Na nieco ponad dobę przed zakończeniem głosowania w gdańskim Budżecie Obywatelskim udało nam się oddać głos w imieniu kilku osób, a nawet wejść do panelu głosowania, podając się za włodarzy Gdańska - w tym prezydent Aleksandrę Dulkiewicz. Sprawdziliśmy też, kiedy głosowali niektórzy wiceprezydenci i urzędnicy. Do tego wszystkiego wystarczyła nam jedynie znajomość łatwo dostępnych numerów PESEL.
AKTUALIZACJA, godz. 16:39
Miasto wysłało oświadczenie w sprawie poniższego artykułu. Z jego treścią można się zapoznać na końcu tekstu.
tak, kolejny już rok z rzędu
62%
tak, pierwszy raz w życiu
6%
nie, jeszcze to zrobię
8%
nie, nie zamierzam brać w tym udziału
24%
Aby wziąć udział w głosowaniu w gdańskim Budżecie Obywatelskim, niezbędne jest podanie następujących danych:
- numer PESEL,
- imię oraz nazwisko,
- dzielnica zamieszkania,
- adres e-mail lub numer telefonu,
- oraz zaakceptowanie zgody na przetwarzanie danych.
Okazuje się jednak, że w praktyce wystarczy dowolny numer PESEL osoby zameldowanej na stałe w Gdańsku, aby móc oddać za nią głos. W wielu przypadkach legalne zdobycie takiego numeru zajmuje zaledwie kilka sekund. To otwiera furtkę do manipulacji na szeroką skalę.
Niemal zerowa weryfikacja wprowadzanych danych
System informatyczny nie weryfikuje w żaden sposób powiązania numeru PESEL z faktycznym jego posiadaczem. Możemy zatem wprowadzić numer PESEL osoby płci żeńskiej, zaś jako imię i nazwisko wpisać całkowicie wymyślone dane mężczyzny. Dowolnie wpisana fraza jest również akceptowana przez system.
Dzielnica zamieszkania także nie jest weryfikowana na żadnym poziomie głosowania. Udało nam się zagłosować (za wiedzą właściciela numeru PESEL) w imieniu mieszkańca Wrzeszcza Górnego, którego w formularzu przypisaliśmy do VII Dworu. Podobnej operacji dokonaliśmy także w przypadku nieletniej osoby z Wrzeszcza Górnego, którą ze zmienionym imieniem i nazwiskiem "przemeldowaliśmy" na Kokoszki.
Teoretycznie weryfikacja odbywa się poprzez adres e-mail lub numer telefonu. To jednak złudne:
system pozwala na wielokrotne głosowanie z tego samego numeru telefonu, jak i adresu e-mail. Można także na poczekaniu założyć dowolny adres e-mail, czy to z imieniem i nazwiskiem, czy zupełnie przypadkowy typu "Kasia123" - system w żaden sposób nie powiąże go z wykorzystanym PESEL-em.
Numery PESEL na wyciągnięcie ręki
Nasuwa się jednak pytanie: skąd wziąć numery PESEL gdańszczan? Wbrew pozorom to dziecinnie proste. Z pomocą przychodzi internetowy Krajowy Rejestr Sądowy, który zawiera dane o wszystkich osobach związanych z organizacjami pozarządowymi lub angażujących się w działalność gospodarczą.
W ciągu kilkunastu minut ustaliliśmy powszechnie dostępne numery PESEL:
- prezydent miasta Gdańska, Aleksandry Dulkiewicz (jest prezesem Stowarzyszenia Obszaru Metropolitalnego Gdańsk-Gdynia-Sopot),
- zastępcy prezydenta miasta Gdańska, Piotra Grzelaka (prezes zarządu Stowarzyszenia Wszystko Dla Gdańska),
- zastępcy prezydenta miasta Gdańska, Piotra Borawskiego (członek zarządu Stowarzyszenia Gmin Rzeczypospolitej Polskiej Euroregion Bałtyk),
- zastępcy prezydenta miasta Gdańska, Alana Aleksandrowicza (członek organu nadzoru spółki Gdańskie Autobusy i Tramwaje),
- prezesa spółki Gdańskie Autobusy i Tramwaje, Macieja Lisickiego,
- prezesa Międzynarodowych Targów Gdańskich, Andrzeja Bojanowskiego,
- dyrektora Zarządu Transportu Miejskiego, Sebastiana Zomkowskiego (na podstawie archiwalnych wpisów dla jednego ze stowarzyszeń komunikacji miejskiej).
