Tekst przeniesiony z like-a-geek.jogger.pl.

Spis powszechny przez Internet 2011

Chciałem wypełnić Narodowy Spis Powszechny przez Internet. Kiedy tylko dowiedziałem się, która firma wdrożyła system odpowiada za część systemu, już wiedziałem, że coś pójdzie nie tak. Nie sądziłem, że będzie aż tak źle (chociaż nie z jej winy).

, foto: Chris Willis

Sprostowanie: sugerując się informacjami ze strony Sygnity przyjąłem, że ta firma odpowiada również za aplikację. Według pracownika firmy, który chciał zachować anonimowość, za aplikację internetową odpowiada radomski oddział GUS. Przepraszam, że zasugerowałem się tylko źródłami opartymi o informacje prasowe.

Mówiąc wprost, Sygnity właśnie ujawniło aplikacja do samospisu przez Internet ujawnia adresy zameldowania, daty urodzenia i dokładne adresy zameldowania wszystkich osób, które prowadziły własną działalność gospodarczą i były wspólnikiem w spółce oraz paru innych, których numer PESEL ktoś wrzucił do sieci. Na przykład polityków, samorządowców, osób wypełniających internetowe wnioski o anulowanie matury z matematyki itp. Fajna baza danych, prawda?

Mało? Każdy może wypełnić spis powszechny fałszywymi danymi w imieniu tych osób i narazić je na karę pozbawienia wolności do lat dwóch. To już nie jest śmieszne.

Rozwiązania Sygnity opracowane dla GUS usprawnią realizację procesu gromadzenia i przetwarzania danych podczas spisów powszechnych.

Sygnity

Rzeczywiście! Teraz możesz wyjątkowo sprawnie gromadzić dane różnych osób. Wystarczy, że skorzystasz z formularza zakładania konta na spis.gov.pl przygotowanego przez GUS.

Narodowy Spis Powszechny 2011 - rejestracja

Wystarczą te cztery pola, aby założyć konto

Spis powszechny – dane z sieci wystarczą!

Na pierwszy rzut oka formularz wygląda na skomplikowany. Wydaje się, że żeby założyć konto musisz podać PESEL, imię, nazwisko, NIP, miejsce urodzenia, nazwisko panieńskie matki, ble, ble, ble. Musisz też wpisać hasło o ograniczonej do 12 znaków długości (ktoś wytłumaczy mi dlaczego?). Po jego założeniu system pobierze z bazy (prawdopodobnie PESEL) twoje dane osobowe i uzupełni za Ciebie dane dotyczące adresu zameldowania.

Uwaga! Uzyskanie dostępu do danych do których nie jesteś uprawniony podlega karze więzienia do dwóch lat. Tej samej karze podlega ten, kto za pomocą oprogramowania ujawnia dane innym. Wcale nie sugeruję kto to robi.

Problem w tym, że aby założyć konto i poznać adres zameldowania wystarczy wypełnić cztery pola: PESEL, nazwisko, imię i jedno z trzech: NIP lub miejscowość urodzenia lub nazwisko panieńskie matki. Skąd je wziąć?

Przydatne linki: [to], [tamto] i [jeszcze to].

  • NIP osób prowadzących działalność gospodarczą jest jawny i można go znaleźć w darmowej wyszukiwarce danych teleadresowych firm.
  • Numer PESEL wspólników spółek każdy może dostać z KRS-u albo kupić na stronach typu sprawdź osobę z KRS.
  • PESEL-e można znaleźć też w Google. Z tego co mówił mi kolega z którym pozostaję w bliskim związku towarzyskim, szczególnie dużo jest ich w raportach z obrad rad miejskich. Twierdzi też, że wiele z nich łatwo znaleźć wpisując nazwy kolumn tabel z danymi osobowymi.
  • Jeśli osoba nie ma nic wspólnego z biznesem, to być może dała każdemu dostęp do nazwy miejscowości z której pochodzi na Facebooku? Może zdradził też inne sekrety?

Co mi grozi?

Sprawdziłem to na swoich danych, do czego według ustawy jestem uprawiony, i system rzeczywiście działa. Po podaniu podstawowych informacji wyświetliły się moje dane adresowe.

Dopóki nie założyłem konta, każdy mógł zrobić to za mnie, wymyślić hasło i odczytać moje dane adresowe. Mało tego! Mógł wpisać w spisie powszechnym fałszywe dane, za co mi groziłyby dwa lata więzienia (w spisie trzeba podać prawdziwe dane).

Hasło zapisane czystym tekstem

Dopiero kiedy zabezpieczyłem swoje konto hasłem, dane przestały być widoczne. Nie, zabezpieczyłem to złe słowo. Jak napisaliście na fanpage’u Like a geek hasło można usłyszeć dzwoniąc na infolinię. Według autora tego artykułu hasło jest zapisany czystym tekstem w bazie obsługiwanej przez Sygnity.

Mimo że formularz nie zagwiazdkował hasła (za to w interesujący sposób obsługuje klawisz backspace), to zapomniałem mojego hasła i dwa razy wpisałem błędne. Pani z infolinii była jednak tak miła, że mi podała mi moje hasło przez telefon. Najwyraźniej w 2011 roku ktoś jeszcze (poza Allegro i GG) trzyma hasła zapisane czystym tekstem! Nawet jeśli nie, to konsultant nie powinien mieć do nich dostępu

Kiedy pani przypomniała mi hasło, mogłem wrócić do danych, które już wypełniłem! Ale chwila… przecież każdy mógł zrobić to samo i zobaczyć jeszcze więcej danych…

Jak rozwiązać problem danych ze spisu?

Spis powszechny przez Internet jest zabezpieczony źle. Moim zdaniem jedynym sposobem na to, żeby uchronić się przed:

  • niepowołanym dostępem i wprowadzeniem fałszywych danych przez jakiego dowcipnisia,
  • odczytaniem ich przez złodzieja tożsamości,
  • poznaniem naszego hasła przez konsultanta

należy:

  1. ustalić jednorazowe hasło wyłącznie dla spisu powszechnego,
  2. podać własny numer telefonu kontaktowego i zablokować w ten sposób możliwość odzyskania hasła,
  3. tymczasowo usunąć wypełnione automatycznie dane i poczekać aż specjaliści od bezpieczeństwa znajdą kolejne błędy systemu,
  4. spisać się u ankietera.

Masz lepszą propozycję? Napisz w komentarzu!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *