Fakty i opinie

stat

Dane uczestników loterii PIT w Gdańsku zagrożone

Nie wiemy dokładnie czy dostęp do pliku z danymi 18,5 tysiąca gdańszczan zyskał ktoś, kto może chcieć wykorzystać je w celach przestępczych. Nasz czytelnik udowodnił, że jest to możliwe.
Nie wiemy dokładnie czy dostęp do pliku z danymi 18,5 tysiąca gdańszczan zyskał ktoś, kto może chcieć wykorzystać je w celach przestępczych. Nasz czytelnik udowodnił, że jest to możliwe.

Dane ponad 18,5 tys. osób biorących udział w loterii PIT organizowanej przez Gdańsk, w tym imię, nazwisko, PESEL, numer telefonu i adres e-mail mogły zostać skradzione na skutek źle zabezpieczonego mechanizmu głosowania.



Kto gwarantuje większe bezpieczeństwo danych cyfrowych?

instytucje publiczne 5%
instytucje prywatne 14%
nikt nie może zagwarantować pełnego bezpieczeństwa danych 81%
zakończona Łącznie głosów: 2614
Błąd w konfiguracji strony pitwgdansku.pl zbierającej dane o uczestnikach loterii PIT-owej w Gdańsku wykrył w sobotę pan Bartosz, nasz czytelnik. Tego samego dnia, a właściwie w nocy z piątku na sobotę, skontaktował się z organizatorem loterii od strony technicznej - firmą PlayPrint Polska.

Zobacz także: Trójmiasto walczy o PIT-y

Maila, w którym poinformował organizatorów o możliwym zagrożeniu, wysłał także do naszej redakcji.

Wiem, że jest sobota i mail ten może zostać odczytany po weekendzie, jednak sprawa jest najwyższej wagi.

Strona pitwgdansku.pl umożliwia publiczny dostęp do danych 18 tysięcy ludzi, w tym mnie, jako że podałem swoje dane chwilę przed znalezieniem problemu...

Chodzi o plik /file.log znajdujący się w głównym katalogu. Nie podaję bezpośredniego linka, żeby przypadkiem nie zaindeksowały go roboty google. 

Samo usunięcie dostępu do pliku nie zabezpieczy w pełni loterii. Błędów w konfiguracji jest o wiele więcej i nie dotyczą tylko bezpieczeństwa. Podzielę się nimi z osobą odpowiedzialną za utrzymanie strony, jako że to zgłoszenie dotyczy tylko i wyłącznie danych osobowych.

Dodatkowo w związku z wagą wycieku, który zawiera także numery PESEL, potrzebne jest zgłoszenie w/w faktu do UODO.

Reasumując - proszę o niezwłoczne zablokowanie dostępu do pliku file.log oraz skontaktowanie mnie z osobą odpowiedzialną za techniczne utrzymanie serwisu w celu otrzymania dalszych, precyzyjnych informacji.

Gdańszczanie skuszeni możliwością wygrania hybrydowej toyoty chętnie brali udział w loterii.
Gdańszczanie skuszeni możliwością wygrania hybrydowej toyoty chętnie brali udział w loterii. fot. Grzegorz Mehring/gdansk.pl

Organizator poprawia zabezpieczenia strony



Za techniczną stronę przeprowadzenie loterii oraz administrowanie danymi jej uczestników odpowiada firma PlayPrint Polska. Zareagowała ona na zgłoszenie pana Bartosza jeszcze w sobotę. Stosunkowo szybko udało się poprawić wskazany przez niego błąd. W kolejnych dniach miały być wprowadzone dalsze prace nad lepszym zabezpieczeniem strony loterii.

Jednak dopiero we wtorek, przed godz. 16 urzędnicy oficjalnie poinformowali o włamaniu na stronę loterii.

- Ślady informatyczne popełnionego naruszenia zostały zabezpieczone. Zmieniona została konfiguracja strony internetowej, wprowadzono kolejny poziom zabezpieczeń - poinformował Wojciech Koczorowski z PlayPrint Polska. - Naruszenie, do którego doszło, dotyczy rejestracji przeprowadzonych do 27 kwietnia do godziny 3.00 rano.
Wskazana w oświadczeniu godzina dokonania ataku jest zbieżna z datą odkrycia błędu przez naszego czytelnika. Informację o swoim odkryciu wysłał on do organizatorów loterii o godz. 3:34 w nocy.

Trudno więc powiedzieć, czy sygnalizowane włamanie na stronę rzeczywiście miało miejsce. Być może na serwerach zostały jedynie ślady pana Bartosza, który błąd wykrył i o nim poinformował administratora danych.

Ważne dane łatwo dostępne



Pewne jest, że w sobotę w nocy na stronie loterii znajdowały się dane 18500 osób. Wśród nich tak wrażliwe jak imię i nazwisko, numer PESEL, numer telefonu, adres e-mail oraz miejsca złożenia deklaracji PIT za 2018 rok.

Jakie mogą być konsekwencje, jeśli rzeczywiście doszło do włamania?



Zarówno te stosunkowo błahe jak otrzymywanie spamu, zarówno mailowego, SMS-owego i telefonicznego, ale też znacznie poważniejsze, jak także próby podszycia się poprzez wykorzystanie imienia i nazwiska oraz numeru PESEL.

Osoby, które brały udział w loterii dostały już informację na temat włamania oraz o jego możliwych konsekwencjach. Wielu czytelników skontaktowało się z nami właśnie po otrzymaniu takiej informacji. Niektórzy jednak nawet kilka godzin po publikacji artykułu, takiej informacji nie dostali.

- Co mi po tym, że miasto ostrzega mnie przed konsekwencjami, jak moje najbardziej wrażliwe dane trafiły w niepowołane ręce? - denerwuje się pani Anita. - Do kogo mam się teraz zgłosić po odszkodowanie, jeśli na ich podstawie ktoś weźmie na moje dane pożyczkę lub kredyt?

Przestępstwo zgłoszone organom ścigania



Zgodnie z przepisami RODO PlayPrint Polska zgłosiła informację o popełnieniu cyberprzestępstwa do Urzędu Ochrony Danych Osobowych oraz do organów ścigania w związku z podejrzeniem popełnienia czynu zabronionego. Autorowi włamania grozi 2 lata pozbawienia wolności.

Więcej informacji można uzyskać pod adresem iod@pitwgdansku.pl.

Losowanie nagród się odbędzie



Loteria "Pit w Gdańsku" to akcja mająca zachęcić mieszkających i pracujących w mieście do opłacania swoich podatków właśnie tu. W zamian za to, miasto obiecało rozlosować wśród nich 1 samochód hybrydowy, 10 elektrycznych hulajnóg i 15 rowerów.

Organizator loterii, czyli miasto Gdańsk, postanowił iż loteria odbędzie się, a losowanie nagród będzie miało miejsce zgodnie z planem 9 maja 2019 roku.

- System informatyczny był zabezpieczony, dlatego jakakolwiek zmiana w pliku ze zgłoszeniami nie była możliwa. Wszystkie upoważnione osoby wezmą udział w losowaniu nagród - podkreśla Wojciech Koczorowski z PlayPrint Polska.