Dzięki temu sprawdziliśmy, czy i kiedy poszczególne osoby oddawały głosy (stan na niedzielę, 22 września):
- Aleksandra Dulkiewicz - nie głosowała,
- Piotr Grzelak - nie głosował,
- Piotr Borawski - głosował 10 września o godz. 11:59:43 z numeru IP przypisanego do sieci Urzędu Miejskiego,
- Alan Aleksandrowicz - nie głosował,
- Maciej Lisicki - nie głosował,
- Andrzej Bojanowski - głosował 16 września o godz. 7:02:50 z numeru IP przypisanego do sieci komórkowej T-Mobile,
- Sebastian Zomkowski - głosował 18 września o godz. 7:04:21 z numeru IP przypisanego do sieci internetowej UPC.
Skontaktowaliśmy się z wiceprezydentem Piotrem Borawskim i dyrektorem ZTM Sebastianem Zomkowskim. Potwierdzili, że głosowali już w BO, ustalone przez nas terminy głosowania uznali za "możliwe".
Uzyskane w KRS dane dotyczą jednak tylko części osób. Bardzo łatwo można wejść w posiadanie numerów PESEL osób nieangażujących się w działalność publiczną. Autorzy projektów zgłaszanych do BO w poprzednich edycjach musieli zebrać PESEL-e osób popierających ich propozycje. Luka w systemie zabezpieczeń pozwala więc na ich wykorzystanie.
Numery PESEL są także w posiadaniu m.in. placówek oświatowych, przychodni zdrowia, firm telekomunikacyjnych czy urzędów różnego szczebla.
Swój numer PESEL ujawniamy, podpisując listy poparcia dla kandydatów na posłów lub senatorów w każdych wyborach.
Kilka miesięcy temu pisaliśmy o możliwym wycieku danych (w tym imię, nazwisko, PESEL) ponad 18,5 tys. gdańszczan biorących udział w loterii PIT, a nieco wcześniej jeden z polskich sklepów internetowych odnotował wyciek 2 mln 200 tys. klientów, w tym 35 tys. z numerami PESEL. Można śmiało przypuszczać, że w tej puli jest także kilka tysięcy gdańszczan.
Warto zauważyć, że dysponując PESEL-ami raptem 200 osób, można oddać 1 tys. głosów na projekty dzielnicowe, gdyż każdej osobie przysługuje pięć głosów na takie propozycje.
Głosy w imieniu prezydent miasta na zwierzęta
W ramach testu postanowiliśmy zagłosować w imieniu prezydent Aleksandry Dulkiewicz. Jej głosy przekazaliśmy na dwa dzielnicowe projekty dotyczące kotów (na Przeróbce i w Nowym Porcie) oraz wspomogliśmy schronisko miejskie, w ramach projektu ogólnomiejskiego. Ku naszemu zaskoczeniu głosowanie zostało zakończone poprawnie.
Zastrzeżenie: zakładamy, że ujawnienie tej informacji pozwoli administratorom systemu usunąć oddany przez nas głos, by pani prezydent mogła zagłosować na rzeczywiście wybrane przez siebie projekty.
Głosowanie na prawdziwe i zmyślone dane
Ponieważ uznaliśmy, że dane osobowe włodarzy Gdańska z pewnością będą podlegały wzmożonej kontroli, postanowiliśmy wykorzystać dane osób niezwiązanych z Urzędem Miejskim.
Przy współpracy ze stowarzyszeniem Rowerowa Metropolia, którego członkowie ujawnili nieprawidłowości w głosowaniu na Budżet Obywatelski w 2017 r., sprawdziliśmy, czy jego liderzy już zagłosowali w tym roku. Numery PESEL
Michała Błauta oraz
Rogera Jackowskiego pozyskaliśmy z ogólnodostępnych rejestrów. Przez stronę internetową BO w Gdańsku otrzymaliśmy informacje o terminach oddania głosów oraz numerach IP.
