Fakty i opinie
  • Kino
  • Mapa
  • Ogłoszenia
  • Forum
  • Komunikacja
  • Raport
Wiadomości
Dodaj raport
Fakty i Opinie Wiadomości
Facebook E-mail Messenger WhatsApp Kopiuj link Więcej

Pomógł chronić dane, a pyta o niego policja

ms
22 maja 2019 (artykuł sprzed 5 lat) 
Opinie (247)
Najnowszy artykuł na ten temat Auta, rowery i smartfony do wygrania w loteriach PIT
Nasz czytelnik, który ujawnił wady w zabezpieczeniu strony z danymi 18 tys. mieszkańców Gdańska, a następnie pomógł je zabezpieczyć przed wyciekiem, jest teraz obiektem zainteresowania policji. Nasz czytelnik, który ujawnił wady w zabezpieczeniu strony z danymi 18 tys. mieszkańców Gdańska, a następnie pomógł je zabezpieczyć przed wyciekiem, jest teraz obiektem zainteresowania policji.

Nasz czytelnik, który ujawnił wady w zabezpieczeniu strony z danymi 18 tys. mieszkańców Gdańska, a następnie pomógł je zabezpieczyć przed wyciekiem, jest teraz obiektem zainteresowania policji.

fot. 123rf/ lightfieldstudios

Publikujemy list naszego czytelnika, który kilka tygodni temu wykrył lukę w systemie zabezpieczającym dane uczestników gdańskiej loterii PIT. Choć po jego zgłoszeniu poprawiono ustawienia bezpieczeństwa, dzięki czemu do wycieku danych nie doszło, to teraz on musi się tłumaczyć ze swojej działalności.



Jakich haseł używasz do zabezpieczenia swoich danych (komputera, poczty, konta)?

Przypomnijmy: 30 kwietnia firma Playprint, organizator loterii PIT w Gdańsku, zgłosiła wyciek danych 18 tys. osób, które zarejestrowały się w loterii, dzięki której mogły wygrać m.in. samochód i rowery elektryczne.

Choć ta informacja wystraszyła wiele osób, tak naprawdę nie doszło do hakerskiego ataku na stronę konkursu. To nasz czytelnik, który zawodowo zajmuje się bezpieczeństwem w sieci, dość przypadkowo odkrył dziurę w systemie. Choć natychmiast (w ciągu kilkunastu minut) poinformował o tym organizatora loterii, a następnie pomagał mu w naprawieniu błędu, to potraktowano go jak przestępcę.

Pani Iwona wylosowała Toyotę w loterii PIT w Gdańsku

Oto jego relacja z tego wydarzenia:

Piszę ten list, żeby sprostować kilka faktów odnośnie sprawy "wycieku danych osobowych z loterii PIT w Gdańsku", którą opisał portal Trojmiasto.pl kilka tygodni temu.
 
Tak jak wielu mieszkańców Gdańska, także i ja wypełniłem formularz zgłoszeniowy na stronie pitwgdansku.pl. Gdy doszedłem do prośby o podanie numeru PESEL, zapaliła mi się w głowie lampka ostrzegawcza. Czy aby na pewno moje dane są bezpieczne? Sprawdziłem, kto i gdzie utrzymuje powyższą stronę, sprawdziłem regulamin oraz certyfikat SSL strony w celu upewnienia się, czy komunikacja między moim komputerem a systemem dostawcy usług jest w pełni zabezpieczona. Nic nie wzbudziło moich podejrzeń, więc podałem wszystkie wymagane dane oraz kliknąłem przycisk "wyślij".

Pomimo tego, intuicja nie dawała mi spokoju. Przyjrzałem się dziwnej odpowiedzi serwera, następnie po nitce do kłębka doszedłem do tego oto adresu -  pitwgdansku.pl/file.log [już nie działa - dop. red.].
 
Jakież było moje zdziwienie, gdy przeglądarka zaraportowała pobranie pliku o rozmiarze 55 MB. Pierwszy rzut oka na zawartość spowodował oszołomienie, a wręcz szok. Po minucie konsternacji zacząłem analizę - imiona, nazwiska, telefony, adresy e-mail jak i numery PESEL. Kilkanaście tysięcy rekordów dostępnych pod publicznie dostępnym linkiem bez żadnych zabezpieczeń! Na samym końcu także i moje dane.
 
