Fakty i opinie
  • Kino
  • Mapa
  • Ogłoszenia
  • Forum
  • Komunikacja
  • Raport
Wiadomości
Dodaj raport
Fakty i Opinie Wiadomości
Facebook E-mail Messenger WhatsApp Kopiuj link Więcej

Dane uczestników loterii PIT w Gdańsku zagrożone

Michał Stąporek
30 kwietnia 2019 (artykuł sprzed 5 lat) 
Opinie (482)
Najnowszy artykuł na ten temat Auta, rowery i smartfony do wygrania w loteriach PIT
Nie wiemy dokładnie czy dostęp do pliku z danymi 18,5 tysiąca gdańszczan zyskał ktoś, kto może chcieć wykorzystać je w celach przestępczych. Nasz czytelnik udowodnił, że jest to możliwe. Nie wiemy dokładnie czy dostęp do pliku z danymi 18,5 tysiąca gdańszczan zyskał ktoś, kto może chcieć wykorzystać je w celach przestępczych. Nasz czytelnik udowodnił, że jest to możliwe.

Nie wiemy dokładnie czy dostęp do pliku z danymi 18,5 tysiąca gdańszczan zyskał ktoś, kto może chcieć wykorzystać je w celach przestępczych. Nasz czytelnik udowodnił, że jest to możliwe.

Dane ponad 18,5 tys. osób biorących udział w loterii PIT organizowanej przez Gdańsk, w tym imię, nazwisko, PESEL, numer telefonu i adres e-mail mogły zostać skradzione na skutek źle zabezpieczonego mechanizmu głosowania.



Kto gwarantuje większe bezpieczeństwo danych cyfrowych?

Błąd w konfiguracji strony pitwgdansku.pl zbierającej dane o uczestnikach loterii PIT-owej w Gdańsku wykrył w sobotę pan Bartosz, nasz czytelnik. Tego samego dnia, a właściwie w nocy z piątku na sobotę, skontaktował się z organizatorem loterii od strony technicznej - firmą PlayPrint Polska.

Zobacz także: Trójmiasto walczy o PIT-y

Maila, w którym poinformował organizatorów o możliwym zagrożeniu, wysłał także do naszej redakcji.

Wiem, że jest sobota i mail ten może zostać odczytany po weekendzie, jednak sprawa jest najwyższej wagi.

Strona pitwgdansku.pl umożliwia publiczny dostęp do danych 18 tysięcy ludzi, w tym mnie, jako że podałem swoje dane chwilę przed znalezieniem problemu...

Chodzi o plik /file.log znajdujący się w głównym katalogu. Nie podaję bezpośredniego linka, żeby przypadkiem nie zaindeksowały go roboty google. 

Samo usunięcie dostępu do pliku nie zabezpieczy w pełni loterii. Błędów w konfiguracji jest o wiele więcej i nie dotyczą tylko bezpieczeństwa. Podzielę się nimi z osobą odpowiedzialną za utrzymanie strony, jako że to zgłoszenie dotyczy tylko i wyłącznie danych osobowych.

Dodatkowo w związku z wagą wycieku, który zawiera także numery PESEL, potrzebne jest zgłoszenie w/w faktu do UODO.

Reasumując - proszę o niezwłoczne zablokowanie dostępu do pliku file.log oraz skontaktowanie mnie z osobą odpowiedzialną za techniczne utrzymanie serwisu w celu otrzymania dalszych, precyzyjnych informacji.
Gdańszczanie skuszeni możliwością wygrania hybrydowej toyoty chętnie brali udział w loterii. Gdańszczanie skuszeni możliwością wygrania hybrydowej toyoty chętnie brali udział w loterii.

Gdańszczanie skuszeni możliwością wygrania hybrydowej toyoty chętnie brali udział w loterii.

fot. Grzegorz Mehring/gdansk.pl

Organizator poprawia zabezpieczenia strony



Za techniczną stronę przeprowadzenie loterii oraz administrowanie danymi jej uczestników odpowiada firma PlayPrint Polska. Zareagowała ona na zgłoszenie pana Bartosza jeszcze w sobotę. Stosunkowo szybko udało się poprawić wskazany przez niego błąd. W kolejnych dniach miały być wprowadzone dalsze prace nad lepszym zabezpieczeniem strony loterii.

Jednak dopiero we wtorek, przed godz. 16 urzędnicy oficjalnie poinformowali o włamaniu na stronę loterii.

