej dane około 1 miliona osób);
  • dokonywaniu przez pracowników kancelarii sprawdzeń numerów PESEL osób, co do których w nie prowadzono w kancelarii postępowań komorniczych. 

Zarzuty

Komornik Rafał W. częściowo przyznał się do zarzucanych mu czynów. Prokurator przedstawił mu zarzuty przekroczenia uprawnień służbowych w celu osiągnięcia korzyści majątkowych m.in. w związku z podłączeniem stanowiska do sprawdzeń w innej lokalizacji niż siedziba kancelarii, a także przekazanie karty dostępowej do stanowiska osobom nieupoważnionym (tj. przestępstw określonych w art. 231 § 2 kk, art. 269 b § 1 kk, art. 266 § 2 oraz art. 51 ust 1 i 52 ust 1 Ustawy o ochronie danych osobowych).

Wobec Rafała W. prokurator skierował do Sądu wniosek o zastosowanie tymczasowego aresztowania na okres 3 miesięcy. Ten wniosek w dniu 9 grudnia 2017 r. został przez Sąd uwzględniony. Ponadto na mieniu Rafała W. prokurator dokonał zabezpieczenia majątkowego na łączną kwotę prawie 1,5 mln zł (na poczet grożących mu kar). Zabezpieczono 1450000 zł w obligacjach oraz prawie 50000 zł w gotówce.

Wobec pozostałych podejrzanych prokurator zastosował wolnościowe środki zapobiegawcze, w tym poręczenia majątkowe na  łączną kwotę 715000 zł.

Grzegorz G. nie przyznał się do zarzucanych mu czynów. Prokurator przedstawił zarzuty dotyczące wykorzystywania i ujawniania przez niego jako asesora komorniczego informacji z rejestru PESEL i bazy danych kancelarii komornika (tj. przestępstw określonych w art. 266 § 1 kk i art. 51 ust 1 Ustawy o ochronie danych osobowych).

Agnieszka B. nie przyznała się do zarzucanych jej czynów. Prokurator przedstawił jej zarzuty ujawnienia haseł dostępu do sytemu PESEL (tj. przestępstw określonych w art. 269 b § 1 kk, art. 266 § 1 kk i art. 51 ust. 1 Ustawy o ochronie danych osobowych).

Bartłomiej W. częściowo przyznał się do zarzucanych mu czynów. Prokurator przedstawił mu zarzuty uzyskania bez uprawnienia dostępu do bazy danych PESEL oraz umożliwiania dostępu do bazy osobom nieupoważnionym (tj. przestępstw określonych w art. 267 § 1 kk, art. 266 § 1 kk i art. 51 ust 1 Ustawy o ochronie danych osobowych).

Co dalej?

Podejrzanym grożą różne kary, od grzywien, przez ograniczenia wolności lub pozbawienia wolności do lat dwóch (art. 266 § 1 kk, art. 267 § 1 kk) do nawet 5 lub 10 lat kary pozbawienia wolności (art. 269 b § 1 kk, art. 231 § 2 kk). Nie jest wykluczone, że w śledztwie będą nowe ustalenia bo prokuratura analizuje “pozostałe stwierdzone przypadku pobierana znacznych ilości danych z rejestru PESEL”. Więcej nie dowiemy na tym etapie.

Co ciekawe, w tym roku nasze organy ścigania rozpracowały jeszcze inne przypadki masowego nadużywania dostępu do danych. Pisaliśmy o tym jak grupa wykradająca dane osobowe z telekomów został zatrzymana przez Policję, a przekręt wykrył T-Mobile. Ciekawy był też przypadek byłego pracownika, który ukradł i sprzedał dane co najmniej 56 000 klientów firmy marketingowej w której był informatykiem.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

24 komentarzy

Dodaj komentarz
  1. “umożliwianiu windykatorom dostępu do całej bazy danych kancelarii komorniczej – Komornik SQL (obejmującej dane około 1 miliona osób)”

    Tutaj prokuratura zastosowała skrót myślowy na potrzeby klimatu politycznego, więc uściślijmy.

    O ile jest prawdopodobne, że baza danych jednej warszawskiej kancelarii komorniczej zawierała dane 1 mln osób i ta liczba robi wrażenie, to trzeba dodać, że sporą część będą stanowić dane osób fizycznych prowadzących działalność i osób prawnych, a więc przynajmniej dane rejestrowe tym zakresie są jawne i publicznie dostępne.

