Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Główny Urząd Geodezji i Kartografii informuje o kolejnym naruszeniu danych osobowych. Naruszenie dotyczyło danych z obszaru 157 powiatów
Jak czytamy w oficjalnym oświadczeniu:
Główny Geodeta Kraju (GGK) informuje, że w dniu 11.07.2022 r. o godz. 12:34 powziął informację o podatności zintegrowanego systemu informacji o nieruchomościach (ZSIN) na nieuprawniony dostęp do zgromadzonych tam danych o działkach ewidencyjnych (w tym numerach ksiąg wieczystych) oraz ich właścicielach / współwłaścicielach / użytkownikach wieczystych (imiona, nazwiska, imiona rodziców, nr PESEL, informacja o śmierci, a pośrednio również adresy zamieszkania, informacje o związkach małżeńskich w/w osób, własności poszczególnych działek). Naruszenie dotyczyło danych z obszaru 157 powiatów (wykaz powiatów jest dostępny na stronie http://www.gugik.gov.pl/bip/zintegrowany-system-informacji-o-nieruchomosciach).
Po analizie konfiguracji ZSIN ustalono, że w dniu 20.08.2018 r., na wniosek Wykonawcy realizującego rozbudowę ZSIN w ramach projektu ZSIN Faza II, wystawiono jeden z serwerów ZSIN pod adresem http://mapy.zsin.gugik.gov.pl. To działanie spowodowało, iż od tego dnia do dnia powzięcia informacji na stronie internetowej powiązanej z serwerem http://mapy.zsin.gugik.gov.pl dostępne były wskazane powyżej dane.
Dodatkowo urząd informuje:
Konsekwencją nieuprawnionego wykorzystania ww. danych osobowych jest możliwość np.:
- kradzieży tożsamości osoby,
- oszustwa z wykorzystaniem danych osoby.
Czyli przez niemal 4 lata (dostęp został zablokowany 11.07.2022r.) ww. dane były dostępne praktycznie publicznie, trzeba było znać ww. adres. Być może mapy (z możliwością dostępu do danych osobowych) były wystawione na niestandardowym porcie:
Podziękowania dla Tomka dla przesłanie nam informacji o tym incydencie.
~ms
WMS to nie neistandardowy port, a usługa GIS.
https://pl.wikipedia.org/wiki/Web_Map_Service
W sensie 8080, to inny niż „standardowy”: 80 / 443
Skoro „kolejne”, to gdzie poprzedni?
patrz np.: https://uodo.gov.pl/pl/138/1671
„Naruszenie dotyczyło danych z obszaru 157 powiatów”. W Polsce jest 314 powiatów, a więc sprawa dotyczy równo połowy. Wiemy o którą połowę chodzi?
„Być może mapy (z możliwością dostępu do danych osobowych) były wystawione na niestandardowym porcie”. A może usługa WMS została w niewłaściwy sposób skonfigurowana.
WMS to usługa udostępniania danych rastrowych. Jedyne, co dostaniesz za jej pośrednictwem to wycinek mapy jako plik jpg/PNG i ogólne informacje dotyczące danej warstwy. Żeby otrzymać tak szczegółowe informacje musiało być tam coś innego, jak WFS, który umożliwia pobierania danych wektorowych i odpytywanie o atrybuty poszczególnych obiektów.
WMS pozwala na GetFeatureInfo – żmudnie, ale w ten sposób można wyciągnąć informacje atrybutowe.
Dodajmy do tego, że ten server był wystawiony na nie aktualizowanym tomkacie, nie aktualizowanym geoserverze z zostawionym jednym jedynym kontem- admin z domyślnymi ustawieniami logowania.
To jest efekt ze urzędy geodezji trzymają w swoich „bazkach” informacje uzyskane w trakcie prowadzenia statutowych działań.
Przykład :
Kupujesz w Polsce kilka działek , po kilku latach zmieniasz miejsce zameldowania .
I nie jest ważne, że dopełniłeś (nie)istniejącego obowiązku meldunkowego.
Wszelka korespondencja dotycząca podatków za ziemie będzie do Ciebie wysyłana na adres który urzędasy zapisały sobie gdzieś w trakcie pracy.
Przechodziłem przez to w dwóch urzędach w dwóch różnych miejscach Polski.
Można bić głową w mur – nic z tym nie robicie bo prawo podatkowe wskazuje dane urzędu jako podstawę do operacji skarbowo-podatkowych.
Człowiek musi przelecieć się po wszystkich tych urzędach i zaktualizować dane adresowe.
Po co ? Czemu?
Aby jakiś de..il wystawił Twoje dane świadomie lub nieświadomie do publicznej wiadomości .
Władze powinny raz na zawsze przestać bawić się w meldunki i wprowadzić rejestr adresów _do_korespondencji_.
Ciekawe, czy te dane są dalej dostępne w takich serwerach jak archive*org
No dobrze, a jaka kara dla urzędników i wykonawców? Gdyby była to prywatna firma to pewnie poniżej 1M PLN by się nie obyło przy takiej skali oraz czasie problemu…