- 1 Rezerwiści idą na ćwiczenia. Kto najpierw? (251 opinii)
- 2 Zabójca z Jagatowa przyznał się do winy (153 opinie)
- 3 Śmierć w stoczni: zabójstwo, a nie wypadek (278 opinii)
- 4 Nabrzeże Hanzy na Wyspie Spichrzów (149 opinii)
- 5 Odliczanie sekund na skrzyżowaniach. Za czy przeciw? (35 opinii)
- 6 15 mln dofinansowania na prace na Puckiej (53 opinie)
Dane uczestników loterii PIT w Gdańsku zagrożone
Dane ponad 18,5 tys. osób biorących udział w loterii PIT organizowanej przez Gdańsk, w tym imię, nazwisko, PESEL, numer telefonu i adres e-mail mogły zostać skradzione na skutek źle zabezpieczonego mechanizmu głosowania.
Zobacz także: Trójmiasto walczy o PIT-y
Maila, w którym poinformował organizatorów o możliwym zagrożeniu, wysłał także do naszej redakcji.
Wiem, że jest sobota i mail ten może zostać odczytany po weekendzie, jednak sprawa jest najwyższej wagi.
Strona pitwgdansku.pl umożliwia publiczny dostęp do danych 18 tysięcy ludzi, w tym mnie, jako że podałem swoje dane chwilę przed znalezieniem problemu...
Chodzi o plik /file.log znajdujący się w głównym katalogu. Nie podaję bezpośredniego linka, żeby przypadkiem nie zaindeksowały go roboty google.
Samo usunięcie dostępu do pliku nie zabezpieczy w pełni loterii. Błędów w konfiguracji jest o wiele więcej i nie dotyczą tylko bezpieczeństwa. Podzielę się nimi z osobą odpowiedzialną za utrzymanie strony, jako że to zgłoszenie dotyczy tylko i wyłącznie danych osobowych.
Dodatkowo w związku z wagą wycieku, który zawiera także numery PESEL, potrzebne jest zgłoszenie w/w faktu do UODO.
Reasumując - proszę o niezwłoczne zablokowanie dostępu do pliku file.log oraz skontaktowanie mnie z osobą odpowiedzialną za techniczne utrzymanie serwisu w celu otrzymania dalszych, precyzyjnych informacji.
Organizator poprawia zabezpieczenia strony
Za techniczną stronę przeprowadzenie loterii oraz administrowanie danymi jej uczestników odpowiada firma PlayPrint Polska. Zareagowała ona na zgłoszenie pana Bartosza jeszcze w sobotę. Stosunkowo szybko udało się poprawić wskazany przez niego błąd. W kolejnych dniach miały być wprowadzone dalsze prace nad lepszym zabezpieczeniem strony loterii.
Jednak dopiero we wtorek, przed godz. 16 urzędnicy oficjalnie poinformowali o włamaniu na stronę loterii.
- Ślady informatyczne popełnionego naruszenia zostały zabezpieczone. Zmieniona została konfiguracja strony internetowej, wprowadzono kolejny poziom zabezpieczeń - poinformował Wojciech Koczorowski z PlayPrint Polska. - Naruszenie, do którego doszło, dotyczy rejestracji przeprowadzonych do 27 kwietnia do godziny 3.00 rano.
Wskazana w oświadczeniu godzina dokonania ataku jest zbieżna z datą odkrycia błędu przez naszego czytelnika. Informację o swoim odkryciu wysłał on do organizatorów loterii o godz. 3:34 w nocy.
Trudno więc powiedzieć, czy sygnalizowane włamanie na stronę rzeczywiście miało miejsce. Być może na serwerach zostały jedynie ślady pana Bartosza, który błąd wykrył i o nim poinformował administratora danych.
Ważne dane łatwo dostępne
Pewne jest, że w sobotę w nocy na stronie loterii znajdowały się dane 18500 osób. Wśród nich tak wrażliwe jak imię i nazwisko, numer PESEL, numer telefonu, adres e-mail oraz miejsca złożenia deklaracji PIT za 2018 rok.
Jakie mogą być konsekwencje, jeśli rzeczywiście doszło do włamania?
