Dane wyborców w plikach bez haseł. Tak otrzyma je Poczta Polska

Zaledwie trzy tygodnie temu pisaliśmy o niepokojącym procesie przetwarzania danych przez Pocztę Polską. Wówczas spółka skarbu państwa prosiła gminy o przesyłanie szczegółowych informacji o wyborcach w plikach .txt bez jakichkolwiek zabezpieczeń. Pomimo dość szerokiego odzewu na tą sprawę, niewiele się zmieniło.

A na pewno nie na lepsze. 9 maja w Dzienniku Ustaw pojawiło się nowe rozporządzenie dotyczące przeprowadzenia wyborów powszechnych na Prezydenta Polski. Wśród zawartych w nim regulacji ujęto między innymi kwestię przekazywania spisu wyborców Poczcie Polskiej. Rozporządzenie wprowadził Minister Aktywów Polskich.

Dane Polaków będą przesyłane przez urzędy miejskie (wójtów, burmistrzów i prezydentów miast) do przedstawicieli komisji wyborczych w jednej z dwóch wersji. Według ustaleń, imiona, nazwiska, imiona rodziców, data urodzenia, dane adresowe czy numer PESEL mają być zapisane w formie pliku edytowalnego .xls lub .xlsx. Bez żadnego zabezpieczenia.

Inna z uzgodnionych wersji przewiduje wydruk opatrzony podpisem własnoręcznym lub podpisem elektronicznym. W rozporządzeniu pada też mowa o przekazaniu danych do "operatora wyznaczonego", którym jest Poczta Polska. Przekazanie danych może nastąpić przez ePUAP (skrzynkę pocztową) lub na "informatycznych nośnikach danych".

W przypadku przekazywania danych w drugiej z wyznaczonych form, proces ma odbyć się w analogiczny sposób, czyli za pośrednictwem plików .xls lub .xlsx bez hasła. Jak zauważa Niebezpiecznik, w kraju dojdzie do masowego powstawania niezabezpieczonych plików pełnych prywatnych danych. Tym samym powstaje spore zagrożenie wycieku takich informacji.

Cyberprzestępcy z pewnością chętnie dobiorą się do takich plików. Spokojnie można zasugerować, że z taką wiedzą rozpoczną zmasowane kampanie phishingowe, aby włamać się na komputery czy serwery urzędów miejskich/gminnych. A to nie jedyny sposób, w jaki te dane mogą wyciec z rąk urzędników.