- Ślady informatyczne popełnionego naruszenia zostały zabezpieczone. Zmieniona została konfiguracja strony internetowej, wprowadzono kolejny poziom zabezpieczeń - poinformował Wojciech Koczorowski z PlayPrint Polska. - Naruszenie, do którego doszło, dotyczy rejestracji przeprowadzonych do 27 kwietnia do godziny 3.00 rano.
Wskazana w oświadczeniu godzina dokonania ataku jest zbieżna z datą odkrycia błędu przez naszego czytelnika. Informację o swoim odkryciu wysłał on do organizatorów loterii o godz. 3:34 w nocy.

Trudno więc powiedzieć, czy sygnalizowane włamanie na stronę rzeczywiście miało miejsce. Być może na serwerach zostały jedynie ślady pana Bartosza, który błąd wykrył i o nim poinformował administratora danych.

Ważne dane łatwo dostępne



Pewne jest, że w sobotę w nocy na stronie loterii znajdowały się dane 18500 osób. Wśród nich tak wrażliwe jak imię i nazwisko, numer PESEL, numer telefonu, adres e-mail oraz miejsca złożenia deklaracji PIT za 2018 rok.

Jakie mogą być konsekwencje, jeśli rzeczywiście doszło do włamania?



Zarówno te stosunkowo błahe jak otrzymywanie spamu, zarówno mailowego, SMS-owego i telefonicznego, ale też znacznie poważniejsze, jak także próby podszycia się poprzez wykorzystanie imienia i nazwiska oraz numeru PESEL.

Osoby, które brały udział w loterii dostały już informację na temat włamania oraz o jego możliwych konsekwencjach. Wielu czytelników skontaktowało się z nami właśnie po otrzymaniu takiej informacji. Niektórzy jednak nawet kilka godzin po publikacji artykułu, takiej informacji nie dostali.

- Co mi po tym, że miasto ostrzega mnie przed konsekwencjami, jak moje najbardziej wrażliwe dane trafiły w niepowołane ręce? - denerwuje się pani Anita. - Do kogo mam się teraz zgłosić po odszkodowanie, jeśli na ich podstawie ktoś weźmie na moje dane pożyczkę lub kredyt?

Przestępstwo zgłoszone organom ścigania



Zgodnie z przepisami RODO PlayPrint Polska zgłosiła informację o popełnieniu cyberprzestępstwa do Urzędu Ochrony Danych Osobowych oraz do organów ścigania w związku z podejrzeniem popełnienia czynu zabronionego. Autorowi włamania grozi 2 lata pozbawienia wolności.

Więcej informacji można uzyskać pod adresem iod@pitwgdansku.pl.

Losowanie nagród się odbędzie



Loteria "Pit w Gdańsku" to akcja mająca zachęcić mieszkających i pracujących w mieście do opłacania swoich podatków właśnie tu. W zamian za to, miasto obiecało rozlosować wśród nich 1 samochód hybrydowy, 10 elektrycznych hulajnóg i 15 rowerów.

Organizator loterii, czyli miasto Gdańsk, postanowił iż loteria odbędzie się, a losowanie nagród będzie miało miejsce zgodnie z planem 9 maja 2019 roku.

- System informatyczny był zabezpieczony, dlatego jakakolwiek zmiana w pliku ze zgłoszeniami nie była możliwa. Wszystkie upoważnione osoby wezmą udział w losowaniu nagród - podkreśla Wojciech Koczorowski z PlayPrint Polska.
RAPORT: Wlasnie dostalem maila ze wyciekly ...
17:28 30 KWIETNIA 19
Facebook E-mail Messenger WhatsApp Kopiuj link Więcej

Uwaga! Wypłynęły nasze dane z konkursu Pit w Gdańsku! :( (27 opinii)

Na drogach
Administrator Danych Osobowych - Loteria PIT w Gdańsku

Szanowni Państwo

zgodnie z obowiązującymi przepisami z przykrością informujemy, że otrzymaliśmy zawiadomienie od osoby, która twierdzi, że weszła w posiadanie Państwa danych osobowych, poprzez uzyskanie dostępu do pliku technicznego loterii "PIT w Gdańsku. Się opłaca!".
Plik zawierał dane w postaci: imienia i nazwiska, numeru PESEL, numeru telefonu , adresu e-mail, miejsca złożenia deklaracji PIT.
Potencjalnie to zdarzenie może rodzić dla Państwa konsekwencje w postaci otrzymywania niechcianej korespondencji na adres e-mail, możliwość otrzymywania niechcianych sms-ów oraz telefonów, prób podszycia się poprzez wykorzystanie imienia i nazwiska, numeru PESEL - daty urodzenia.

Zastosowano niżej wskazane środki w celu zaradzenia naruszeniu ochrony danych osobowych w celu zminimalizowania jego ewentualnych negatywnych skutków.

Usunięto plik techniczny z danymi, ograniczano dostęp do plików na stronie, wprowadzono obowiązek formalnego weryfikowania konfiguracji i potwierdzania jej prawidłowości przez drugą osobę, wystąpiono z żądaniem nieodtwarzalnego wykasowania pliku z danymi osobowymi przez osobę, która weszła w jego posiadanie oraz wystąpiono do niej z prośbą o zachowanie poufności danych. Zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych oraz organy ścigania (Policję i Prokuraturę) w zakresie podejrzenia popełnienia przestępstwa w ww. zakresie.

Więcej informacji mogą Państwo i uzyskać na stronie www.pitwgdansku.pl/info.html , pod adresem e-mail iod@pitwgdansku.pl lub dzwoniąc na numer 566539877 ( w dniu 30 kwietnia czynny do godz 21:00 , od 06.05.2019 dostępny w dni robocze w godzinach 09:00 do 16:00)
Z poważaniem,
Administrator Danych Osobowych
Playprint Polska Sp. z o. o.
87-100 Toruń
ul. Stroma 5/1
e-mail: iod@pitwgdansku.pl
numer infolinii: 566539877 Zobacz więcej
Administrator Danych Osobowych - Loteria PIT w Gdańsku

Szanowni Państwo

zgodnie z obowiązującymi przepisami z przykrością informujemy, że otrzymaliśmy zawiadomienie od osoby, która twierdzi, że weszła w posiadanie Państwa danych osobowych, poprzez uzyskanie dostępu do pliku technicznego loterii "PIT w Gdańsku. Się opłaca!".
Plik zawierał dane w postaci: imienia i nazwiska, numeru PESEL, numeru telefonu , adresu e-mail, miejsca złożenia deklaracji PIT.
Potencjalnie to zdarzenie może rodzić dla Państwa konsekwencje w postaci otrzymywania niechcianej korespondencji na adres e-mail, możliwość otrzymywania niechcianych sms-ów oraz telefonów, prób podszycia się poprzez wykorzystanie imienia i nazwiska, numeru PESEL - daty urodzenia.

Zastosowano niżej wskazane środki w celu zaradzenia naruszeniu ochrony danych osobowych w celu zminimalizowania jego ewentualnych negatywnych skutków.

Usunięto plik techniczny z danymi, ograniczano dostęp do plików na stronie, wprowadzono obowiązek formalnego weryfikowania konfiguracji i potwierdzania jej prawidłowości przez drugą osobę, wystąpiono z żądaniem nieodtwarzalnego wykasowania pliku z danymi osobowymi przez osobę, która weszła w jego posiadanie oraz wystąpiono do niej z prośbą o zachowanie poufności danych. Zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych oraz organy ścigania (Policję i Prokuraturę) w zakresie podejrzenia popełnienia przestępstwa w ww. zakresie.

Więcej informacji mogą Państwo i uzyskać na stronie www.pitwgdansku.pl/info.html , pod adresem e-mail iod@pitwgdansku.pl lub dzwoniąc na numer 566539877 ( w dniu 30 kwietnia czynny do godz 21:00 , od 06.05.2019 dostępny w dni robocze w godzinach 09:00 do 16:00)
Z poważaniem,
Administrator Danych Osobowych
Playprint Polska Sp. z o. o.
87-100 Toruń
ul. Stroma 5/1
e-mail: iod@pitwgdansku.pl
numer infolinii: 566539877 Zobacz więcej
1 Zobacz zdjęcia
+ DODAJ RAPORT

Zobacz także

Loterie PIT w Trójmieście (15)

Opinie (482) ponad 20 zablokowanych

  • 2019-05-02 15:33

    rządowe instytucje informatycy do wymiany zadań strona państwowa nie funkcjonuje

    Pracują tam sami atrakcyjni informatycy po niewiadomo jakich studiach ale brak im mózgu wiadomo trzeba mieć wykształcenie ale też i lep Szary Kowalski po zawodowej mechanicznej ma więcej pojęcia

    informatyk Mechanik

    5 lat

    • 2 0

  • 2019-04-30 18:31

    Mała Sycylia w formie (6)

    5 lat

    • 160 58

    • 2019-04-30 18:55

      (4)

      Wszystko wyglada na ustawione, niska cena przetargu w zamian za dane osobowe tysięcy ludzi. Dziś nie pieniądz rządzi światem, a dane

      5 lat

      • 22 7

      • 2019-05-01 18:06

        (3)

        Tak, tak, ustawione. To ani pierwszy, ani największych wyciek danych, a pisklaki kręcą aferę, jak FOZZ. :D administratorem danych jest firma z Torunia, może tam należy szukać winnych? :D

        gdańszczanin

        5 lat

        • 2 1

        • 2019-05-02 02:20

          Wlasnie!A torun to pisowskie dzbany (2)

          5 lat

          • 1 2

          • 2019-05-02 08:33

            30 mld. rocznie vatu znikało za czasów PO-PSL (1)

            szok co za PO PSL sie działo

            Marek

            5 lat

            • 1 0

            • 2019-05-02 14:48

              Horałowe opowieści z komisji ds.Vat.

              Jak poseł Horała z PIS z faktury na 1 mln złotych wyliczył VAT na 230 mln złotych, to ja dziękuję za oficjalne wyliczenia dziury vatowskiej.

              5 lat

              • 0 1

    • 2019-05-02 07:07

      Bizancjum w formie

      za utrzymanie strony płacimy 4mln rocznie....w normalnym kraju ktoś by siedział za taki wał z budgetem na stronę www

      5 lat

      • 1 0

  • 2019-04-30 18:34

    Opinia wyróżniona

    (11)

    Jeśli zauważę jakiekolwiek nieuprawnione użycie moich danych to z chęcią dołączę się do pozwu zbiorowego. Wstyd, mamy 2019 rok a nie potrafią zaszyfrować plików.

    5 lat

    • 286 16

    • 2019-05-01 07:07

      M (3)

      Ja też

      M

      5 lat

      • 1 1

      • 2019-05-01 07:10

        Znowu przekręt w Gdańsku. Zmiana władzy nic nie dała! (2)

        Już na starcie. Spróbujcie zmienić pesele!

        Janusz

        5 lat

        • 5 5

        • 2019-05-02 14:40

          Grzegorz! Grzegorz!! On by to wszystko naprawił co??

          Pewnie by wybłagał Najświętszą Marię Pannę przed wyciekiem danych z bazy i stałby się cud :)

          5 lat

          • 2 1

        • 2019-05-01 07:28

          A kiedy się zmieniła?

          5 lat

          • 5 0

    • 2019-04-30 19:11

      To jestesmy razem przeciw bezprawiu gdanskich urzędników. (1)

      Reszta niech glosuje na zastepczynie.

      5 lat

      • 28 9

      • 2019-05-02 14:38

        Firma z Torunia. Urządnicy nie zabezpieczają danych firmy z Torunia. To firma z Torunia ma obowiązek zabezpieczyć dane.

        5 lat

        • 1 1

    • 2019-05-01 09:12

      za rok na 100% bedziesz pamiętał i udowodnisz ze to dane z tej loterii ?

      będziesz się woził po sądach i udowadniał że to nie ty, ale w tym patologicznym kraju masz spore szanse na spłatę tych kredytów.

      jarek

      5 lat

      • 6 1

    • 2019-05-01 01:09

      Moim zdaniem powinieneś zarządać kary śmierci! (2)

      Ludzie, kto Wam nawciskał do tych giertychowkich głów, że Wasze personalia (same personalia) mają jakąkolwiek większą wartość?

      5 lat

      • 2 18

      • 2019-05-01 02:37

        (1)

        Chyba dla ciebie. Za gwałt na ortografii języka polskiego. zażądać!

        5 lat

        • 7 0

        • 2019-05-01 07:28

          dla niej to impoderabilia ;)

          5 lat

          • 1 1

    • 2019-04-30 22:43

      Skandal

      Jestem za!

      WR

      5 lat

      • 9 0

  • 2019-05-02 14:39

    Ja uzyskałam informacje, że nawet aby wziąć chwilówkę trzeba mieć nr dowodu osobistego, tego nie było w danych, więc nie podawać nigdzie już innych danych, tyle możemy zrobić

    5 lat

    • 1 0

  • 2019-05-02 14:16

    Sycylia.........

    Marek

    5 lat

    • 1 0

  • 2019-05-02 10:09

    Przede wszystkim przestępstwa dopuścił się pan Bartosz (1)

    Bo to on bez wymaganych zgód uzyskał dostęp do danych osobowych i jak rozumiem pobrał (a więc przetworzył w sieci teleinformatycznej) ten plik który dane zawierał.
    Zapewne nie spełniwszy ani obowiązku informacyjnego, ani nie posiadawszy zgód wszystkich właścicieli danych osobowych co do ich przetwarzania.
    Motywacja którą się posługiwał (chęć pomocy w zabezpieczeniu) może być okolicznością łagodzącą, jednak raczej nie może w żaden sposób danego czynu anulować.
    Natomiast jeśli sąd da wiarę takiemu tłumaczeniu to być może od ukarania odstąpić .

    qazq

    5 lat

    • 1 8

    • 2019-05-02 14:14

      Krówka raczej?

      UN

      5 lat

      • 1 0

  • 2019-04-30 18:34

    Może do niektórych dotrze prawda (9)

    że kto słucha gdańskich urzędników ten sam sobie szkodzi a kto jeszce wierzy w to co mówia to szkodzi sobie podwójnie.
    Po erze budynizmu teraz jest postbudynizm różniący sie zasadniczo przedrostkiem "post"
    Dalej sprzedawajcie swoje dane do kilkudziesięciu różnych podmiotów kooperujących z UM.
    Karta mieszkańca, rower mevo, loteria PIT, budżet obywatelski i takie tam podobne - wszędzie oddzielnie i każdemu podajcie swoje dane zaznaczajac wszędzie haczyk "zgadzam się"

    5 lat

    • 123 54

    • 2019-05-02 13:20

      Troll !!!!hurto

      XXL

      5 lat

      • 0 1

    • 2019-05-01 21:08

      A OTUA siedzi i milczy. Przypadek?

      5 lat

      • 2 1

    • 2019-05-01 12:56

      eluwa

      Ale przecież nikt nie "zgadza się" na wyciek danych wiec bro wtf

      tfoja stara

      5 lat

      • 0 2

    • 2019-04-30 19:08

      genau / dokładnie (3)

      Ludzi myslących/ świadomych praw im nie potrzeba.

      5 lat

      • 9 6

      • 2019-04-30 20:15

        (2)

        i jeszcze minusuja glaby haha

        5 lat

        • 7 8

        • 2019-04-30 20:43

          (1)

          Synku, poproś mamusię, to wytłumaczy jak klikać polskie literki.

          Józek

          5 lat

          • 7 6

          • 2019-05-01 06:41

            Nic więcej nie umiesz napisac?

            Jak ja pisałem "polskie literki" to Ty nie wiedziałeś co to komputer. :)

            5 lat

            • 5 2

    • 2019-04-30 23:19

      Niezależne i wolne sądy już czekają by w trybie uproszczonym przyklepywać nakazy komornicze

      na spłaty róznych chwilówek i kredytów pobranych na te dane. A potem kop sie z koniem latami i udowadniaj że nie jesteś wielbłądem

      5 lat

      • 14 2

    • 2019-04-30 20:39

      Prawda. Dobry komentarz.

      5 lat

      • 6 4

  • 2019-05-02 12:46

    Patałachy...

    I to w kraju (a nawet mieście), gdzie bardzo dobrych specjalistów w tej dziedzinie jest na pęczki.
    Tylko że specjalista kosztuje, a potem płacz, bo brygada świeżaków z ostatniego roku studiów, zatrudnionych po taniości, nie ogarnia podstawowych rzeczy...

    programista

    5 lat

    • 4 0

  • 2019-05-02 08:33

    Troche Chore (1)

    Pan Bartosz sobie szpera po stronie wchodząc jak sam wcześniej przyznał przed wzięciem udziału to co pan Bartosz robił skoro nie jest serwisantem ani pracownikiem obsługi

    niezłe sobie

    5 lat

    • 0 6

    • 2019-05-02 12:03

      Bardzo zdrowe

      Bo zanim podał swoje dane chciał (i umiał) sprawdzić czy będą one odpowiednio zabezpieczone...

      5 lat

      • 1 0

  • 2019-05-02 10:39

    Niedawno w mojej firmie operator obrabiarki CNC "dogrzebał" się do list płac.

    Zamiast dać mu nagrodę, że wykrył brak zabezpieczeń to go zwolnili dyscyplinarnie.

    kolo

    5 lat

    • 1 2

1
2
3
4
5

alert Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.

Najnowsze

więcej wiadomości (15)

Najczęściej komentowane

KO chce w Gdyni dwóch wiceprezydentów

KO chce w Gdyni dwóch wiceprezydentów

Zakaz wstępu do lasów w Gdyni przez ASF

Zakaz wstępu do lasów w Gdyni przez ASF

więcej

Najczęściej czytane