Zarówno te stosunkowo błahe jak otrzymywanie spamu, zarówno mailowego, SMS-owego i telefonicznego, ale też znacznie poważniejsze, jak także próby podszycia się poprzez wykorzystanie imienia i nazwiska oraz numeru PESEL.
Osoby, które brały udział w loterii dostały już informację na temat włamania oraz o jego możliwych konsekwencjach. Wielu czytelników skontaktowało się z nami właśnie po otrzymaniu takiej informacji. Niektórzy jednak nawet kilka godzin po publikacji artykułu, takiej informacji nie dostali.
- Co mi po tym, że miasto ostrzega mnie przed konsekwencjami, jak moje najbardziej wrażliwe dane trafiły w niepowołane ręce? - denerwuje się pani Anita. - Do kogo mam się teraz zgłosić po odszkodowanie, jeśli na ich podstawie ktoś weźmie na moje dane pożyczkę lub kredyt?
Przestępstwo zgłoszone organom ścigania
Zgodnie z przepisami RODO PlayPrint Polska zgłosiła informację o popełnieniu cyberprzestępstwa do Urzędu Ochrony Danych Osobowych oraz do organów ścigania w związku z podejrzeniem popełnienia czynu zabronionego. Autorowi włamania grozi 2 lata pozbawienia wolności.
Więcej informacji można uzyskać pod adresem iod@pitwgdansku.pl.
Losowanie nagród się odbędzie
Loteria "Pit w Gdańsku" to akcja mająca zachęcić mieszkających i pracujących w mieście do opłacania swoich podatków właśnie tu. W zamian za to, miasto obiecało rozlosować wśród nich 1 samochód hybrydowy, 10 elektrycznych hulajnóg i 15 rowerów.
Organizator loterii, czyli miasto Gdańsk, postanowił iż loteria odbędzie się, a losowanie nagród będzie miało miejsce zgodnie z planem 9 maja 2019 roku.
- System informatyczny był zabezpieczony, dlatego jakakolwiek zmiana w pliku ze zgłoszeniami nie była możliwa. Wszystkie upoważnione osoby wezmą udział w losowaniu nagród - podkreśla Wojciech Koczorowski z PlayPrint Polska.
Uwaga! Wypłynęły nasze dane z konkursu Pit w Gdańsku! :( (27 opinii)
Szanowni Państwo
zgodnie z obowiązującymi przepisami z przykrością informujemy, że otrzymaliśmy zawiadomienie od osoby, która twierdzi, że weszła w posiadanie Państwa danych osobowych, poprzez uzyskanie dostępu do pliku technicznego loterii "PIT w Gdańsku. Się opłaca!".
Plik zawierał dane w postaci: imienia i nazwiska, numeru PESEL, numeru telefonu , adresu e-mail, miejsca złożenia deklaracji PIT.
Potencjalnie to zdarzenie może rodzić dla Państwa konsekwencje w postaci otrzymywania niechcianej korespondencji na adres e-mail, możliwość otrzymywania niechcianych sms-ów oraz telefonów, prób podszycia się poprzez wykorzystanie imienia i nazwiska, numeru PESEL - daty urodzenia.
Zastosowano niżej wskazane środki w celu zaradzenia naruszeniu ochrony danych osobowych w celu zminimalizowania jego ewentualnych negatywnych skutków.
Usunięto plik techniczny z danymi, ograniczano dostęp do plików na stronie, wprowadzono obowiązek formalnego weryfikowania konfiguracji i potwierdzania jej prawidłowości przez drugą osobę, wystąpiono z żądaniem nieodtwarzalnego wykasowania pliku z danymi osobowymi przez osobę, która weszła w jego posiadanie oraz wystąpiono do niej z prośbą o zachowanie poufności danych. Zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych oraz organy ścigania (Policję i Prokuraturę) w zakresie podejrzenia popełnienia przestępstwa w ww. zakresie.
Więcej informacji mogą Państwo i uzyskać na stronie www.pitwgdansku.pl/info.html , pod adresem e-mail iod@pitwgdansku.pl lub dzwoniąc na numer 566539877 ( w dniu 30 kwietnia czynny do godz 21:00 , od 06.05.2019 dostępny w dni robocze w godzinach 09:00 do 16:00)
Z poważaniem,
Administrator Danych Osobowych
Playprint Polska Sp. z o. o.
87-100 Toruń
ul. Stroma 5/1
e-mail: iod@pitwgdansku.pl
numer infolinii: 566539877 Zobacz więcej
Szanowni Państwo
zgodnie z obowiązującymi przepisami z przykrością informujemy, że otrzymaliśmy zawiadomienie od osoby, która twierdzi, że weszła w posiadanie Państwa danych osobowych, poprzez uzyskanie dostępu do pliku technicznego loterii "PIT w Gdańsku. Się opłaca!".
Plik zawierał dane w postaci: imienia i nazwiska, numeru PESEL, numeru telefonu , adresu e-mail, miejsca złożenia deklaracji PIT.
Potencjalnie to zdarzenie może rodzić dla Państwa konsekwencje w postaci otrzymywania niechcianej korespondencji na adres e-mail, możliwość otrzymywania niechcianych sms-ów oraz telefonów, prób podszycia się poprzez wykorzystanie imienia i nazwiska, numeru PESEL - daty urodzenia.
Zastosowano niżej wskazane środki w celu zaradzenia naruszeniu ochrony danych osobowych w celu zminimalizowania jego ewentualnych negatywnych skutków.
Usunięto plik techniczny z danymi, ograniczano dostęp do plików na stronie, wprowadzono obowiązek formalnego weryfikowania konfiguracji i potwierdzania jej prawidłowości przez drugą osobę, wystąpiono z żądaniem nieodtwarzalnego wykasowania pliku z danymi osobowymi przez osobę, która weszła w jego posiadanie oraz wystąpiono do niej z prośbą o zachowanie poufności danych. Zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych oraz organy ścigania (Policję i Prokuraturę) w zakresie podejrzenia popełnienia przestępstwa w ww. zakresie.
Więcej informacji mogą Państwo i uzyskać na stronie www.pitwgdansku.pl/info.html , pod adresem e-mail iod@pitwgdansku.pl lub dzwoniąc na numer 566539877 ( w dniu 30 kwietnia czynny do godz 21:00 , od 06.05.2019 dostępny w dni robocze w godzinach 09:00 do 16:00)
Z poważaniem,
Administrator Danych Osobowych
Playprint Polska Sp. z o. o.
87-100 Toruń
ul. Stroma 5/1
e-mail: iod@pitwgdansku.pl
numer infolinii: 566539877 Zobacz więcej
Opinie (482) ponad 20 zablokowanych
-
2019-04-30 18:34
Opinia wyróżniona
(11)
Jeśli zauważę jakiekolwiek nieuprawnione użycie moich danych to z chęcią dołączę się do pozwu zbiorowego. Wstyd, mamy 2019 rok a nie potrafią zaszyfrować plików.
- 286 16
-
2019-04-30 19:11
To jestesmy razem przeciw bezprawiu gdanskich urzędników. (1)
Reszta niech glosuje na zastepczynie.
- 28 9
-
2019-05-02 14:38
Firma z Torunia. Urządnicy nie zabezpieczają danych firmy z Torunia. To firma z Torunia ma obowiązek zabezpieczyć dane.
- 1 1
-
2019-04-30 22:43
Skandal
Jestem za!
- 9 0
-
2019-05-01 01:09
Moim zdaniem powinieneś zarządać kary śmierci! (2)
Ludzie, kto Wam nawciskał do tych giertychowkich głów, że Wasze personalia (same personalia) mają jakąkolwiek większą wartość?
- 2 18
-
2019-05-01 02:37
(1)
Chyba dla ciebie. Za gwałt na ortografii języka polskiego. zażądać!
- 7 0
-
2019-05-01 07:28
dla niej to impoderabilia ;)
- 1 1
-
2019-05-01 07:07
M (3)
Ja też
- 1 1
-
2019-05-01 07:10
Znowu przekręt w Gdańsku. Zmiana władzy nic nie dała! (2)
Już na starcie. Spróbujcie zmienić pesele!
- 5 5
-
2019-05-01 07:28
A kiedy się zmieniła?
