Każdy mógł podejrzeć dane Polaków. Pozwalała na to luka w rządowym serwisie

Użytkownik serwisu moj.gov.pl znalazł w nim lukę, która pozwalała na dostęp do wniosków paszportowych oraz wydanych już dokumentów innych osób. Niezależni specjaliści ds. cyberbezpieczeństwa potwierdzają, że każdy mógł uzyskać dostęp do takich informacji jak numer PESEL, wzór podpisu, zdjęcie czy numer paszportu.

Polski paszport to dużo wrażliwych danych dostępnych publicznie
Polski paszport to dużo wrażliwych danych dostępnych publicznie
Źródło zdjęć: © gov.pl

Wniosek paszportowy można kontrolować online za pośrednictwem aplikacji internetowej moj.gov.pl. Serwis ten pozwala na sprawdzenie, w jakim terminie wyrabiany paszport będzie dostępny do odbioru. Widoczne w nim są także dane osobowe, których wymaga wniosek paszportowy.

Luka bezpieczeństwa moj.gov.pl

Portal moj.gov.pl wymaga logowania Profilem Zaufanym, a dostępne tam dane paszportowe (oraz kilku innych rejestrów) są widoczne tylko dla nas, urzędników oraz administratorów serwisu. Okazuje się jednak, że nie do końca wszystko jest aż tak poufne.

Dalsza część artykułu pod materiałem wideo

Jeden z czytelników portalu Niebezpiecznik.pl zauważył, że dotyczące go informacje wywołuje następujący URL:

Adres URL
Adres URL© Niebezpiecznik.pl

Wystarczyła drobna zmiana cyfr identyfikatora, żeby wywołać dane zupełnie obcych osób.

Skala możliwego wycieku danych z rządowego portalu

Podejrzeć można było paszporty i wnioski paszportowe, a więc następujące informacje:

  • imiona i nazwisko
  • numer PESEL
  • miejsce i data urodzenia
  • wzór podpisu
  • zdjęcie
  • adres do korespondencji
  • numer i seria paszportu
  • termin ważności paszportu

Portal moj.gov.pl identycznie traktował też wywoływanie danych osób z zakazem opuszczania kraju (tzw. zatrzymanych paszportów).

Niebezpiecznik.pl w czwartek rano poinformował o błędzie Ministerstwo Cyfryzacji. Według serwisu po około dwóch godzinach od zgłoszenia luka została usunięta. Trudno jednak określić, jak długo można było podejrzeć dane innych osób i jakiej skali dotyczył wyciek.

Centralny Ośrodek Informatyki, czyli firma realizującą projekty IT dla sektora publicznego, która wykonuje zadania wyznaczane przez Kancelarię Prezesa Rady Ministrów, w przekazanym serwisowi Niebezpiecznik.pl oświadczeniu zapewniła, że bezpieczeństwo danych obywateli jest priorytetowe. "Zlokalizowaliśmy błąd, w wyniku którego zalogowany przez Profil Zaufany użytkownik, mógł uzyskać dostęp do wniosków złożonych przez inne osoby. Trwa naprawianie błędu, dlatego usługa 'Moje dane w Rejestrze Danych Paszportowych' została natychmiast wyłączona i jest obecnie niedostępna" - poinformowała.

Ośrodek dodał, że sytuacja jest szczegółowo analizowana, a incydent zostanie zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych.

Katarzyna Rutkowska, dziennikarka dobreproramy.pl

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (32)