Publikujemy list naszego czytelnika, który kilka tygodni temu wykrył lukę w systemie zabezpieczającym dane uczestników gdańskiej loterii PIT. Choć po jego zgłoszeniu poprawiono ustawienia bezpieczeństwa, dzięki czemu do wycieku danych nie doszło, to teraz on musi się tłumaczyć ze swojej działalności.
w każdym miejscu zupełnie innych, dodatkowo często je zmieniam
29%
używam różnych wariantów podobnego hasła, ale zmieniam np. cyfry
21%
róznie z tym bywa, niektóre hasła są stare, inne zmieniam częściej
25%
mam jedno hasło, którego używam w wielu miejscach
18%
nawet nie wiem, bo korzystam z opcji bycia ciągle zalogowanym
7%
Przypomnijmy:
30 kwietnia firma Playprint, organizator loterii PIT w Gdańsku, zgłosiła wyciek danych 18 tys. osób, które zarejestrowały się w loterii, dzięki której mogły wygrać m.in. samochód i rowery elektryczne.
Choć ta informacja wystraszyła wiele osób,
tak naprawdę nie doszło do hakerskiego ataku na stronę konkursu. To nasz czytelnik, który zawodowo zajmuje się bezpieczeństwem w sieci, dość przypadkowo odkrył dziurę w systemie. Choć natychmiast (w ciągu kilkunastu minut) poinformował o tym organizatora loterii, a następnie pomagał mu w naprawieniu błędu, to potraktowano go jak przestępcę.
Pani Iwona wylosowała Toyotę w loterii PIT w GdańskuOto jego relacja z tego wydarzenia:Piszę ten list, żeby sprostować kilka faktów odnośnie sprawy "wycieku danych osobowych z loterii PIT w Gdańsku", którą opisał portal Trojmiasto.pl kilka tygodni temu.
Tak jak wielu mieszkańców Gdańska, także i ja wypełniłem formularz zgłoszeniowy na stronie pitwgdansku.pl. Gdy doszedłem do prośby o podanie numeru PESEL, zapaliła mi się w głowie lampka ostrzegawcza. Czy aby na pewno moje dane są bezpieczne? Sprawdziłem, kto i gdzie utrzymuje powyższą stronę, sprawdziłem regulamin oraz certyfikat SSL strony w celu upewnienia się, czy komunikacja między moim komputerem a systemem dostawcy usług jest w pełni zabezpieczona. Nic nie wzbudziło moich podejrzeń, więc podałem wszystkie wymagane dane oraz kliknąłem przycisk "wyślij".
Pomimo tego, intuicja nie dawała mi spokoju. Przyjrzałem się dziwnej odpowiedzi serwera, następnie po nitce do kłębka doszedłem do tego oto adresu - pitwgdansku.pl/file.log [już nie działa - dop. red.].
Jakież było moje zdziwienie, gdy przeglądarka zaraportowała pobranie pliku o rozmiarze 55 MB. Pierwszy rzut oka na zawartość spowodował oszołomienie, a wręcz szok. Po minucie konsternacji zacząłem analizę - imiona, nazwiska, telefony, adresy e-mail jak i numery PESEL. Kilkanaście tysięcy rekordów dostępnych pod publicznie dostępnym linkiem bez żadnych zabezpieczeń! Na samym końcu także i moje dane.
Natychmiast podjąłem kroki, aby dane zostały należycie zabezpieczone, tj. zgłosiłem sprawę do administratora strony oraz ludzi odpowiedzialnych za prowadzenie portalu gdansk.pl [choć to nie oni odpowiadali za zabezpieczenie strony głosowana - dop. red.]. W ciągu mniej niż 48 godzin, przy mojej pełnej współpracy z firmą Playprint, organizatorem loterii, po wielu rozmowach telefonicznych lukę udało się załatać, a dane prawie 20 tys. mieszkańców Gdańska były od tej chwili bezpieczne.
Pozostało tylko poinformowanie pokrzywdzonych o wycieku, zwłaszcza że chodziło o szerszy zakres danych niż imię, nazwisko czy email.
Nastąpiło to 30 kwietnia, kiedy to wszyscy biorący udział w loterii (w tym również ja) otrzymali email zatytułowany "Zawiadomienie o naruszeniu ochrony danych osobowych - loteria PIT w Gdańsku".
Wówczas też, czyli po wysłaniu maila do uczestników loterii, co było jednoznaczne z powiadomieniem o sprawie Urzędu Ochrony Danych Osobowych, pozbyłem się wszelkich pozyskanych przypadkowo plików. Stało się to 30 kwietnia.
W mailu do uczestników loterii administrator danych osobowych w krótkich słowach opisał, co się stało oraz wyszczególnił podjęte kroki. Padło tam następujące zdanie: "Zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych oraz organy ścigania (Policję i Prokuraturę) w zakresie podejrzenia popełnienia przestępstwa w ww. zakresie."
Tutaj historia zaczyna mnie bardzo niepokoić. Kilka dni później otrzymałem informację, iż tego samego dnia, 30 kwietnia, późnym popołudniem mieszkanie moich rodziców zostało odwiedzone przez pięciu funkcjonariuszy policji. Jako że rodziny w domu nie było (weekend majowy), zaczęli rozpytywać o mnie sąsiadów, którzy to potem powiadomili o tym fakcie.
Nie wiem, co mam myśleć o tym zdarzeniu. Do tej pory nie otrzymałem żadnego zawiadomienia ani z policji, ani z prokuratury. Ani jednego telefonu.
Czyżby nagle z porządnego obywatela, który de facto zapobiegł wyciekowi danych, stałem się cyberprzestępcą?
To o tyle dziwne, że Kodeks Karny wprost mówi w art 269 c:
"Nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269 a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody."
Co Cię gryzie - artykuł czytelnika to rubryka
redagowana przez czytelników, zawierająca ich spostrzeżenia na
temat otaczającej nas trójmiejskiej rzeczywistości. Wbrew nazwie
nie wszystkie refleksje mają charakter narzekania. Jeśli coś cię
gryzie
opisz to
i zobacz co inni myślą o sprawie. A my z radością nagrodzimy najciekawsze teksty biletami do kina lub na inne imprezy odbywające się w Trójmieście.
Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii. 