- 5 0
-
2019-05-02 14:40
Grzegorz! Grzegorz!! On by to wszystko naprawił co??
Pewnie by wybłagał Najświętszą Marię Pannę przed wyciekiem danych z bazy i stałby się cud :)
- 2 1
-
2019-05-01 09:12
za rok na 100% bedziesz pamiętał i udowodnisz ze to dane z tej loterii ?
będziesz się woził po sądach i udowadniał że to nie ty, ale w tym patologicznym kraju masz spore szanse na spłatę tych kredytów.
- 6 1
-
2019-04-30 18:37
do roboty to rowerami a nie (2)
Tylko samochody i samochody by się wygrywało
- 8 7
-
2019-04-30 18:51
to elektryczny samochód
- 5 1
-
2019-04-30 21:53
No ale raczej nie Mevo.
- 0 1
-
2019-04-30 18:38
Dzięki (1)
Panie Bartku dziękuję za czujność.
- 64 2
-
2019-04-30 19:12
proszę
- 5 1
-
2019-04-30 18:39
dane były zaszyfrowane? Powinny bo nawet głupie hasła do sklepów online trzyma się dziś w haszach (1)
- 20 3
-
2019-05-01 07:10
hasz to nie szyfrowanie
- 2 0
-
2019-04-30 18:40
(1)
Nie wiemy dokładnie czy dostęp do pliku z danymi 18,5 tysiąca gdańszczan zyskał ktoś, kto może chcieć wykorzystać je w celach przestępczych.
a co w celu randkowych - dane maja swoja wartosc rynkowa- 31 2
-
2019-04-30 19:55
W celach randkowych pesel się przyda..;)
W ogole można się dowiedziec o wieku niektórych dam- 9 0
-
2019-04-30 18:44
(3)
Jestem w... wiony! Jak można było tak zaniedbać kwestie bezpieczeństwa naszych danych. A na stronie miasta zachowują się jakby nic się nie stało.
- 61 2
-
2019-04-30 19:13
Wybrałeś takich speców w urzedzie. Nie pierwszy raz. (1)
Pluj sobie jak to mowią w brodę.
- 6 7
-
2019-04-30 20:35
lepiej było wybrac pisowskich speców?
No bo kogo widziales na stolku prezydenta gdanska i kto mial byc zausznikiem? Kurski? czy inni?
- 5 3
-
2019-04-30 20:22
wlasnie kris tak wolales glosujcie tylko na nia to masz!
- 2 3
-
2019-04-30 18:45
Tego samego dnia, a właściwie w nocy z piątku na sobotę, skontaktował się z organizatorem loterii od strony technicznej - firmą PlayPrint Polska - oraz z administratorem miejskiego portalu Gdansk.pl.
i udało sie- 11 0
-
2019-04-30 18:46
(1)
chytry dwa razy traci :)
- 9 6
-
2019-04-30 19:14
oj tAM oj tam
- 1 1
-
2019-04-30 18:46
Janusze i Grażynki chciały wygrać samochód hehe (3)
A zamiast samochodu, ich dane wyciekły :D
- 21 32
-
2019-04-30 19:57
Miasto Gdańsk (1)
Jak profesjonalny wyłudzacz danych osobowych
- 3 0
-
2019-04-30 20:07
Malo sie pomyliłeś.
Nawet nie wiesz jak niewiele.
- 2 0
-
2019-05-01 20:50
O ile radości z czyjegoś nieszczęścia! Zachowanie typowego Janusza Kargulka".
- 6 0
-
2019-04-30 18:47
programisci za dychę (4)
że też takim ktoś płaci.
Zwykłe papraki!- 38 1
-
2019-04-30 19:14
bo normalni robia fizycznie.
Takie cuda tylko w Gdańsku.
- 2 3
-
2019-04-30 19:37
(2)
programiście trzeba zapłacić. ;) takie badziewia robią studenci za pól darmo.
- 6 0
-
2019-04-30 20:08
genau / dokładnie
- 1 0
-
2019-04-30 20:36
płaci się dobremu programiście
paprak to paprak, a studentów nie mieszaj - są o wiele lepsi niż samorodne domorosłe talenty zakładające pseudo firemki z pseudo usługami
- 2 1
Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.