Wyciek danych - straszak, czy rzeczywiste zagrożenie?

  Przedwczoraj [26.08.2016] portal Niezalezna pl doniósł {TUTAJ}: "Gigantyczny wyciek danych milionów Polaków. Baza PESEL zaatakowana przez hakerów?".  Dowiedzieliśmy się, że:

 "Prokuratura weszła do pięciu kancelarii komorniczych w Polsce. Podejrzewa się, że za ich pośrednictwem udało się uzyskać dostęp do olbrzymich pakietów danych z bazy PESEL. Sprawa może dotyczyć nawet miliona Polaków, których dane osobowe zostały pobrane. Sprawę, w której wszczęto już śledztwo, wykryło Ministerstwo Cyfryzacji. Okazuje się, że za wyłudzeniem danych niekoniecznie muszą stać same kancelarie, jak początkowo sugerowano. Może być to robota hakerów. Jeśli faktycznie tak było sytuacja jest niezwykle poważna. Byłby to wówczas największy taki atak w historii polskiej cyberprzestępczości.".

 Dokladniejsze informacje pojawily się w Wirtualnej Polsce  {TUTAJ}.  Podała ona, że chodzi o kancelarie komornicze w Warszawie i Łodzi.  Napisała tez, co znajduje sie z bazie PESEL:

 :"Więcej, niż się spodziewasz, Znaleźć tam można informacje takie jak:
- imiona i nazwisko
- nazwisko rodowe
- stan cywilny
- dane małżonka
- data i miejsce urodzenia
- oznaczenie aktu urodzenia
- płeć
- numer PESEL
- obywatelstwo
- imiona i nazwiska rodziców
- miejsce ślubu
- oznaczenie aktu ślubu
- seria i numer dowodu tożsamości
- seria i numer paszportu
- data ważności paszportu
- historia adresów zameldowania
- historia wyjazdów za granicę (dłuższych niż 6 miesięcy)

Czy można samemu sprawdzić, jakie dane na nasz temat znajdują się w bazie?

Tak. Najłatwiej jest to zrobić przez serwis Obywatel.gov.pl. Aby to zrobić, trzeba założyć albo posiadać profil zaufany. Każdy z nas może dowolnie często i bezpłatnie zaglądać do tej bazy i sprawdzać swoje dane.

Kto jeszcze może mieć dostęp do tej bazy danych?

Lista jest dość długa. Organy administracji publicznej, sądy, prokuratura, Policja, Straż Graniczna, Służba Więzienna, Służba Kontrwywiadu Wojskowego, Służba Wywiadu Wojskowego, Służba Celna, Żandarmeria Wojskowa, Agencja Bezpieczeństwa Wewnętrznego, Agencja Wywiadu, Biuro Ochrony Rządu, Centralne Biuro Antykorupcyjne, Szef Krajowego Centrum Informacji Kryminalnych, organy wyborcze, straże gminne /miejskie/, komornicy sądowi – w zakresie niezbędnym do prowadzenia postępowania egzekucyjnego, organy kontroli skarbowej i wywiadu skarbowego, państwowe i samorządowe jednostki organizacyjne oraz inne podmioty – w zakresie niezbędnym do realizacji zadań publicznych określonych w odrębnych przepisach, Polski Czerwony Krzyż – w zakresie danych osób poszukiwanych.

W jaki sposób te organy zyskują dostęp do naszych danych?

Aby uzyskać dane osobowe z PESEL, trzeba złożyć w MSWiA wniosek, w którym podaje się podstawę prawną upoważniającą do otrzymania danych lub uzasadnioną potrzebę żądania ich udostępnienia. Informacji z PESEL udziela się tylko za zgodą osób, których te dane dotyczą. Za oficjalne udostępnienie danych MSWiA pobiera opłatę - 30 zł 40 gr, a za każdy wniosek - 5 zł i po 50 gr za każdy załącznik do wniosku.".

 Znalazlo się tam również ostrzezenie:

 "Niestety, konsekwencje tego wycieku mogą być poważne. Przestępcy dzięki danym wykradzionym z bazy PESEL mogą wyłudzać pożyczki albo kredyty. Aby wziąć ten ostatni wystarczy nazwisko, numer dowodu osobistego oraz PESEL. Wszystkie te dane znajdowały się w bazie. To między innymi w trosce o ochronę naszych danych UKE zwracało uwagę, żeby przy rejestracji kart SIM nie pozwalać na kserowanie dowodów osobistych.".

 Dzisiaj [28.08.2016] w portalu Niezalezna.pl ukazał się {TUTAJ} tekst: "Dane milionów Polaków zagrożone. Największy cyberatak w historii".  Stwierdzono w nim:

 "Uważaj, ktoś może wziąć na ciebie kredyt lub kupić lodówkę na raty, a ty nic o tym nie będziesz wiedział. Pracownicy pięciu kancelarii komorniczych pobrali w sposób nieuprawniony dane z bazy PESEL. Prawdopodobnie chcieli je komuś sprzedać. Sprawą zajmuje się prokuratura.
  Pięć kancelarii komorniczych, w tym po jednej z Warszawy i Łodzi, pobrało z serwerów rejestru numerów PESEL dane osobowe około 2 mln osób. Jedna z kancelarii miała pozyskać w ten sposób dane 800 tys. osób. Komornicy nocą pobierali od kilkudziesięciu do kilkuset tysięcy rekordów z bazy PESEL miesięcznie. Według portalu Niebezpiecznik.pl urzędnicy Ministerstwa Cyfryzacji zauważyli duży ruch w systemie PESEL i najprawdopodobniej poprzez analizę wejść do bazy danych zidentyfikowali komputery, z których pobierano informacje. (...)

  W tym wypadku nie mówimy o włamaniu kancelarii komorniczych do baz danych, ponieważ mają one do nich legalny dostęp. Istnieje jedynie podejrzenie, że dane mogą być wykorzystane w niewłaściwy i przekraczający uprawnienia sposób– mówi w rozmowie z „Codzienną” Karol Manys, rzecznik Ministerstwa Cyfryzacji.
 Mamy pewną teorię, jeśli chodzi o cele pobrania danych przez kancelarie komornicze. Nie możemy jednak o nich mówić, ponieważ śledztwo w tej sprawie jeszcze trwa. Obecnie zabezpieczyliśmy nośniki danych oraz sprzęt informatyczny. Mogę jedynie powiedzieć, że dane nie były udostępniane zewnętrznym podmiotom, ale to nie oznacza, że nie doszło do nadużyć ze strony pracowników kancelarii– mówi nam Michał Dziekański, rzecznik Prokuratury Okręgowej w Warszawie.".

 Jeśli rzecznik Prokuratury Okręgowej ma rację i nie doszlo do przekazania danych zewnętrznym podmiotom [poza owymi kancelariami], to po co straszy się ludzi możliwością ich wykorzystania przez oszustów?  Upada też teoria o jakichś hakerach.  Niejasne jest także, po co były komornikom te bazy danych, do których i tak mieli oni dośc swobodny dostęp?

 Dziś rano  bloger Coryllus [Gabriek Maciejewskl] napisał notkę: "Co sprzedaje Bertold Kittel?" {TUTAJ} , w której omówił wczorajszą wypowiedź dziennikarza Bertolda Kittela, w telewizji TVN24 {TUTAJ}:

 "Kittel twierdzi, że jest to desperacja przestępców, dlatego, że od pewnego czasu następuje wymiana dowodów osobistych. Na ich nowej wersji nie znajdziemy danych, które są niezbędne do złożenia wniosku o kredyt. W związku z tym trzeba było je ukraść i to się właśnie stało.".  Kittel twierdzi, ze wszyscy powinni złozyć do prokuratury zawiadomienie o przestępstwie, a winą za całą sprawę obciąża rząd, a w szczególności Ministerstwo Cyfryzacji [które przecież sprawę wykryło].  Coryllus zaś pisze:

 " Oto znany ekspert od spraw tajnych Bertold Kittel został tam wywołany i tonem znawcy opowiada o tym jak straszliwe mogą być konsekwencje tego, że z kancelarii komorniczych wyciekły dane osobowe milionów Polaków. Ponoć jedna trzecia narodu wydana jest na pastwę naciągaczy. I teraz się zacznie, bo za kilka miesięcy wszyscy ci ludzie dostaną monity z wezwaniem do zapłaty odsetek od kredytu, którego nigdy nie zaciągnęli. (...)
 Być może Bertold Kittel rzeczywiście chce skompromitować minister Streżyńską, ale ja mam jednak wrażenie, że on usiłuje coś sprzedać. Metodę ma, nie powiem, zaskakującą ale jak widać promocyjnie niedopracowaną. Oto popiera go tylko TNV24, coś tam się jeszcze pojawiło na WP, ale cała reszta milczy. No, a wszyscy powinni krzyczeć. Nie krzyczą, bo banki im zakazały – takie przypuszczenie nasuwa się samo – jakby ludzie się dowiedzieli, że ta afera jest naprawdę groźna nie braliby żadnych pożyczek przez najbliższe miesiące, przynajmniej do chwili ażby się wszystko wyjaśniło.

Dziwne jest to, że Kittel mówi o zabezpieczeniach w ministerstwie cyfryzacji, a nie mówi o zabezpieczeniach w bankach. Tam chyba też biorą pod uwagę, że ludzie którzy zadłużają się na miliony powinni być jednak sprawdzeni i przynajmniej pokazać się w tym banku z dowodem, w którym jest zdjęcie dające się porównać z rzeczywistością, pomijam już fakt, że nie jest łatwo wziąć naprawdę duży kredyt. Nie mówię o chwilówce, którą może sobie załatwić każdy. (...) Ja nie wiem, kto prowadzi to śledztwo w prokuraturze okręgowej, ale na moje oko, oni się powinni przede wszystkim zainteresować Kittelem.

Pomijam już taki fakt, że informacja podana w TVN jest z punktu widzenia standardów dziennikarskich skonstruowana fatalnie. Ktoś zapyta o czym ja gadam, o jakich standardach? Przecież wiemy, że od dawna nie ma żadnych standardów dziennikarskich. Jak to o jakich? Żeby była informacja w mediach muszą coś powiedzieć przynajmniej dwie osoby. Tutaj zaś mamy jakiś bełkot płynący z nie wiadomo czyich ust i tego Kittela, który nas straszy. Gdzie jest wypowiedź rzecznika ministerstwa cyfryzacji albo rzecznika prokuratury okręgowej? Nie widzę. Dlaczego tego nie ma. Bez spełnienia tego, podstawowego warunku, cały ten news jest tylko i wyłącznie elementem jakiegoś lobbingu,".

 No cóż, jak pracuje TVN24 - każdy widzi.  Nie mniej - Coryllus ma rację twierdząc, że w tej sprawie powina wypowiedzieć się minister Strężyńska i podać rzetelne informacje, a nie wykręcać się sianem, jak to uczynił rzecznik Prokuratury Okręgowej w portalu Niezalezna.pl.  Jeśli dane nie wyciekły poza kancelarie komornicze i są już zabezpieczone - to trzeba to jasno powiedzieć.  Jesli trafiły do osób niepowołanych to należy o tym poinformowac zagrożonych ludzi, oraz uczulić banki na zwiększoną możliwość oszustw.  Sprawy, która może dotyczyć milionów obywateli i tak nie da się zamieść pod dywan.