- 1 Zakaz wstępu do lasów w Gdyni przez ASF (393 opinie)
- 2 "Ławka wstydu" zniknęła i nie ma wstydu (48 opinii)
- 3 Za rok pojedziemy Obw. Metropolitalną (272 opinie)
- 4 Nadal szukają nurka przy Westerplatte (125 opinii)
- 5 4- i 7-latek opuścili mamę. Pojechali do parku (110 opinii)
- 6 KO chce w Gdyni dwóch wiceprezydentów (323 opinie)
Pomógł chronić dane, a pyta o niego policja
Publikujemy list naszego czytelnika, który kilka tygodni temu wykrył lukę w systemie zabezpieczającym dane uczestników gdańskiej loterii PIT. Choć po jego zgłoszeniu poprawiono ustawienia bezpieczeństwa, dzięki czemu do wycieku danych nie doszło, to teraz on musi się tłumaczyć ze swojej działalności.
Choć ta informacja wystraszyła wiele osób, tak naprawdę nie doszło do hakerskiego ataku na stronę konkursu. To nasz czytelnik, który zawodowo zajmuje się bezpieczeństwem w sieci, dość przypadkowo odkrył dziurę w systemie. Choć natychmiast (w ciągu kilkunastu minut) poinformował o tym organizatora loterii, a następnie pomagał mu w naprawieniu błędu, to potraktowano go jak przestępcę.
Pani Iwona wylosowała Toyotę w loterii PIT w Gdańsku
Oto jego relacja z tego wydarzenia:
Piszę ten list, żeby sprostować kilka faktów odnośnie sprawy "wycieku danych osobowych z loterii PIT w Gdańsku", którą opisał portal Trojmiasto.pl kilka tygodni temu.
Tak jak wielu mieszkańców Gdańska, także i ja wypełniłem formularz zgłoszeniowy na stronie pitwgdansku.pl. Gdy doszedłem do prośby o podanie numeru PESEL, zapaliła mi się w głowie lampka ostrzegawcza. Czy aby na pewno moje dane są bezpieczne? Sprawdziłem, kto i gdzie utrzymuje powyższą stronę, sprawdziłem regulamin oraz certyfikat SSL strony w celu upewnienia się, czy komunikacja między moim komputerem a systemem dostawcy usług jest w pełni zabezpieczona. Nic nie wzbudziło moich podejrzeń, więc podałem wszystkie wymagane dane oraz kliknąłem przycisk "wyślij".
Pomimo tego, intuicja nie dawała mi spokoju. Przyjrzałem się dziwnej odpowiedzi serwera, następnie po nitce do kłębka doszedłem do tego oto adresu - pitwgdansku.pl/file.log [już nie działa - dop. red.].
Jakież było moje zdziwienie, gdy przeglądarka zaraportowała pobranie pliku o rozmiarze 55 MB. Pierwszy rzut oka na zawartość spowodował oszołomienie, a wręcz szok. Po minucie konsternacji zacząłem analizę - imiona, nazwiska, telefony, adresy e-mail jak i numery PESEL. Kilkanaście tysięcy rekordów dostępnych pod publicznie dostępnym linkiem bez żadnych zabezpieczeń! Na samym końcu także i moje dane.
Natychmiast podjąłem kroki, aby dane zostały należycie zabezpieczone, tj. zgłosiłem sprawę do administratora strony oraz ludzi odpowiedzialnych za prowadzenie portalu gdansk.pl [choć to nie oni odpowiadali za zabezpieczenie strony głosowana - dop. red.]. W ciągu mniej niż 48 godzin, przy mojej pełnej współpracy z firmą Playprint, organizatorem loterii, po wielu rozmowach telefonicznych lukę udało się załatać, a dane prawie 20 tys. mieszkańców Gdańska były od tej chwili bezpieczne.
Pozostało tylko poinformowanie pokrzywdzonych o wycieku, zwłaszcza że chodziło o szerszy zakres danych niż imię, nazwisko czy email.
Nastąpiło to 30 kwietnia, kiedy to wszyscy biorący udział w loterii (w tym również ja) otrzymali email zatytułowany "Zawiadomienie o naruszeniu ochrony danych osobowych - loteria PIT w Gdańsku".
Wówczas też, czyli po wysłaniu maila do uczestników loterii, co było jednoznaczne z powiadomieniem o sprawie Urzędu Ochrony Danych Osobowych, pozbyłem się wszelkich pozyskanych przypadkowo plików. Stało się to 30 kwietnia.
W mailu do uczestników loterii administrator danych osobowych w krótkich słowach opisał, co się stało oraz wyszczególnił podjęte kroki. Padło tam następujące zdanie: "Zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych oraz organy ścigania (Policję i Prokuraturę) w zakresie podejrzenia popełnienia przestępstwa w ww. zakresie."
Tutaj historia zaczyna mnie bardzo niepokoić. Kilka dni później otrzymałem informację, iż tego samego dnia, 30 kwietnia, późnym popołudniem mieszkanie moich rodziców zostało odwiedzone przez pięciu funkcjonariuszy policji. Jako że rodziny w domu nie było (weekend majowy), zaczęli rozpytywać o mnie sąsiadów, którzy to potem powiadomili o tym fakcie.
Nie wiem, co mam myśleć o tym zdarzeniu. Do tej pory nie otrzymałem żadnego zawiadomienia ani z policji, ani z prokuratury. Ani jednego telefonu.
Czyżby nagle z porządnego obywatela, który de facto zapobiegł wyciekowi danych, stałem się cyberprzestępcą?
To o tyle dziwne, że Kodeks Karny wprost mówi w art 269 c:
"Nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269 a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody."
Co Cię gryzie - artykuł czytelnika to rubryka redagowana przez czytelników, zawierająca ich spostrzeżenia na temat otaczającej nas trójmiejskiej rzeczywistości. Wbrew nazwie nie wszystkie refleksje mają charakter narzekania. Jeśli coś cię gryzie opisz to i zobacz co inni myślą o sprawie. A my z radością nagrodzimy najciekawsze teksty biletami do kina lub na inne imprezy odbywające się w Trójmieście.
Opinie (247) 10 zablokowanych
-
2019-05-22 08:35
Opinia wyróżniona
Ogarnij sie chłopie (17)
Jesteś w sprawie głównym świedkiem. Jeżeli sprawa (z jakiegokolwiek paragrafu) trafi do sądu, też będziesz musił tam latać. To niestety konieczna cząść bycia dobrym obywatelem
- 111 38
-
2019-05-23 10:54
Co to znaczy dobry obywatel?
Dobry obywatel, to stłamszony obywatel?
- 0 0
-
2019-05-22 14:56
No jest
I dlatego pięciu przyjechało do domu rodziców. Do,świadków wysyła się wezwania, a nie policjantów..
- 4 0
-
2019-05-22 12:23
Abc
To niech przyjdzie list z zawiadomieniem a nie policjanci wypytujący sąsiadów. Oczywiście obok listu z podziękowaniem za wzorową postawę obywatelską. Tak optymalnie traktuje się "dobrych obywateli".
- 9 0
-
2019-05-22 11:20
zasada zawsze jest taka sam - wiesz cos to sie nie przyznawaj
NIGDY! Trzeba byc skonczonym głupcem by zaufac innym, ze odbiorą Cie jak wybawcę. Co Cie podkusilo, zeby sie układac z jełopami, którzy ta baze zabezpieczali? Chciales byc sławny ? To masz, zrobia z Ciebie Mitnicka i do konca zycia beda patrzec Ci na ręce. Dla nich jestes przestępca a nie przypadkowym testerem zabezpieczen.
- 3 4
-
2019-05-22 10:43
kto w mieście poniósł konsekwencje tego dziadostwa?
nikt?
- 5 0
-
2019-05-22 09:10
(11)
Od kiedy to świadka odwiedza się w domu (pewnie jeszcze o 6 rano) i rozpytuje sąsiadów? To są metody poszukiwania co najmniej podejrzanych, jak nie przestępców.
- 49 7
-
2019-05-22 09:37
Naucz się czytać ze zrozumieniem: (5)
"iż tego samego dnia, 30 kwietnia, późnym popołudniem mieszkanie moich rodziców zostało odwiedzone przez pięciu funkcjonariuszy policji"
- 13 1
-
2019-05-22 10:22
(4)
A skąd on może wiedzieć, o której przyszli policjanci, skoro nikogo w mieszkaniu nie było? Późnym popołudniem to rozpytywali sąsiadów, co nie jest jednoznaczne z tym, że o tej godzinie przyszli pierwszy raz do mieszkania.
