Postępująca cyfryzacja to olbrzymie udogodnienie, ale wiążą się z nią także poważne zagrożenia. Wynikają one głównie z działalności cyberprzestępców. Czasami jednak niebezpieczeństwo pochodzi bezpośrednio z luk w oprogramowaniu, do skorzystania z których nie jest potrzebna specjalistyczna wiedza. Okazuje się, że w rządowym serwisie moj.gov.pl można było bez trudu podejrzeć dane innych użytkowników. Sprawa dotyczy rejestru dokumentów paszportowych.
W serwisie paszportowym działającym w ramach platformy moj.gov.pl znajdowała się prosta luka, która pozwalała dowolnemu użytkownikowi podejrzeć dane innych osób.
![Wyciek danych paszportowych Polaków. W bardzo łatwy sposób można było uzyskać dostęp do cudzych informacji osobowych [1]](https://bomega.pl/wp-content/uploads/2023/06/23_wyciek_danych_paszportowych_polakow_w_bardzo_latwy_sposob_mozna_bylo_uzyskac_dostep_do_cudzych_informacji_osobowych_0.jpg)
Morele – sklep uniknie kary za wyciek danych użytkowników. NSA przyjął skargę kasacyjną serwisu w sprawie kary UODO
Do wyświetlenia danych innych użytkowników nie były potrzebne żadne wyrafinowane metody. Wystarczyła prosta podmiana identyfikatora w adresie strony internetowej. Wśród ogólnie dostępnych informacji paszportowych znalazły się między innymi numery PESEL, imiona i nazwiska, zdjęcia, podpisy, daty urodzenia czy adresy korespondencyjne. Choć teoretycznie dane te nie były formalnie publicznie udostępnione, to można je w ten sposób traktować z racji tego, że podmiany identyfikatora mógł dokonać w zasadzie każdy. Jest to oczywiście niedopuszczalny błąd administratorów i wykonawców strony, ponieważ mamy tutaj do czynienia z prywatnymi informacjami, które powinny być chronione w sposób szczególny.
Dziura w rządowym systemie moj[.]gov[.]pl
Można było podejrzeć dane Polaków z paszportów
Tym razem był dostęp nie tylko do danych osobowych ale też
-PESELu
-Zdjęcia
-Wzoru podpisuPełen opis tego co dało się pobierać tuhttps://t.co/2dzRnNWmUI
Czy te dane powinny tam być? pic.twitter.com/up6WTvF8JA
— Niebezpiecznik (@niebezpiecznik) June 22, 2023
Wykradziono dane ponad 200 mln. użytkowników Twittera. Haker jest gotów sprzedać dane za odpowiednią kwotę
Najbardziej dziwi już nawet nie sam fakt, że do przełączenia na dane innego użytkownika nie było konieczne dwuskładnikowe uwierzytelnianie, a kwestia braku konieczności zalogowania się na inne konto w momencie podmiany identyfikatora w adresie strony. Sytuacja każe też postawić pytanie, czy testy penetracyjne całego systemu były wykonane w sposób prawidłowy. Trudno sobie wyobrazić, by tak podstawowa luka nie została w ich trakcie wykryta. Mówimy zresztą o stronach rządowych, które powinny być nie tylko wykonane na najwyższym poziomie, ale też gwarantować pełne bezpieczeństwo powierzonych danych. Jest to istotne zwłaszcza wobec sytuacji za naszą wschodnią granicą i zagrożeniami dla cyberbezpieczeństwa, które się z nią w oczywisty sposób wiążą.
![Wyciek danych paszportowych Polaków. W bardzo łatwy sposób można było uzyskać dostęp do cudzych informacji osobowych [2]](https://bomega.pl/wp-content/uploads/2023/06/23_wyciek_danych_paszportowych_polakow_w_bardzo_latwy_sposob_mozna_bylo_uzyskac_dostep_do_cudzych_informacji_osobowych_1.jpg)
Źródło: Niebezpiecznik
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS