Wyciek danych paszportowych Polaków. W bardzo łatwy sposób można było uzyskać dostęp do cudzych informacji osobowych
Postępująca cyfryzacja to olbrzymie udogodnienie, ale wiążą się z nią także poważne zagrożenia. Wynikają one głównie z działalności cyberprzestępców. Czasami jednak niebezpieczeństwo pochodzi bezpośrednio z luk w oprogramowaniu, do skorzystania z których nie jest potrzebna specjalistyczna wiedza. Okazuje się, że w rządowym serwisie moj.gov.pl można było bez trudu podejrzeć dane innych użytkowników. Sprawa dotyczy rejestru dokumentów paszportowych.
W serwisie paszportowym działającym w ramach platformy moj.gov.pl znajdowała się prosta luka, która pozwalała dowolnemu użytkownikowi podejrzeć dane innych osób.
![Wyciek danych paszportowych Polaków. W bardzo łatwy sposób można było uzyskać dostęp do cudzych informacji osobowych [1]](/image/news/2023/06/23_wyciek_danych_paszportowych_polakow_w_bardzo_latwy_sposob_mozna_bylo_uzyskac_dostep_do_cudzych_informacji_osobowych_0_b.jpg)
Morele - sklep uniknie kary za wyciek danych użytkowników. NSA przyjął skargę kasacyjną serwisu w sprawie kary UODO
Do wyświetlenia danych innych użytkowników nie były potrzebne żadne wyrafinowane metody. Wystarczyła prosta podmiana identyfikatora w adresie strony internetowej. Wśród ogólnie dostępnych informacji paszportowych znalazły się między innymi numery PESEL, imiona i nazwiska, zdjęcia, podpisy, daty urodzenia czy adresy korespondencyjne. Choć teoretycznie dane te nie były formalnie publicznie udostępnione, to można je w ten sposób traktować z racji tego, że podmiany identyfikatora mógł dokonać w zasadzie każdy. Jest to oczywiście niedopuszczalny błąd administratorów i wykonawców strony, ponieważ mamy tutaj do czynienia z prywatnymi informacjami, które powinny być chronione w sposób szczególny.
Dziura w rządowym systemie moj[.]gov[.]pl
— Niebezpiecznik (@niebezpiecznik) June 22, 2023
Można było podejrzeć dane Polaków z paszportów
Tym razem był dostęp nie tylko do danych osobowych ale też
-PESELu
-Zdjęcia
-Wzoru podpisu
Pełen opis tego co dało się pobierać tuhttps://t.co/2dzRnNWmUI
Czy te dane powinny tam być? pic.twitter.com/up6WTvF8JA
Wykradziono dane ponad 200 mln. użytkowników Twittera. Haker jest gotów sprzedać dane za odpowiednią kwotę
Najbardziej dziwi już nawet nie sam fakt, że do przełączenia na dane innego użytkownika nie było konieczne dwuskładnikowe uwierzytelnianie, a kwestia braku konieczności zalogowania się na inne konto w momencie podmiany identyfikatora w adresie strony. Sytuacja każe też postawić pytanie, czy testy penetracyjne całego systemu były wykonane w sposób prawidłowy. Trudno sobie wyobrazić, by tak podstawowa luka nie została w ich trakcie wykryta. Mówimy zresztą o stronach rządowych, które powinny być nie tylko wykonane na najwyższym poziomie, ale też gwarantować pełne bezpieczeństwo powierzonych danych. Jest to istotne zwłaszcza wobec sytuacji za naszą wschodnią granicą i zagrożeniami dla cyberbezpieczeństwa, które się z nią w oczywisty sposób wiążą.
![Wyciek danych paszportowych Polaków. W bardzo łatwy sposób można było uzyskać dostęp do cudzych informacji osobowych [2]](/image/news/2023/06/23_wyciek_danych_paszportowych_polakow_w_bardzo_latwy_sposob_mozna_bylo_uzyskac_dostep_do_cudzych_informacji_osobowych_1_b.jpg)
Powiązane publikacje
Reklamy na YouTube zaatakują nawet po zatrzymaniu wideo. Google nie ma litości dla osób bez subskrypcji YouTube Premium
112
Post News - rywal Twittera (X) niebawem przestanie istnieć. Ambicje konkurencji są wielkie, ale obalenie giganta nie jest łatwe
21
VPN by Google One - kolejna usługa zmierza na firmowy cmentarz. Jednak nie wszyscy utracą do niej dostęp
11
Wyszukiwarka Google - pełna wersja usługi może wkrótce stać się płatna. Firma rozważa opłaty za dodatkowe funkcje AI
41