- 4 11
-
2019-05-22 15:24
Przeczytaj jeszcze raz uważnie co gościu napisał i postaraj się zrozumieć.
"późnym popołudniem mieszkanie moich rodziców zostało odwiedzone przez pięciu funkcjonariuszy policji".
Uwielbiam domysły wszystkowiedzących na tym portalu.- 2 0
-
2019-05-22 11:53
Skąd może to wiedzieć? Kamera, powiadomienie z dzwonka elektronicznego, informacja od sąsiadów
oj, kulsony, jeszcze dużo się musicie nauczyć
- 6 0
-
2019-05-22 10:30
Typowo polskie (1)
Drążysz po stronie gościa, który zrobił dobry uczynek.
Antoni nie idź tą drogą!- 13 0
-
2019-05-22 10:54
To chyba nie do mnie odpowiedź? Przecież piszę, że to metody stalinowskie, aby "świadka" odwiedzać o 6 rano.
- 2 1
-
2019-05-22 09:20
Piqś pewnie starej daty, (4)
a to już nie czasy milicji...
- 2 8
-
2019-05-22 09:22
(3)
Pewnie z ofertą pracy przyszli.
- 11 1
-
2019-05-22 09:41
(2)
Może przyszli zabezpieczyć materiał dowodowy na polecenie prokuratury? Art. 267 KK.
Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.- 4 1
-
2019-05-22 10:53
(1)
W takim razie prokurator to zwolnienia, bo co tu zabezpieczać, skoro gość podał wszystko na tacy?
- 5 1
-
2019-05-22 11:24
nie powiedział tego ... skąd to wiedział ... i kto za nim stoi :)))
- 5 1
-
2019-05-22 08:53
Opinia wyróżniona
Tu właśnie wychodzi nasze zacofanie... (10)
1. Gość przezorny, dba o swoje bezpieczeństwo, a co ważne i innych
2. Zna działanie komunikacji client-server, wiedział które request posprawdzać
3. Nie poleciał do TVN'u TVP, czy innych mass mediów, nie pozwolil, załatwił sprawe "po cichu" tak, aby nikt się nie zorientował o wycieku
Gość powinien dostać podziękowanie od1. Gość przezorny, dba o swoje bezpieczeństwo, a co ważne i innych
2. Zna działanie komunikacji client-server, wiedział które request posprawdzać
3. Nie poleciał do TVN'u TVP, czy innych mass mediów, nie pozwolil, załatwił sprawe "po cichu" tak, aby nikt się nie zorientował o wycieku
Gość powinien dostać podziękowanie od Prezydenta Gdańska, za ochronie mieszkańców oraz jakiś etat w dziale IT.
Co dostaje? Problemy, latanie po sądach czy odwiedziny policji u rodzców (pewnie starszej daty, nie wiedzą nawet jaką sprawe chodzi, gdy im mówili) dla zwykłego człowieka nie jest niczym przyjemnym.
A to wszystko w czasach RODO i innych mechanizmów zabezpieczających.
Osatnio dzowniłem do szpitala z pracy pytająć o stan taty, który leżał u nich, odpowiedz: Nie mozemy udzielać inforamcji, RODO.
W tym samym czasie, w sieci wisi 15.000 poufnytch danych - ot paradoks RODO :)- 252 9
-
2019-05-22 20:27
etat
HAHA etat....ETAT?! hahahaha...dobre....czekaj niech no wstanę z podłogi...dział IT w budżetówce....leżę.....etat to akurat najgorsze co można by było podarować takiej osobie...już lepiej iść pracować do biedronki.
- 1 0
-
2019-05-22 15:30
do ojca to osobiscie sie chodzi
jak juz narzekasz, to choc staraj sie zatuszowac swoje wady, bo mimo ze napisales rzetelnie, to wiem juz (sam sie przyznales) ze jestes kiepskim synem. Szkoda ojca
- 0 0
-
2019-05-22 11:45
"...oraz jakiś etat w dziale IT...."
Nie jakis, ale ten etat tego co wczesniej tak ślicznie zabezpieczał baze danych przed wyciekiem.
- 5 0
-
2019-05-22 11:05
Są braki informatyków w Policji, to może chcą go nakłonić do pracy dla nich (1)
;)
- 2 0
-
2019-05-22 12:34
taki naprawdę dobry informatyk/hacker zarabia min 10000zł do rączki
to w Policji musieliby go już na początku kariery zrobić generałem :)))
- 4 0
-
2019-05-22 09:35
RODO (1)
się kłania, RODO i obowiązek powiadomienia po stwierdzeniu wycieku danych.