Michał Błaut oraz Roger Jackowski potwierdzili, że uzyskane informacje są prawidłowe.
O weryfikację poprosiliśmy także członków stowarzyszenia Forum Rozwoju Aglomeracji Gdańskiej. Zastosowaliśmy identyczny scenariusz testów - pozyskanie numerów PESEL z ogólnodostępnych rejestrów, a następnie odpytywanie strony BO, czy dana osoba oddała już głos.
Po kilku minutach ustaliliśmy, że głosy nie zostały oddane przez prezesa i troje wiceprezesów stowarzyszenia. Informując ich o całej akcji i za pełną ich zgodą, dokonaliśmy głosowania w imieniu:
- Karola Spieglanina (prezesa FRAG), którego przemianowaliśmy na "Stanisława Anioła" (z zachowaniem prawidłowego numeru PESEL),
- Pawła Mrozka (wiceprezesa FRAG) z prawdziwym imieniem i nazwiskiem,
- Jarosława Paczosa (wiceprezesa FRAG) przemianowanego na "Jan Winnicki",
- Marty Gibczyńskiej (wiceprezes FRAG) z prawdziwym imieniem i nazwiskiem.
Wszystkie oddane głosy zostały zatwierdzone przez system, choć głosowania dokonaliśmy z użyciem tylko jednego, wspólnego dla wszystkich adresu e-mail, jednego komputera oraz bez zmiany numerów IP.
Prawdziwi oszuści nie chwalą się oszustwem
Podane przez nas błędne imiona i nazwiska są oczywiście łatwe do weryfikacji przez urzędników, a - co za tym idzie - można je wymazać z systemu i umożliwić "poszkodowanym" ponowne oddanie głosu. Służyły one jedynie sprawdzeniu, czy system przyjmie dowolnie opisane głosy.
Osoba, która z premedytacją będzie dążyła do oszustwa, nie będzie jednak wprowadzała fikcyjnych danych, mając do dyspozycji numery PESEL z pełnym imieniem (imionami) i nazwiskiem jego posiadacza. Nie będzie też chwaliła się luką w systemie, którą opisujemy i która z pewnością wymusi na urzędnikach dokładne sprawdzenie oddanych głosów.
Potrzebne są gruntowne zmiany systemu informatycznego
- Jestem zaskoczony tym, jak łatwo można sprefabrykować głosowanie w Budżecie Obywatelskim. Przecież w ten sposób można całkowicie odwrócić wyniki głosowania, wykorzystując dane osobowe niczego nieświadomych mieszkańców - komentuje Karol Spieglanin, prezes FRAG.- W 2017 r. udowodniliśmy, że z systemu zginęło ok. 30 tys. głosów. Teraz bez większego wysiłku można oddać dodatkowe 30 tys. głosów na dowolny projekt - mówi Michał Błaut z Rowerowej Metropolii.- Niestety znowu zabrakło szczelnej weryfikacji oddawanych głosów. A przecież wystarczyło dodać pytania o imię matki i ojca (rzadko podawane w przypadku udostępniania swojego PESEL-u na zewnątrz). Wierzyć się nie chce, że po tylu edycjach BO nadal mamy do czynienia z rozwiązaniem informatycznym, które jest podatne na najprostsze manipulacje. Mam obawy, że - podobne jak przy zgubieniu głosów w 2017 r. - tak i teraz sprawa zostanie rozmyta, a osoby decydujące o zasadach głosowania nie poniosą odpowiedzialności pomimo popełnienia szkolnego błędu - dodaje Roger Jackowski z Rowerowej Metropolii.Warto zaznaczyć, że głosowanie w Budżetach Obywatelskich Gdyni i Sopotu opiera się o identyczny system informatyczny co w Gdańsku. W Gdyni dodatkowym zabezpieczeniem w głosowaniu była konieczność podania imienia jednego z rodziców.Głosy w Budżecie Obywatelskim można oddawać w poniedziałek (23 września) do godz. 23:59 przez
stronę internetową. Do wyboru jest 331 projektów, z czego 28 to projekty ogólnomiejskie, reszta - dzielnicowe. Głosować mogą wszyscy mieszkańcy Gdańska, nie tylko pełnoletni, także dzieci i młodzież.
