Dane Polaków były dostępne. Rządowy serwis z poważnym wyciekiem.

Chcemy czy nie – nasze dane osobowe mogą stanowić cenny zasób dla osób o niekoniecznie pozytywnych intencjach. Tym bardziej niebezpiecznie brzmi informacja o przeciekach, które dotknęły serwis moj.gov.pl. 

Jak podał Niebiezpiecznik, w rządowym serwisie moj.gov.pl można było zobaczyć dane użytkowników, przy czym nie chodzi o loginy, a o rejestr dokumentów paszportowych. Aby dotrzeć do tych kluczowych danych nie było potrzeba właściwie żadna umiejętność klasyfikująca użytkownika jako „hakera”. Przeciwnie. Wystarczyło podmienić identyfikator w adresie strony internetowej. W ten sposób można było uzyskać dostęp do m.in. imion, nazwisk, numerów PESEL, a nawet zdjęć użytych w dokumencie paszportowym.

Sposób dostępu do tych danych był nie tylko nieautoryzowany, ale wręcz banalnie prosty – co niestety w bardzo złym świetle stawia wykonawców serwisu. Aby przełączyć się na dane innego użytkownika wsyatrczyło zmienić liczbę identyfikacyjną w adresie strony. Nie mówimy więc o włamaniu, a nawet termin „wyciek” jest pewnym nadużyciem (świadomym z mojej strony w tytule) – lepszym określeniem byłoby „partactwo” w odniesieniu do wykonania strony zawierającej dane Polaków.

To natomiast rodzi pytanie o sposób wykonywania serwisów internetowych dla sektora publicznego. Nie jest tajemnicą, że są to zwykle dość intratne zlecenia – pytanie tylko czy w tym przypadku były, przed oddaniem serwisu, przeprowadzone jakiekolwiek testy bezpieczeństwa?

IT Champions 2023 – Niezwykle prestiżowe nagrody branżowe, wydawnictwa IT Reseller zostały wręczone! Poznaj zwycięzców!