- 0 4
-
2019-05-22 09:39
Obowiązek ma ADO nie użytkownik.
- 10 0
-
2019-05-22 09:24
(1)
Ale zapomniał o TORze i nie wysłał tego anonimowo. U nas tak jak w szkole, kto pierwszy poczuł, ten jest sprawcą nie ten co wypuścił ;)
- 11 0
-
2019-05-22 10:51
Musiałby już wcześniej całą "analizę" strony robić przez TOR. Samo wysłanie zgłoszenia przez TOR nic by mu nie dało, skoro kilkanaście minut wcześniej przypadkowo ściągnął plik ze strony bez anonimizacji.
- 3 0
-
2019-05-22 09:28
Mogło też być tak że administrator przeanalizował incydent i zobaczył 1 zapytanie do pliku. Powiadomił o tym policję, oni po ip doszli do mieszkania.
- 3 3
Wszystkie opinie
-
2019-09-24 17:55
Czy w Gdańsku wszyscy uczciwi są piętnowani?
- 0 0
-
2019-06-01 18:57
Dla mnie takie loterie i sposób prowadzenia konkursu są właśnie po to aby przejac dane i je odsprzedać
- 0 0
-
2019-05-28 12:09
Oświadczenie organizatora
"Dane gdańszczan są bezpieczne. Zagrożenie zlikwidowane. Administrator danych jest w kontakcie z wszystkimi stronami sprawy danych osobowych: uczestnikami, UODO, Prokuraturą, a nawet sprawcą. W świetle informacji zebranych przez Administratora, a w szczególności oświadczenia sprawcy wszystkie dane osobowe są bezpieczne. Sprawca naruszenia przyznał, że nie udostępniał, a następnie usunął wszystkie dane. Zabiegamy o to, aby UODO oraz Prokuratura ostatecznie potwierdziły nasze ustalenia. Z dużym prawdopodobieństwiem możemy stwierdzić, że zagrożenie zostało usunięte, a dane gdańszczan sà bezpieczne."
Czyżby związane z osobą, która pomogła? Jeśli tak to jest to jakieś totalne nieporozumienie i brak profesjonalizmu.- 1 0
-
2019-05-23 11:43
Beznadzieja
Właśnie dzięki takiemu postępowaniu policji, nie można czynić dobra w tym chorym kraju. Policja pewnie od razu podejrzewała, że skoro facet zna pewne techniki, to może i działać pod pewnym kryptonimem oraz mimo swoich dobrych intencji, działać zupełnie odwrotnie. To się nigdy w tym kraju nie zmieni.
- 2 0
-
2019-05-22 08:35
Opinia wyróżniona
Ogarnij sie chłopie (17)
Jesteś w sprawie głównym świedkiem. Jeżeli sprawa (z jakiegokolwiek paragrafu) trafi do sądu, też będziesz musił tam latać. To niestety konieczna cząść bycia dobrym obywatelem
- 111 38
-
2019-05-23 10:54
Co to znaczy dobry obywatel?
Dobry obywatel, to stłamszony obywatel?
- 0 0
-
2019-05-22 09:10
(11)
Od kiedy to świadka odwiedza się w domu (pewnie jeszcze o 6 rano) i rozpytuje sąsiadów? To są metody poszukiwania co najmniej podejrzanych, jak nie przestępców.
- 49 7
-
2019-05-22 09:37
Naucz się czytać ze zrozumieniem: (5)
"iż tego samego dnia, 30 kwietnia, późnym popołudniem mieszkanie moich rodziców zostało odwiedzone przez pięciu funkcjonariuszy policji"
- 13 1
-
2019-05-22 10:22
(4)
A skąd on może wiedzieć, o której przyszli policjanci, skoro nikogo w mieszkaniu nie było? Późnym popołudniem to rozpytywali sąsiadów, co nie jest jednoznaczne z tym, że o tej godzinie przyszli pierwszy raz do mieszkania.
- 4 11
-
2019-05-22 15:24
Przeczytaj jeszcze raz uważnie co gościu napisał i postaraj się zrozumieć.
"późnym popołudniem mieszkanie moich rodziców zostało odwiedzone przez pięciu funkcjonariuszy policji".
Uwielbiam domysły wszystkowiedzących na tym portalu.- 2 0
-
2019-05-22 11:53
Skąd może to wiedzieć? Kamera, powiadomienie z dzwonka elektronicznego, informacja od sąsiadów
oj, kulsony, jeszcze dużo się musicie nauczyć
- 6 0
-
2019-05-22 10:30
Typowo polskie (1)
Drążysz po stronie gościa, który zrobił dobry uczynek.
Antoni nie idź tą drogą!- 13 0
-
2019-05-22 10:54
To chyba nie do mnie odpowiedź? Przecież piszę, że to metody stalinowskie, aby "świadka" odwiedzać o 6 rano.
- 2 1
-
2019-05-22 09:20
Piqś pewnie starej daty, (4)
a to już nie czasy milicji...
- 2 8
-
2019-05-22 09:22
(3)
Pewnie z ofertą pracy przyszli.
- 11 1
-
2019-05-22 09:41
(2)
Może przyszli zabezpieczyć materiał dowodowy na polecenie prokuratury? Art. 267 KK.
Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.- 4 1
-
2019-05-22 10:53
(1)
W takim razie prokurator to zwolnienia, bo co tu zabezpieczać, skoro gość podał wszystko na tacy?
- 5 1
-
2019-05-22 11:24
nie powiedział tego ... skąd to wiedział ... i kto za nim stoi :)))
- 5 1
-
2019-05-22 14:56
No jest
I dlatego pięciu przyjechało do domu rodziców. Do,świadków wysyła się wezwania, a nie policjantów..
- 4 0
-
2019-05-22 12:23
Abc
To niech przyjdzie list z zawiadomieniem a nie policjanci wypytujący sąsiadów. Oczywiście obok listu z podziękowaniem za wzorową postawę obywatelską. Tak optymalnie traktuje się "dobrych obywateli".
- 9 0
-
2019-05-22 11:20
zasada zawsze jest taka sam - wiesz cos to sie nie przyznawaj
NIGDY! Trzeba byc skonczonym głupcem by zaufac innym, ze odbiorą Cie jak wybawcę. Co Cie podkusilo, zeby sie układac z jełopami, którzy ta baze zabezpieczali? Chciales byc sławny ? To masz, zrobia z Ciebie Mitnicka i do konca zycia beda patrzec Ci na ręce. Dla nich jestes przestępca a nie przypadkowym testerem zabezpieczen.
- 3 4
-
2019-05-22 10:43
kto w mieście poniósł konsekwencje tego dziadostwa?
nikt?
- 5 0
-
2019-05-23 10:40
Wystawiłeś firme na pośmiewisko - musisz ponieść karę
Firma (i związany z nią urząd) okazały się niekompetentne, więc tego który to ujawnił trzeba ukarać, by innemu przy innym zdarzeniu nawet przez myśl nie przeszło nagłaśniać lub działać. W PL trzeba udawać, że się nic nie widzi (a najlepiej nie widzieć).
- 3 0
-
2019-05-22 07:06
Oby szukali Ciebie żeby dać Tobie nagrodę! (1)
choć w obecnych czasach możliwe jest wszystko... niestety.
- 91 0
-
2019-05-23 09:02
W pięciu funkcjonariuszy mu nieśli tą nagrodę? No to szczerze zazdroszczę, wielka musi być ;)
- 4 0
-
2019-05-23 09:01
Chory kraj...
- 2 0
-
2019-05-23 08:18
To pokazuje zaawansowane podejście policji
Widać że ogarniają temat IT bardzo amatorsko. Trzymam kciuki za Pana i ufam że rozejrzeć się po kościach i życzę oficjalnych przeprosin
- 2 0
-
2019-05-22 07:09
I bardzo dobrze! (3)
To cię nauczy rozumu - każdy dobry uczynek zostanie przykładnie ukarany! Trzeba było siedzieć cicho, a te dane opchnąć gdzieś w darknecie.
- 67 30
-
2019-05-22 15:09
Może było inaczej (1)
ściągnął dane, a później się zorientował, że zostawił ślad. Postanowił nagłośnić sprawę żeby nie było na niego. Ot i cala filozofia. Mogę się mylić, ale różnie bywa.
- 1 5
-
2019-05-23 07:20
Współczuję Ci
- 0 0
-
2019-05-22 10:00
Super!!!!
Jak mówił wójt w "Ranczo" :każdy dobry uczynek spotka zasłużona kara.- 9 0
Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.