    Co innego oczywiście jeśli w powiązaniu z w/w danymi udostępniono także informacje z postępowań.

    • czy Ty kolego nie rozumiesz ze pesel wlasciciela firmy nie jest dana publiczna? Ani wiele danych które w bazie pesel sie znajduja? Czy naprawde zdajesz sobie sprawe z tego co te rejestry posiadaja w sobie?

      Kiedys spotkalem sie z gosciem ktory chcial poprzez wiele swoich kontaktow zdobyc dostep do bazy pesel, w celu pozyskiwania danych (w tym przypadku o tym ze ktos wlasnie zmarl) i sprzedawaniu tej wiedzy do bankow? Bo nie wiem czy wiesz ze jak ktos ma wspolne konto z malzonkiem i jedno z nich umrze, to poki bank o tym nie wie, druga osoba moze wyplacic wszystkie srodki z konta?! Zapytasz pewnie co w tym dziwnego .. a no to ze banki sa bardzo chetne placic duze pieniadze za pozyskiwanie takich danych, gdyz w przypadku smierci jednej z nich moga zamrozic polowe depozytu u siebie i trzymac az do czasu zakonczenia spraw spadkowych? W tym czasie rzecz jasna moga sobie obracac tymi srodkami jak chca ..

      ot jeden przypadek wykorzystania danych z tej bazy .. nie mowiac ze to wierzcholek gory lodowej.

    • @mm
      > dane rejestrowe tym zakresie są jawne i publicznie dostępne
      W KRS-ie jest tylko PESEL, imię i nazwisko! Niech mi kolega powie w jakim (jawnym) rejestrze ja znajdę aktualny i wszystkie stare adresy zameldowania (wraz z datami zameldowania/wymeldowania), nazwisko panieńskie, imiona rodziców, numer dowodu i paszportu, stan cywilny, numer aktu urodzenia, dane ewentualnego małżonka, datę ewentualnego zgonu i inne dane z bazy PESEL?

    • @Pawel
      >” sprzedawaniu tej wiedzy do bankow?”
      W interesie banku jest to co napisałeś, ale nie popadajmy w paranoję. Żaden bank nie zapłaci za takie informacje, przepływy finansowe banków podlegają audytom, skala musiała by być naprawdę duża, a nieboszczyków kilkuset lub kilka tysięcy, w bankach są inne priorytety.

      A jak ktoś uszczupla świadomie masę spadkową nieboszczyka to jest na to paragraf :)

  2. Ten obrazek jest żałosny przy tym artykule.

  3. To jest niestety biznes, są komornicy, którzy pracują tylko dla firm sekurutyzacyjnych (windykacyjnych), doskonale zdają sobię sprawe z tego, że znakomita większość “spraw” prowadzonych przez windykacje to są wierzytelności przedawnione, spłacone, nieistniejące, mocno zawyżone, etc.. To jest biznes..

    • Komornicy to współcześni SS-mani , albo jak ktoś woli okupanci , którzy kierując się nadanymi przywilejami grabią słabszych .

      W historii Polski było wiele wycieków baz, nielegalnych działań ,a jak przyszło co do czego żaden sędzia , komornik nie poniósł kary.

      Komornicy , sędziowie , adwokaci , policja ,politycy , prezydenci miasta ,dziennikarze, urzędnicy , korporacje typu apple, ms, google , piedronka i inni to święte krowy , współczesna mafia nie do ruszenia.

  4. Dlaczego nie zlikwidują nielegalnej bazy PESEL-SĄD??? Przecież to kopia bazy PESEL prowadzona przez MS. Jakby jakiś komorniczyna przyssał się do rejestru, ani MC ani MSWiA ani COI nie wiedzieliby ile tam płynie zapytań i o jakich porach dnia! Co innego aplikacja Źródło (dawniej Jantar), która daje dostęp do oryginalnej bazy PESEL i można wykryć nadużycie.

    http://wiadomosci.dziennik.pl/wydarzenia/artykuly/500649,pesel-bezprawnie-kopiowany-w-ministerstwach.html

    • Bardzo słusznie że drąży się tę sprawę. Przecież takie kopiowanie całej bazy “na dziko” to jakaś kpina.

    • Nie tylko Ministerstwo Sprawiedliwości ma taki dostęp do bazy PESEL. W Ministerstwie Finansów już od bardzo dawna działa system Serce, w którym jest także dostęp do danych z rejestru PESEL. Dostęp niby uzasadniony w celu poprawnej identyfikacji podatników i monitorowany ale z komputerów które mają dostęp takze do sieci Internet.

    • Mieć dostęp do bazy PESEL a mieć kopię bazy PESEL to troszeczkę coś innego! :)

  5. mafia milicyjno urzednicza ma sie dobrze

  6. Dostęp do bazy PESEL (i innych rejestrów państwowych) powinien być wyłącznie na terminalach sprzętowych z całkowicie zamkniętym oprogramowaniem, bez gniazd na nośniki zewnętrzne i bez interfejsów pozwalających podłączyć inne urządzenia. Wysyłanie zapytań powinno się odbywać na wbudowanej klawiaturze a odczyt odpowiedzi na wyświetlaczu. O zaletach tego rozwiązania chyba nie trzeba wspominać, oto niektóre:
    – za bezpieczeństwo całkoształtu (hw+soft) odpowiada MC;
    – odciążenie instytucji korzystającej zagadnienami bezpieczeństwa (ochrona antywirusowa, firewall, audyty, itp);
    – sprzętowe szyfrowanie komunikacji z hostem o z góry ustalonych algorytmach i parametrach bez możliwości ingerencji ze strony użytkownika (w razie wykrycia anomalii terminal odmówi połączenia i nie pozwoli dodać “wyjątku bezpieczeństwa” i zignorować błędu);
    – brak możliwości podłączenia skryptu automatyzującego zapytania, no chyba, że w ten sposób: https://niebezpiecznik.pl/post/otwieranie-sejfow-metoda-brute-force/
    – brak możliwości udzielenia dostępu zdalnego!!!

    • Amen.

    • A co powiesz kolego na taki przypadek. Serwer na którym trzymane są dane wszystkich spraw prowadzonych przez komornika, znajduje się w małej serwerowni jednej z firm zewnętrznych która utrzymuje ten sprzęt w ramach usługi kolokacji!!. Dodam że z tego samego serwera prowadzone jest odpytywanie różnych baz .. rzecz jasna głównie bazy PESEL. Niby dostęp ma być dla osób uprawnionych ale ja sam tam będąc (w ramach prowadzonych prac dla mojego klienta na jego serwerach które ma kolokowane w tym samym miejscu.) Byłbym w stanie bez problemu wpiąć cokolwiek do serwera lub do jego sieci ;) … ot taka mala drobnostka …

      Swoją drogą zastanawia mnie czemu komornicy (wszak to w sumie zwykła firma a nie urzędnik panstwowy) ma dostęp do takiej bazy ?? I proszę mi tu nie mówić że to nie są zwykle firmy .. bo są … nawet vat doliczaja do swoich “uslug” ;)

    • @Pawel
      Właśnie o to chodzi, żeby nie była możliwa żadna integracja serwera prywatnego z bazą PESEL. Korzystanie z bazy powinno się odbywać ręcznie. Załóżmy, że komornik chce sprawdzić aktualny adres dłużnika. Wstukuje na terminalu PESEL i porównuje adres jaki mu się wyświetlił z tym co ma w tytule wykonawczym. Jak się nie zgadza to RĘCZNIE wklepuje nowy adres do swojego systemu. Oczywiście bezpieczeństwo samego serwera i bazy spraw to zupełnie inna kwestia (dyskusja dotyczy bezpieczeństwa bazy PESEL) jednak nawet jeśli ktoś się tam włamie to zdobędzie tylko dane ze spraw jakie kancelaria prowadziła a nie wszystkich obywateli!

      Co do działalności, przede wszystkim należy zmienić prawo tak, aby komornicy byli pracownikami sądu i działali pod nadzorem przełożonych a nie jako własna firma!!! Porównaj z egzekucją administracyjną (ZUS, US, itp). Komornik skarbowy lub poborca podatkowy to są zwykli pracownicy zatrudnieni w urzędzie. Wykonują czynności w godzinach pracy a szefostwo patrzy im na ręce. Czy słychać w mediach aby jakiś poborca “trałował dłużników”, kradł traktor, 30.000 zł i wozy strażackie albo harvestował bazę PESEL po nocach?

    • Security by obscurity? To ma być Wasz Amen? Jeżeli tak, to R.I.P. Poczytaj jak Chińczycy kopiują układy scalone. Wystarczy, że ktoś takie urządzenie rozłoży, zdeasembluje kod lub po prostu skopiuje caly sprzęt wraz z ustawieniami i systemem operacyjnym. Poza tym co w razie znalezienia dziury w protokole tak jak w BT znaleziono BlueBorne? Jeżeli jest możliwość aktualizacji – jest możliwość wstrzyknięcia wirusa zamiast niej. MOŻLIWOŚĆ DOSTĘPU DO CZEGOŚ PRZEZ INTERNET NAWET ZA HASŁEM CZY SZYFROWANIEM, oznacza, że ZGODZIŁEŚ SIĘ NA TO ŻE TWOJE DANE SĄ PUBLICZNE. Tak należy traktować wszystko co jest w sieci. Chcesz czy nie, twoje dane JUZ SĄ PUBLICZNE.

    • > Poczytaj jak Chińczycy kopiują układy scalone. Wystarczy,
      > że ktoś takie urządzenie rozłoży, zdeasembluje kod lub po
      > prostu skopiuje caly sprzęt wraz z ustawieniami i systemem
      > operacyjnym.

      Dlatego urządzenie powinnno być plombowane, jak kasa fiskalna, z drakońskimi karami za naruszenie plomb, z wyrzuceniem z zawodu włącznie w przypadkach skrajnych.

      > Jeżeli jest możliwość aktualizacji – jest możliwość wstrzyknięcia
      > wirusa zamiast niej.

      Mechanizm aktualizacji tych urządzeń można wdrożyć, ale przez przeszkolonego i certyfikowanego fachowca z resortu, a nie pseudoinformatyka na umowę o dzieło.

      > MOŻLIWOŚĆ DOSTĘPU DO CZEGOŚ PRZEZ INTERNET
      > NAWET ZA HASŁEM CZY SZYFROWANIEM, oznacza, że
      > ZGODZIŁEŚ SIĘ NA TO ŻE TWOJE DANE SĄ PUBLICZNE.

      No niestety, ale nie zgodziłem się – nikt mnie nawet o zdanie w sprawie *moich danych* nie pytał. To Ministerstwo Cyfryzacji i inne resorty narzucają takie systemy.

      Swoją drogą, jak to jest że np. policja potrafi jakoś mieć swoją sieć wydzieloną do przekazywania swoich newralgicznych informacji? Wojsko tak samo. Ale dane o obywatelach, w tym także te objęte tajemnicą skarbową czy lekarską fruwają sobie po Internecie. Nieźle to pokazuje, kto w tym państwie jest chroniony, a kto wystawiony na pokaz :(((

    • @Marianna
      >Dlatego urządzenie powinnno być plombowane
      Tu się w pełni zgadzam. Sama konstrukcja urządzenia powinna być tamper-evident i tamper-resistent. Otwarcie urządzenia powinno automatycznie wyczyścić wszystkie klucze a nie zaszkodzi też kodu aplikacji.

  7. W stary proceder “trałowania dłużników” za pomocą bazy PESEL był zaangażowany m.in. niejaki Rafał Wojtyna – czy to aby nie ten sam Rafał W.? :)

    http://wyborcza.pl/1,76842,16043778,Gdy_dluznik_nie_placi__komornik_wysyla_wezwanie_do.html

    • Tak ten sam..

  8. […] Zatrzymania ws. “wycieku” z bazy PESEL. Komornik nadużywał uprawnień, windykator dost… […]

  9. […] błędu pozyskać. Jak nie poprzez nadużycie uprawnień uprzywilejowanego użytkownika (por. Zatrzymania w sprawie wycieku z bazy PESEL, to komornik naudyżywał uprawnień) to — jak właśnie teraz — na skutek błędu programisty. Przypomnijmy, że niedawno […]

  10. […] Polaków, – Rejestr Przedsiębiorców — można było pobrać niejawne dane, – Baza PESEL — potężny wyciek, – Krajowy Rejestr Zadłużonych — każdy może poznać dane 30 000 klientów Getin […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: