PaństwoPolitykaPolskaPrawoTechnologieZdrowie i medycyna

Państwo z dykty: Wielki wyciek danych policjantów i strażaków

Wielki wyciek danych

Państwo z dykty, odcinek… sami nie wiemy który. Jak alarmuje portal Niebezpiecznik, niemal każdy mógł pobrać plik Excel zawierający dane osobowe ponad 20 000 polskich funkcjonariuszy publicznych. Wielki wyciek danych objął policjantów (także z CBŚP), celników, pracowników Służby Ochrony Państwa, Administracji Skarbowej, Straży Granicznej, Straży Pożarnej (także ochotniczej), Inspekcji Transportu Drogowego, Straży Miejskiej, a nawet SOK-u czy Służby Więziennej.

Excel zawierał nazwiska, numery telefonów, PESEL-e, e-maile (służbowe lub prywatne), a nawet dokładny adres miejsca pracy. Plik z danymi został udostępniony w internecie przez… pracownika Rządowego Centrum Bezpieczeństwa w popularnym serwisie do wizualizacji danych ArcGIS (możliwości tego serwisu pod kątem pozyskiwania danych na temat osób i firm pokazujemy w 11 lekcji naszego kursu OSINT).

Myślicie, że urzędnicy sami odkryli wyciek danych? A w życiu! O wycieku poinformował portal Niebezpiecznik jeden z użytkowników serwisu ArcGIS, który poszukiwał w nim informacji na temat szczepień. Na plik natknął się przypadkiem.

Udostępniony plik składa się z 2 arkuszy. Oto nazwy kolumn:

  • Imię i nazwisko
  • Adres e-mail
  • Numer telefonu
  • Pełna nazwa jednostki
  • Adres (Ulica i numer budynku, Kod pocztowy, Miejscowość)
  • Imię i nazwisko pracownika
  • Numer telefonu komórkowego do pracownika
  • PESEL pracownika
  • Seria i numer dowodu tożsamości / paszportu (na szczęście ta kolumna była pusta)
  • CreationDate
Fot. Niebezpiecznik

Jak informuje portal, kolumna “CreationDate” wskazuje, że wyciek obejmuje osoby zgłaszane do szczepień od 12 kwietnia 2021, 8:20 aż do 20 kwietnia 2021 6:40. Zgłoszeń dokonywał jeden funkcjonariusz danej jednostki, wpisując pozostałe chętne osoby, na co wskazuje jedna z kolumn o takiej (długiej) nazwie:

Wysyłając formularz wyrażam zgodę na przetwarzanie moich danych osobowych w postaci: imienia, nazwiska, numeru telefonu, adresu e-mail oraz informacji o miejscu pracy. Oświadczam, że wprowadzone przeze mnie osoby otrzymały informację, iż ich dane osobowe w postaci: imienia i nazwiska, numeru telefonu oraz numeru PESEL lub daty urodzenia i numeru dokumentu tożsamości będą przetwarzane w ramach systemu rejestracji na szczepienia ochronne przeciwko COVID-19 na podstawie przepisów ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi. Administratorem danych zawartych w systemie rejestracji jest minister właściwy do spraw zdrowia, natomiast Rządowe Centrum Bezpieczeństwa przetwarza dane zawarte w formularzu jako Podmiot przetwarzający. Podstawowe dane o Administratorze danych oraz Podmiocie przetwarzającym zawarte są na ich stronach podmiotowych: https://www.gov.pl/web/zdrowie oraz https://rcb.gov.pl/.

TVP wyda miliony na nagrody. Z tych 2 miliardów co od nas dostali

Co teraz?

Jak opisuje portal, wyciek danych policjantów, celników, pograniczników czy funkcjonariuszy skarbówki lub innych pracowników wymiaru sprawiedliwości to zawsze kłopot. Takimi danymi mogą być zainteresowani na przykład przestępcy, których ci ludzie wsadzili za kratki.

Co prawda w wycieku “chętnych na szczepienia funkcjonariuszy” nie ma prywatnych adresów zamieszkania, ale w przypadku niektórych osób są numery telefonów komórkowych, które — niestety — są tzw. unikatowym identyfikatorem i występują także w innych wyciekach danych (np. z Facebooka czy z Morele). Właśnie na podstawie numeru komórki, źli ludzie mogą “uzupełnić” pozostałe, brakujące dane osobowe konkretnego funkcjonariusza o np. jego adres zamieszkania, pod jaki w przeszłości zamówił przesyłkę podczas zakupów w internetowym sklepie, którego baza danych wyciekła.

– czytamy na portalu.

Po zgłoszeniu sprawy przez portal, plik został przez RCB usunięty. Na razie Rządowe Centrum Bezpieczeństwa nie odpisało na pytania Niebezpiecznika. Zamiast tego redakcja otrzymała takie oświadczenie:

Dziękujemy za przesłaną wiadomość. W związku z charakterem ww. informacji niezwłocznie podjęliśmy działania zmierzające do całkowitego zablokowania formularza i zabezpieczenia wykazu rekordów przesłanych za jego pośrednictwem. Równolegle (zgodnie z Procedurą zgłaszania naruszeń ochrony danych osobowych w Rządowym Centrum Bezpieczeństwa z dnia 11 września 2018 r.), wszczęliśmy wewnętrzną procedurę wyjaśniającą. W tej chwili prowadzimy spotkanie operacyjne, w trakcie którego analizujemy potencjalne przyczyny zaistniałej sytuacji. Gromadzimy także szczegółowe informacje dot. ewentualnego pobrania plików zawierających dane osobowe przez podmioty do tego nieuprawnione. Zgodnie z przepisami RODO złożymy niezwłocznie stosowne zgłoszenie o naruszeniu bezpieczeństwa danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych. W związku z powyższym szczegółową odpowiedź na skierowane do nas pytania prześlemy w ciągu najbliższych 24 godzin.

Pozostaje mieć nadzieję, że wspomniany wyciek danych dotyczy tylko tego jednego i jedynego pliku, jaki został przez kogoś z RCB wgrany do zewnętrznego narzędzia analitycznego.

Źródło: Niebezpiecznik

 

Tagi

Polecane artykuły

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Back to top button
Close
Close