Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Główny Urząd Geodezji i Kartografii informuje o kolejnym naruszeniu danych osobowych. Naruszenie dotyczyło danych z obszaru 157 powiatów

15 lipca 2022, 10:06 | W biegu | komentarzy 13

Jak czytamy w oficjalnym oświadczeniu:

Główny Geodeta Kraju (GGK) informuje, że w dniu 11.07.2022 r. o godz. 12:34 powziął informację o podatności zintegrowanego systemu informacji o nieruchomościach (ZSIN) na nieuprawniony dostęp do zgromadzonych tam danych o działkach ewidencyjnych (w tym numerach ksiąg wieczystych) oraz ich właścicielach / współwłaścicielach / użytkownikach wieczystych (imiona, nazwiska, imiona rodziców, nr PESEL, informacja o śmierci, a pośrednio również adresy zamieszkania, informacje o związkach małżeńskich w/w osób, własności poszczególnych działek). Naruszenie dotyczyło danych z obszaru 157 powiatów (wykaz powiatów jest dostępny na stronie http://www.gugik.gov.pl/bip/zintegrowany-system-informacji-o-nieruchomosciach).

Po analizie konfiguracji ZSIN ustalono, że w dniu 20.08.2018 r., na wniosek Wykonawcy realizującego rozbudowę ZSIN w ramach projektu ZSIN Faza II, wystawiono jeden z serwerów ZSIN pod adresem http://mapy.zsin.gugik.gov.pl. To działanie spowodowało, iż od tego dnia do dnia powzięcia informacji na stronie internetowej powiązanej z serwerem http://mapy.zsin.gugik.gov.pl dostępne były wskazane powyżej dane.

Dodatkowo urząd informuje:

Konsekwencją nieuprawnionego wykorzystania ww. danych osobowych jest możliwość np.:

  • kradzieży tożsamości osoby,
  • oszustwa z wykorzystaniem danych osoby.

Czyli przez niemal 4 lata (dostęp został zablokowany 11.07.2022r.) ww. dane były dostępne praktycznie publicznie, trzeba było znać ww. adres. Być może mapy (z możliwością dostępu do danych osobowych) były wystawione na niestandardowym porcie:

Podziękowania dla Tomka dla przesłanie nam informacji o tym incydencie.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. wiq
    Odpowiedz
    • W sensie 8080, to inny niż „standardowy”: 80 / 443

      Odpowiedz
  2. asdsad

    Skoro „kolejne”, to gdzie poprzedni?

    Odpowiedz
  3. Paweł

    „Naruszenie dotyczyło danych z obszaru 157 powiatów”. W Polsce jest 314 powiatów, a więc sprawa dotyczy równo połowy. Wiemy o którą połowę chodzi?

    Odpowiedz
  4. Paweł

    „Być może mapy (z możliwością dostępu do danych osobowych) były wystawione na niestandardowym porcie”. A może usługa WMS została w niewłaściwy sposób skonfigurowana.

    Odpowiedz
    • M

      WMS to usługa udostępniania danych rastrowych. Jedyne, co dostaniesz za jej pośrednictwem to wycinek mapy jako plik jpg/PNG i ogólne informacje dotyczące danej warstwy. Żeby otrzymać tak szczegółowe informacje musiało być tam coś innego, jak WFS, który umożliwia pobierania danych wektorowych i odpytywanie o atrybuty poszczególnych obiektów.

      Odpowiedz
      • Adam

        WMS pozwala na GetFeatureInfo – żmudnie, ale w ten sposób można wyciągnąć informacje atrybutowe.

        Odpowiedz
  5. Maciej

    Dodajmy do tego, że ten server był wystawiony na nie aktualizowanym tomkacie, nie aktualizowanym geoserverze z zostawionym jednym jedynym kontem- admin z domyślnymi ustawieniami logowania.

    Odpowiedz
  6. Qba

    To jest efekt ze urzędy geodezji trzymają w swoich „bazkach” informacje uzyskane w trakcie prowadzenia statutowych działań.

    Przykład :

    Kupujesz w Polsce kilka działek , po kilku latach zmieniasz miejsce zameldowania .
    I nie jest ważne, że dopełniłeś (nie)istniejącego obowiązku meldunkowego.
    Wszelka korespondencja dotycząca podatków za ziemie będzie do Ciebie wysyłana na adres który urzędasy zapisały sobie gdzieś w trakcie pracy.
    Przechodziłem przez to w dwóch urzędach w dwóch różnych miejscach Polski.
    Można bić głową w mur – nic z tym nie robicie bo prawo podatkowe wskazuje dane urzędu jako podstawę do operacji skarbowo-podatkowych.
    Człowiek musi przelecieć się po wszystkich tych urzędach i zaktualizować dane adresowe.

    Po co ? Czemu?

    Aby jakiś de..il wystawił Twoje dane świadomie lub nieświadomie do publicznej wiadomości .

    Odpowiedz
    • JAnusz

      Władze powinny raz na zawsze przestać bawić się w meldunki i wprowadzić rejestr adresów _do_korespondencji_.

      Odpowiedz
  7. ws

    Ciekawe, czy te dane są dalej dostępne w takich serwerach jak archive*org

    Odpowiedz
  8. Marcin

    No dobrze, a jaka kara dla urzędników i wykonawców? Gdyby była to prywatna firma to pewnie poniżej 1M PLN by się nie obyło przy takiej skali oraz czasie problemu…

    Odpowiedz

Odpowiedz