Wyciek danych paszportowych Polaków. W bardzo łatwy sposób można było uzyskać dostęp do cudzych informacji osobowych
Postępująca cyfryzacja to olbrzymie udogodnienie, ale wiążą się z nią także poważne zagrożenia. Wynikają one głównie z działalności cyberprzestępców. Czasami jednak niebezpieczeństwo pochodzi bezpośrednio z luk w oprogramowaniu, do skorzystania z których nie jest potrzebna specjalistyczna wiedza. Okazuje się, że w rządowym serwisie moj.gov.pl można było bez trudu podejrzeć dane innych użytkowników. Sprawa dotyczy rejestru dokumentów paszportowych.
W serwisie paszportowym działającym w ramach platformy moj.gov.pl znajdowała się prosta luka, która pozwalała dowolnemu użytkownikowi podejrzeć dane innych osób.
Morele - sklep uniknie kary za wyciek danych użytkowników. NSA przyjął skargę kasacyjną serwisu w sprawie kary UODO
Do wyświetlenia danych innych użytkowników nie były potrzebne żadne wyrafinowane metody. Wystarczyła prosta podmiana identyfikatora w adresie strony internetowej. Wśród ogólnie dostępnych informacji paszportowych znalazły się między innymi numery PESEL, imiona i nazwiska, zdjęcia, podpisy, daty urodzenia czy adresy korespondencyjne. Choć teoretycznie dane te nie były formalnie publicznie udostępnione, to można je w ten sposób traktować z racji tego, że podmiany identyfikatora mógł dokonać w zasadzie każdy. Jest to oczywiście niedopuszczalny błąd administratorów i wykonawców strony, ponieważ mamy tutaj do czynienia z prywatnymi informacjami, które powinny być chronione w sposób szczególny.
Dziura w rządowym systemie moj[.]gov[.]pl
— Niebezpiecznik (@niebezpiecznik) June 22, 2023
Można było podejrzeć dane Polaków z paszportów
Tym razem był dostęp nie tylko do danych osobowych ale też
-PESELu
-Zdjęcia
-Wzoru podpisu
Pełen opis tego co dało się pobierać tuhttps://t.co/2dzRnNWmUI
Czy te dane powinny tam być? pic.twitter.com/up6WTvF8JA
Wykradziono dane ponad 200 mln. użytkowników Twittera. Haker jest gotów sprzedać dane za odpowiednią kwotę
Najbardziej dziwi już nawet nie sam fakt, że do przełączenia na dane innego użytkownika nie było konieczne dwuskładnikowe uwierzytelnianie, a kwestia braku konieczności zalogowania się na inne konto w momencie podmiany identyfikatora w adresie strony. Sytuacja każe też postawić pytanie, czy testy penetracyjne całego systemu były wykonane w sposób prawidłowy. Trudno sobie wyobrazić, by tak podstawowa luka nie została w ich trakcie wykryta. Mówimy zresztą o stronach rządowych, które powinny być nie tylko wykonane na najwyższym poziomie, ale też gwarantować pełne bezpieczeństwo powierzonych danych. Jest to istotne zwłaszcza wobec sytuacji za naszą wschodnią granicą i zagrożeniami dla cyberbezpieczeństwa, które się z nią w oczywisty sposób wiążą.
Powiązane publikacje

YouTube Premium Lite - nowy plan pozbawia serwis większości reklam, a jest znacznie tańszy od YouTube Premium
83
YouTube to nowa telewizja - twierdzi Google. Prawie 20-letni serwis jest popularniejszy na TV niż na smartfonach
64
Reklamy dotarły na Threads. Chwilowo zobaczą je tylko wybrane osoby, ale z czasem trafią do wszystkich użytkowników
28
Insbuy – nowatorska aplikacja, która otwiera nowe możliwości sprzedażowe dla osób streamujących treści
22