Natychmiast podjąłem kroki, aby dane zostały należycie zabezpieczone, tj. zgłosiłem sprawę do administratora strony oraz ludzi odpowiedzialnych za prowadzenie portalu gdansk.pl [choć to nie oni odpowiadali za zabezpieczenie strony głosowana - dop. red.]. W ciągu mniej niż 48 godzin, przy mojej pełnej współpracy z firmą Playprint, organizatorem loterii, po wielu rozmowach telefonicznych lukę udało się załatać, a dane prawie 20 tys. mieszkańców Gdańska były od tej chwili bezpieczne.

Pozostało tylko poinformowanie pokrzywdzonych o wycieku, zwłaszcza że chodziło o szerszy zakres danych niż imię, nazwisko czy email.
 
Nastąpiło to 30 kwietnia, kiedy to wszyscy biorący udział w loterii (w tym również ja) otrzymali email zatytułowany "Zawiadomienie o naruszeniu ochrony danych osobowych - loteria PIT w Gdańsku".

Wówczas też, czyli po wysłaniu maila do uczestników loterii, co było jednoznaczne z powiadomieniem o sprawie Urzędu Ochrony Danych Osobowych, pozbyłem się wszelkich pozyskanych przypadkowo plików. Stało się to 30 kwietnia.

W mailu do uczestników loterii administrator danych osobowych w krótkich słowach opisał, co się stało oraz wyszczególnił podjęte kroki. Padło tam następujące zdanie: "Zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych oraz organy ścigania (Policję i Prokuraturę) w zakresie podejrzenia popełnienia przestępstwa w ww. zakresie."
 
Tutaj historia zaczyna mnie bardzo niepokoić. Kilka dni później otrzymałem informację, iż tego samego dnia, 30 kwietnia, późnym popołudniem mieszkanie moich rodziców zostało odwiedzone przez pięciu funkcjonariuszy policji. Jako że rodziny w domu nie było (weekend majowy), zaczęli rozpytywać o mnie sąsiadów, którzy to potem powiadomili o tym fakcie.
 
Nie wiem, co mam myśleć o tym zdarzeniu. Do tej pory nie otrzymałem żadnego zawiadomienia ani z policji, ani z prokuratury. Ani jednego telefonu.
 
Czyżby nagle z porządnego obywatela, który de facto zapobiegł wyciekowi danych, stałem się cyberprzestępcą?

To o tyle dziwne, że Kodeks Karny wprost mówi w art 269 c:

"Nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269 a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody."
ms

Co Cię gryzie - artykuł czytelnika to rubryka redagowana przez czytelników, zawierająca ich spostrzeżenia na temat otaczającej nas trójmiejskiej rzeczywistości. Wbrew nazwie nie wszystkie refleksje mają charakter narzekania. Jeśli coś cię gryzie opisz to i zobacz co inni myślą o sprawie. A my z radością nagrodzimy najciekawsze teksty biletami do kina lub na inne imprezy odbywające się w Trójmieście.

Zobacz także

Loterie PIT w Trójmieście (15)

Opinie (247) 10 zablokowanych

  • 2019-05-22 09:08

    Prawda czasu, prawda ekranu (2)

    Rzetelność zawodowa informatyka kontra ambicje zawodowe prokuratora.

    4 lata

    • 12 1

    • 2019-05-22 10:12

      Prokurator dziala jak dostaje zgloszenie. Nie obwiniaj go za wykonywanie swojej pracy. (1)

      Wedlug mnie Playprint zlozyl niepotrzebnie zawiadomienie o podejrzeniu popelnienia przestepstwa. Pozniej pewnie sie zorientowali jakie konsekwencje niesie to dla podejrzanego i obstawiam, ze wycofali zarzuty skoro do dzisiaj jest cisza.

      A ze prokurator wyslal policje do podejrzanego w celu zabezpieczenia sladow? Jak mowilem - to jego praca.

      4 lata

      • 2 0

      • 2019-05-22 13:13

        Szkoda, że nie zawsze działa tak skutecznie

        4 lata

        • 0 0

  • 2019-05-22 09:11

    Podstawowe zasady życia w Polsce (1)

    Nic nie wiem. Nic nie widziałem. Nic nie słyszałem. Nie znam nikogo. Nikomu nie pomagam, dbam tylko o siebie... jakiekolwiek odstępstwo grozi sądem lub kalectwem....

    Nieznany.

