Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Ktoś przez kilka lat kradł dane z ksiąg wieczystych (w tym dane osobowe).

29 lipca 2022, 16:47 | W biegu | komentarzy 26

Dość niepokojąca informacja pokazała się niedawno na stronach rządowych:

Informujemy, że w wyniku kontynuowanego audytu wewnętrznego Główny Geodeta Kraju (GGK) powziął 25.07.2022 r. o godz. 13:24 informację o wielokrotnych przypadkach nieuprawnionego dostępu do zbiorów danych i usług obejmujących obszar całego kraju, odpowiednio gromadzonych i realizowanych z wykorzystaniem tzw. serwerów Integracji Głównego Urzędu Geodezji i Kartografii (GUGiK).

Sekurak: apropos „kontynuowania audytu” – prawdopodobnie inicjatorem audytu był ten wątek.

Na serwerach tych przetwarzane są dane Państwowego Zasobu Geodezyjnego i Kartograficznego (PZGiK), jak również inne dane potrzebne do wystawienia przez GUGiK stosownych aplikacji internetowych i usług sieciowych. Stwierdzone dotąd przypadki nieuprawnionego dostępu do zbiorów danych i usług PZGiK wystąpiły w okresie od 06.07.2018 r. do 25.07.2022 r. Były realizowane (poprzez logowanie do serwerów Integracji GUGiK oraz do paneli zarządzających usługami) z wykorzystaniem systemów informatycznych o identyfikatorach IP należących do zewnętrznego podmiotu gospodarczego, nieposiadającego wymaganych umów/upoważnień GUGIK w tym zakresie oraz haseł dostępowych.

Nota bene: trochę enigmatycznie brzmi „podmiotu gospodarczego (…) nie posiadającego (…) haseł dostępowych”. Czytajmy dalej:

Poprzez serwery Integracji GUGiK możliwy był dostęp do numerów ksiąg wieczystych (KW) nieruchomości na obszarze całego kraju, a w konsekwencji do danych osobowych osób władających tymi nieruchomościami obejmujących: imiona i nazwiska, imiona rodziców, nr PESEL, formę władania oraz inne dane zawarte w KW. Dotyczy to trudnej do określenia liczby osób z obszaru całego kraju posiadających nieruchomości, dla których prowadzone są księgi wieczyste w systemie EKW, i których numery wpisane zostały do ewidencji gruntów i  budynków.

Konsekwencją nieuprawnionego wykorzystania ww. danych osobowych mogą być m.in. kradzież tożsamości osoby, oszustwa z wykorzystaniem danych osoby itp.

Mówiąc w skrócie – pewien „zewnętrzny podmiot gospodarczy” uzyskiwał nieupoważniony dostęp (aka wykradał) do danych zawartych w księgach wieczystych. Proceder trwał 4 lata, a jakie dokładnie osoby mogą być poszkodowane – nie wiadomo (zapewne nie ma szczegółowych logów za aż tak długi czas). Dostęp został zablokowany: 25.07.2022 r. o godz. 14.00

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Maciej

    Afera z niczego. Księgi wieczyste są w Polsce jawne, z istotnych powodów. Można je enumerować tak czy inaczej. Przestańmy traktować PESEL i imiona rodziców jak jakieś supertajne dane uwierzytelniające i problem zniknie. Choć warto na marginesie zwrócić uwagę też na kwestię poziomu odporności przeciętnych ludzi na spear phishing np. wykorzystujący informacje o banku, w którym mają kredyt.

    Odpowiedz
    • Kogut

      Księgi wieczyste są jawne ale żeby poznać numer księgi i żeby ją przeglądać – trzeba się legitymować interesem prawnym. Jest to swego rodzaju zabezpieczenie, które stanowi kompromis pomiędzy możliwością poznania ich treści a ochroną danych osobowych w nich zawartych. W KW można znaleźć wiele informacji np. o sytuacji finansowej właściela gdyż można zobaczyć hipotekę. Do tego odpowiednia analiza wpisów w księdze/ksiegach pozwala wywnioskować sporo o np. członkach rodziny. Takie dane mogą być w różny sposób wykorzystane np. przez organizacje przestepcze czy nawet obce służby specjalne. Tak więc nie jest prawdą, że numer księgi nie jest daną osobową zresztą o tym decydują przepisy RODO a nie widzimisię jakiegoś Kowalskiego. Numer księgi pozwala ustalić dane osobowe konretnych osób więc jest daną osobową. Jeżeli jednak masz interes prawny w tym by poznać konkretną KW to korzystasz z jawności ksiąg wieczystych i masz do nich dostęp.

      Odpowiedz
      • > Księgi wieczyste są jawne ale żeby poznać numer księgi i żeby ją przeglądać – trzeba się legitymować interesem prawnym.

        Jakim interesem prawnym? Do przeglądania księgi wieczystej przez internet potrzebny jest tylko jej numer.

        Odpowiedz
      • mrit

        Każdą księgę można przeglądać legalnie i za darmo przez internet, powiązanie działki z księgą kosztuje od 30 złotych.

        Odpowiedz
        • kkkkffff

          To powiązanie jest możliwe właśnie przez wycieki numerów ksiąg wieczystych. Zwyczajnie jest to handel danymi osobowymi. Po co się najczęściej kradnie dane osobowe ? żeby nimi handlować ! Proszę nie mydlić oczu czytelnikom taka usługa nie jest legalna i nie jest oferowana przez władze publiczne. Żeby przeglądać KW trzeba mieć jej numer a żeby mieć numer trzeba go uzyskać w legalny sposób we właściwym urzędzie po wykazaniu interesu prawnego (np. zakup nieruchomości).

          Odpowiedz
          • mrit

            jakie 'wycieki numerów ksiąg’?

            to jest 8 cyfr, zwykle z 2-3 zerami z przodu, geoportal oferował latami tą usługę za darmo, była to de facto wiedza publiczna

            gdyby była tam potrzebna porządna niejawność to numer byłby wzorem iban 26 cyfrowy i nadawany losowo

            nie widzę żadnych istotnych problemów z tym że da się łatwo ustalić właściciela kawałka kraju, no chyba że piszesz z pozycji obajtka czy morawieckiego, wtedy, owszem, różowo nie jest

  2. Imie

    To jak z odpowiedzialnością teraz będzie? Można złożyć zawiadomienie? Jak sprawdzić czy nasze dane wyciekły?

    Odpowiedz
    • PK

      Te dane, które są dostępne w EKW po wpisaniu numeru KW nieruchomości? No mega wyciek ;)

      Odpowiedz
  3. Odpowiedz
    • asdsasd

      No spoko – nie są daną osobową. Tyle, że pozwalają powiązać adres z nazwiskiem.
      Generalnie zamysł słuszny – argumenty z blogu mi się podobają. Ale wykonanie nie bardzo. Co najmniej nie powinno się dać pobierać tych danych w sposób masowy i anonimowy.
      Wszystko jest ładne i piękne, dopóki nas nie dosięgnie problem, gdy ktoś posłuży się naszymi danymi w sposób przestępczy. Tylko proszę nie pisać, że wystarczającym zabezpieczeniem są wysokie kary dla przestępców. To nie odstrasza.

      Odpowiedz
      • Uiiii

        Dla nie wtajemniczonych. Ten Pan co zaparsza na swój blog ujawnił na portalu prowadzonym przez Urząd, którym kierował numery ksiąg wieczystych wszystkich nieruchomości w Polsce. Gdy PUODO wszczął kontrolę nie wpuścił go do Urzędu. W tej chwili Urząd ma już 3 albo 4 kary nałożone przez PUODO. Ten Pan został odwołany ze stanowiska. Wojewódzki Sąd Administracyjny już potwierdził, że numer Księgi to dana osobowa. Gdy ten bloger był jeszcze szefem Urzędu odwołał się jeszcze od wyroku do Naczelnego Sądu Administracyjnego. Wyroku jeszcze nie wydano ale można się spodziewać, że podtrzyma wyrok WSA. Tak więc póki co ma interes w tym by lobbować za tym, że numer Księgi nie jest daną osobową i to właśnie czyni.

        Odpowiedz
  4. jan

    Chore jest to, że znajomość danych osobowych w tym peselu pozwala na tak wiele…

    Odpowiedz
    • somer45

      Chore jest to, że w ogóle istnieje coś takiego, jak numer PESEL i baza PESEL.