Oficjalnie ogłoszenie wyników nastąpi przypuszczalnie nie później niż do końca września.
Oświadczenie Daniela Stenzela, rzecznika prasowego prezydent Aleksandry Dulkiewicz:
Dzisiejsze doniesienia portalu trójmiasto.pl: "Nieszczelność w głosowaniu na projekty Budżetu Obywatelskiego w Gdańsku", uważam za niezgodne z prawem i dobrymi obyczajami. Podważają one zaufanie mieszkańców Gdańska do głosowania na projekty Budżetu Obywatelskiego i godzą w dobre imię prezydent miasta Aleksandry Dulkiewicz. Są także sprzeczne z zasadami rzetelnej pracy dziennikarskiej.
Budżet Obywatelski jest jedną z najbardziej demokratycznych form decydowania o wydatkowaniu publicznych środków. To dzięki BO, w naszym mieście powstało wiele cennych inicjatyw. Samo głosowanie nie ma charakteru aktu wyborczego, poddanego szczególnemu reżimowi prawnemu. Dlatego każdy z samorządów, w których odbywa się głosowanie, może ustalić jego własne zasady. W tym roku, przy pracy nad systemem głosowania zapadła decyzja o maksymalnym ograniczeniu danych osobowych. Sam numer PESEL wystarczy nam, jako organizatorom BO, do weryfikacji uprawnień. Dodatkowo każda mieszkanka i mieszkaniec, potwierdza wprowadzone przez siebie dane poprzez kliknięcie "Oświadczenia o potwierdzeniu prawdziwości złożonych danych".
Jeżeli ktoś będzie chciał działać w złej wierze, to niezależnie od przyjętych zasad weryfikowania głosowania - może próbować pozyskać pozostałe dane. Z kolei, powoływanie się przez dziennikarza trójmiasto.pl na dane będące w bazie sądowej KRS nie oznacza, że te dane może w sposób nieuprawniony wykorzystać. Zabrania tego prawo - w art. 267 par. 3 Kodeksu Karnego. Ponadto numer PESEL jako dana osobowa jest chroniona także przepisami rozporządzenia Parlamentu Europejskiego i Rady UE z 27 kwietnia 2016 r. (tzw. RODO), oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
Oddanie głosu w imieniu prezydent miasta nie świadczy o luce systemu, a o działaniu niezgodnym z prawem. Czym innym jest bowiem, wskazywanie na niedoskonałości systemu informatycznego Budżetu Obywatelskiego, a czym innym nielegalne podszycie się pod Aleksandrę Dulkiewicz i oddanie głosu w jej imieniu.
Sugestia autora tekstu, że możemy usunąć oddany głos w imieniu prezydent miasta, oznacza również sugerowanie nam ręcznego sterowania wynikami głosowania. Jest to podważenie elementarnych zasad zaufania do całej procedury głosowania BO. Informuję, że nie będziemy kasowali głosu, ani prezydent, ani żadnej innej osoby, w imieniu której autor tekstu oddał głos. W związku z czym, zgłosimy do prokuratury zawiadomienie o możliwości popełnienia przestępstwa polegającego na nieuprawnionym wykorzystaniu danych osobowych prezydent A. Dulkiewicz i jej współpracowników. Podobnie zawiadomiony zostanie Prezes Urzędu Ochrony Danych Osobowych.
Zwracam uwagę, iż osoba przygotowująca materiał nie zwróciła się do nas w celu uzyskania komentarza do prezentowanych w tekście tez. Co poddaje w wątpliwość rzetelność artykułu. Takie działanie jest niezgodne ze standardami pracy dziennikarskiej, zapisanymi w ustawie o Prawie Prasowym i najzwyczajniej w świecie pozbawia czytelników pełnej i rzetelnej wiedzy w poruszanej sprawie.
Wszelkie sygnały o ewentualnych problemach przy głosowaniu powinny być zgłaszane na adres: budzetobywatelski@gdansk.gda.pl Głosowanie w Budżecie Obywatelskim trwa nadal. Zachęcam do wspierania projektów, co można zrobić jeszcze dzisiaj, do godz. 23.59.
Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii. 