    4 lata

    • 23 0

    • 2019-05-22 15:32

      przeciez tego chcieliscie

      sami pisaliscie tu na forum, ze nie chcecie wscibskich sasiadow, ze nie chcecie znac nawet ich imienia, maja sie do Was nie odzywac i najlepiej traktowac jak powietrze. A teraz argumenty typu" nic nie wiem, nikogo nie znam?"

      4 lata

      • 3 0

  • 2019-05-22 09:11

    No i teraz pójdzie pare pozwów cywilnych i gościu leży do końca życia.

    W sumie to nie ma co się dziwić, jest to pozbawienie kogoś wygranej, lub inaczej zwiększenie możliwości wygranej przez rezygnacje innych.

    4 lata

    • 1 7

  • 2019-05-22 09:11

    Pamiętajcie, policja zawsze będzie chciała szukać kozła ofiarnego.

    W tych czasach na prawdę trzeba uważać. Jeśli już pilnie chcecie coś ujawniać to tylko przez TOR. Pan ekspert od bezpieczeństwa ma teraz niezłą nauczkę życiową, i pokazało mu to jak kochane jest nasze państwo.

    4 lata

    • 11 1

  • 2019-05-22 09:17

    (1)

    Niestety brałam udział w loterii. Martwi mnie, że dałam się skusić i podałam pesel. Czy się jakoś dowiem czy to moje dane wyciekły?

    4 lata

    • 8 2

    • 2019-05-22 09:42

      Żadne dane nie wyciekły

      Dh

      4 lata

      • 2 1

  • 2019-05-22 09:19

    W tym przypadku nie można zastosować art. 267 § (4)

    Ponieważ administratorzy serwisu byli na tyle głupi, że ten plik był upubliczniony w internecie. Czyli tłumacząć mało-informatycznym to jest sytuacja w której ktoś drukuje dane objęte RODO i kładzie na ławce w parku.

    4 lata

    • 7 5

    • 2019-05-22 10:04

      Nie wprowadzaj w blad. Art. 267 KK jak najbardziej ma zastosowanie. (3)

      Nie ma znaczenia sposob w jaki plik byl upubliczniony. Istotne jest jedynie, ze udostepnienie bylo wynikiem bledu systemu informatycznego a nie celowym dzialaniem administratora.

      4 lata

      • 3 2

      • 2019-05-22 11:15

        To było celowe działanie (1)

        Normalny administrator nie ma włączonego debugowania na produkcji ...

        Q.

        4 lata

        • 3 1

        • 2019-05-22 12:00

          i nie wystawia logów

          4 lata

          • 2 1

      • 2019-05-22 13:14

        To się nazywa rażące niedbalstwo

        i grozi za to odpowiedzialność

        4 lata

        • 1 0

  • 2019-05-22 09:28

    a głowny winny firma Playprint umywa ręce i nawet na maile w sprawie wycieku nie odpisuje

    szczyt chamstwa i arogancji panie Koczorowski

    gonsie

    4 lata

    • 13 1

  • 2019-05-22 09:32

    Art. 267. Bezprawne uzyskanie informacji.

    Do 2 lat w więzieniu.

    4 lata

    • 3 3

  • 2019-05-22 10:00

    5 gosci bez wezwania? Wyglada jakby chcieli zabezpieczyc kompy.

    Zostala przez organizatora loterii powiadomiona prokuratura. Wiec policja i prokuratura chciala ustalic fakty oraz to czy pozbyles sie danych tak jak deklarujesz.

    Ale wyglada na to, ze skoro nie nekali Ciebie po 30 kwietnia to organizator sie ogarnal i wycofal zawiadomienie o podejrzeniu popelnienia przestepstwa. Chyba na poczatku wlaczyl in sie tryb paniki i nie pomysleli trzezwo jakie konsekwencje to dla Ciebie niesie.

    Organizatorze - prosimy o publiczne wyjasnienie jak zakonczyla sie sprawa.

    4 lata

    • 15 0

  • 2019-05-22 10:19

    uwaga uwaga

    bo to jest "bolzga", KRAJ N-tego świata

    MixeR

    4 lata

    • 5 1

3
4
5
6
7

alert Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.

Najnowsze

więcej wiadomości (15)

Najczęściej komentowane

Co może powstać na terenach ogródków działkowych?

Czy zamiast ogródków będą mieszkania?

Arged Malesa Ostrów Wlkp. - Energa Wybrzeże Gdańsk 57:32. Pogrom i brak argumentów

Żużlowcy rozgromieni w Ostrowie LIVE!

więcej

Najczęściej czytane