      Zresztą jawność ksiąg wieczystych w obecnej ich formie nie jest konieczna do sprawnego obrotu gospodarczego. Właściciel nieruchomości powinien móc zastrzec u notariusza, że nie życzy sobie ujawniania w publicznie dostępnych rejestrach informacji, że dana nieruchomość jest jego własnością i że nie wyraża zgody na próby kontaktowania się z nim z ofertami jej kupna/wynajmu/innych rzeczy. A dostęp (srogo kontrolowany) do rejestrów poufnych powinni mieć komornicy, sądy i policja po uzyskaniu uprzedniej zgody sądu.

      Odpowiedz
  5. PK

    Kradli publicznie dostępne dane. Poza przełamaniem zabezpieczeń nie ma za ich sądzić. Inni na spokojnie enumerują EKW i sprzedają online jedną KW za 40zł. Należałoby ograniczyć dostęp do danych właścicieli nie tylko na poziomie EKW, ale i organów publicznych i samorządowych. KW to wielostronnie otwarta baza PESEL-i właścicieli i ich wstępnych. Dodatkowo jakoś nikt do tej pory nie zrobił afery, że na EKW stało Google Captcha i Google mają ogrom numerów KW -> dostęp do PESEL-i.

    Odpowiedz
    • asdsasd

      Pleciesz. Co ma caotcha od Google do zawartości strony? To tak nie działa. Teraz nie ma kapcia i można cisnąć do oporu – lepiej teraz jest?

      Odpowiedz
    • ZenObi

      Niby zna się literki, ale czytać ze zrozumieniem się nie potrafi. Wyciek nie był z rejestru ksiąg wieczystych (dane jawne) tylko z serwera Głównego Geodety Kraju. Tłumaczyć dalej mi się nie chce

      Odpowiedz
  6. Wojciech

    Sprawa jest uważam bardzo poważna
    Bo znając teraz twoje nazwisko i imię łatwo można ustalić twoje nieruchomości w każdym zakątku kraju
    I bym się nie zdziwił jakby to było szyte dla panów z Biku, Bigu i Jest, wszystkich szemranych funduszy sekurytyzacyjnych.
    Bo póki co to przeglądanie ksiąg wieczystych to inna bajka, bo żeby przejrzeć musisz znać numer i adres księgi, slowem trzeba wiedzieć gdzie szukać.
    A tak to teraz pewne fundusze z Luksemburga i ważna kancelaria z Wrocławia ma cały kraj u siebie na dysku!!!!
    A minister o ustach karpia i jego zwierzchnik z Żoliborza nie mający nawet poważnego smartfona uważają że nie ma sprawy.
    Skandal

    Odpowiedz
  7. Adam

    Czy zgłoszono sprawę do UODO lub prokuratury?

    Odpowiedz
    • prokutatura

      bo ukradli dane publicznie dostępne? :P

      Odpowiedz
  8. Dora

    W KRS czy Monitorze Sądowym też są dostępne dane personalne i pesele i wszystko jest jawne. W dodatku „googlują” się i nikogo to nie razi.

    Odpowiedz
  9. fffffffffffffffff

    Czyli: „dane nam ciekną, ale nic nie możemy z tym zrobić”, albo: „przecież nie zmienimy domyślnego hasła, bo sami się odetniemy”?

    W poprzednim artykule było, że pociekły dane z połowy powiatów. Może musieli poczekać aż wyciekną z pozostałych?

    Odpowiedz
  10. hfjfhcb

    E tam kradł, czytajcie między wierszami. Chodzi o naruszenie procedur podwykonastwa.

    Odpowiedz
  11. as

    Tytul wprowadza w bląd. Dane te były powszechnie dostepne. Format ksieg wieczystych znany. Kradziez jest wtedy jak trzeba jakies zabezpieczenia zlamac.

    Odpowiedz
    • To trochę tak jakby ktoś udostępnił przypadkiem kopię zapasową (z danymi klientów) na serwerze X (gdzieś publicznie dostępną, ale wymagało jej znalezienie troszkę zachodu).

      Odpowiedz
  12. Tomasz

    Tajemnica poliszynela jaki to podmiot i gdzie aktualnie rezyduje.

    Odpowiedz
  13. Robert

    Proszę Państwa sensacja wynika z tego, że w tej chwili niedobrze jest, bo można zdalnie przejrzeć kto jest właścicielem danej nieruchomości. W trosce o obywatela (w tym dziennikarza) ukróci sie ten proceder i w wyniku tego nie tak łatwo już będzie sporządzić listę „tłustych kotów”! I taka jest intencja sensacji…..

    Odpowiedz

Odpowiedz