Przejdź na

Każdy mógł podejrzeć dane Polaków. Pozwalała na to luka w rządowym serwisie

Użytkownik serwisu moj.gov.pl znalazł w nim lukę, która pozwalała na dostęp do wniosków paszportowych oraz wydanych już dokumentów innych osób. Niezależni specjaliści ds. cyberbezpieczeństwa potwierdzają, że każdy mógł uzyskać dostęp do takich informacji jak numer PESEL, wzór podpisu, zdjęcie czy numer paszportu.

Polski paszport to dużo wrażliwych danych dostępnych publiczniePolski paszport to dużo wrażliwych danych dostępnych publicznie
Źródło zdjęć: © gov.pl
Katarzyna Rutkowska

Wniosek paszportowy można kontrolować online za pośrednictwem aplikacji internetowej moj.gov.pl. Serwis ten pozwala na sprawdzenie, w jakim terminie wyrabiany paszport będzie dostępny do odbioru. Widoczne w nim są także dane osobowe, których wymaga wniosek paszportowy.

Luka bezpieczeństwa moj.gov.pl

Portal moj.gov.pl wymaga logowania Profilem Zaufanym, a dostępne tam dane paszportowe (oraz kilku innych rejestrów) są widoczne tylko dla nas, urzędników oraz administratorów serwisu. Okazuje się jednak, że nie do końca wszystko jest aż tak poufne.

Dalsza część artykułu pod materiałem wideo

Jeden z czytelników portalu Niebezpiecznik.pl zauważył, że dotyczące go informacje wywołuje następujący URL:

Adres URL
Adres URL © Niebezpiecznik.pl

Wystarczyła drobna zmiana cyfr identyfikatora, żeby wywołać dane zupełnie obcych osób.

Kliknęła w zły link i straciła oszczędności. Bank musi zwrócić pieniądze
Kliknęła w zły link i straciła oszczędności. Bank musi zwrócić pieniądze

Skala możliwego wycieku danych z rządowego portalu

Podejrzeć można było paszporty i wnioski paszportowe, a więc następujące informacje:

  • imiona i nazwisko
  • numer PESEL
  • miejsce i data urodzenia
  • wzór podpisu
  • zdjęcie
  • adres do korespondencji
  • numer i seria paszportu
  • termin ważności paszportu

Portal moj.gov.pl identycznie traktował też wywoływanie danych osób z zakazem opuszczania kraju (tzw. zatrzymanych paszportów).

Niebezpiecznik.pl w czwartek rano poinformował o błędzie Ministerstwo Cyfryzacji. Według serwisu po około dwóch godzinach od zgłoszenia luka została usunięta. Trudno jednak określić, jak długo można było podejrzeć dane innych osób i jakiej skali dotyczył wyciek.

Centralny Ośrodek Informatyki, czyli firma realizującą projekty IT dla sektora publicznego, która wykonuje zadania wyznaczane przez Kancelarię Prezesa Rady Ministrów, w przekazanym serwisowi Niebezpiecznik.pl oświadczeniu zapewniła, że bezpieczeństwo danych obywateli jest priorytetowe. "Zlokalizowaliśmy błąd, w wyniku którego zalogowany przez Profil Zaufany użytkownik, mógł uzyskać dostęp do wniosków złożonych przez inne osoby. Trwa naprawianie błędu, dlatego usługa 'Moje dane w Rejestrze Danych Paszportowych' została natychmiast wyłączona i jest obecnie niedostępna" - poinformowała.

Ośrodek dodał, że sytuacja jest szczegółowo analizowana, a incydent zostanie zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych.

Katarzyna Rutkowska, dziennikarka dobreproramy.pl

mDowód wchodzi w życie. Minister podał termin
mDowód wchodzi w życie. Minister podał termin
Wybrane dla Ciebie
Wyciek danych klientów polskich sklepów. 130 tys. pokrzywdzonych
Wyciek danych klientów polskich sklepów. 130 tys. pokrzywdzonych
mBank zmienia wymagania aplikacji. Niektórzy muszą wymienić telefon
mBank zmienia wymagania aplikacji. Niektórzy muszą wymienić telefon
Awaria w Pekao S.A. Problem z bankowością (aktualizacja)
Awaria w Pekao S.A. Problem z bankowością (aktualizacja)
Zakazy social mediów dla nastolatków. Eksperci widzą problem
Zakazy social mediów dla nastolatków. Eksperci widzą problem
Zagrożenia w sieci. Na nie narażone są dzieci
Zagrożenia w sieci. Na nie narażone są dzieci
Sextortion: na czym polega internetowy szantaż?
Sextortion: na czym polega internetowy szantaż?
Koniec dominacji USA w Europie? Francja porzuca Windowsa
Koniec dominacji USA w Europie? Francja porzuca Windowsa
Ministerstwo Cyfryzacji zachwala mSzyfr. Nowy, bezpieczny komunikator
Ministerstwo Cyfryzacji zachwala mSzyfr. Nowy, bezpieczny komunikator
Zapłacą 99 mln dol. Pozwolą naprawić ciągniki bez oficjalnego serwisu
Zapłacą 99 mln dol. Pozwolą naprawić ciągniki bez oficjalnego serwisu
Komunikat Pekao S.A. Dotyczy wszystkich klientów
Komunikat Pekao S.A. Dotyczy wszystkich klientów
Copilot znika. Microsoft wycofuje się z agresywnej promocji
Copilot znika. Microsoft wycofuje się z agresywnej promocji
Santander Bank Polska zmienia nazwę. Będzie nowy adres WWW
Santander Bank Polska zmienia nazwę. Będzie nowy adres WWW
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