Wyciek danych z systemu PESEL – znane kolejne fakty. Włamania nie było?
Wczorajszego wieczoru pojawiły się informacje o ogromnym wycieku danych z systemu PESEL. Z komputerów pięciu polskich kancelarii komorniczych w ciągu ostatniego roku wyłudzone mogły być szczegółowe informacje na temat nawet 800 tys. Polaków. Dziś wiemy już na ten temat więcej.
Zacznijmy od oficjalnego komunikatu w tej sprawie Rzecznika Prasowego Prokuratury Okręgowej w Warszawie. Potwierdza on, że wobec rzeczonych kancelarii prowadzone jest postępowanie w sprawie niedopełnienia obowiązków i działania na szkodę interesu publicznego i prywatnego przez komorników sądowych zobowiązanych do zabezpieczenia dostępu do danych osobowych z rejestru PESEL. W efekcie mogło dość do przekazania danych osobom nieuprawnionym.
Prokuratura poinformowała także, że śledztwo zostało wszczęte w wyniku zawiadomienia Ministerstwa Cyfryzacji, które odnotowało nadspodziewanie duży i nietypowych ruch w systemie PESEL, co potwierdza wczorajsze informacje RMF. Prawdziwe okazały się także dane liczbowe – jedna z kancelarii miała od marca zeszłego roku wysłać 1,8 mln zapytań, w wyniku których udało się pozyskać 802 tys. rekordów. Śledztwo zostało powierzone Agencji Bezpieczeństwa Wewnętrznego.
Tyle jeśli chodzi o oficjalne potwierdzenie. Ciekawe informacje opublikowano także dzięki drugiemu obiegowi wiadomości. Na redakcyjną skrzynkę Niebezpiecznika nadeszła informacja, według której rozważane wcześniej, jako najbardziej prawdopodobne, włamanie na komputery komorników i przeprowadzenie zdalnie skoordynowanej akcji pozyskiwania danych brzmi mało wiarygodnie.
Komputery posiadające uprawnienia do wysyłania zbiorowych zapytań nie są bowiem podłączone do Internetu, komunikacja odbywa się poprzez sieć wydzieloną. Ponadto – co potwierdzają usunięte już tweety – na trop wyłudzeń trafili eksperci Centralnego Ośrodka Informatyki, nie zaś Ministerstwa Cyfryzacji, które to stara się ten fakt zatuszować z bliżej niewyjaśnionych powodów.
Również ustalenia Zaufanej Trzeciej Strony poddają w wątpliwość możliwość zainfekowania komputerów kancelarii. A konkretnie tego jednego, który w ramach wydzielonej sieci łączy się z systemem PESEL i nie może służyć niczemu innemu. Ponadto trudno podważyć także szczelność obowiązujących w tym przypadku procedur bezpieczeństwa.
Uwagę zwraca fakt, że wspomniane pięć kancelarii (z Warszawy i Łodzi) to podmioty prowadzące działalność na wielką skalę, co jednak nie uzasadniania (sprzecznej z procedurami) automatyzacji wysyłania zapytań. Czy rzeczywiście zatem do przejęcia kontroli nad komorniczą infrastrukturą nie doszło? A jeśli tak, to w jakim celu kancelarie wyłudzały ogromną ilość danych? Te fakty ustali ABW.
