Kolejna wpadka po stronie informatyków pracujących dla rządu. Strona rządowa umożliwiała podglądanie cudzych paszportów. Ministerstwo Cyfryzacji już załatało tę dziurę, ale publicznie nie komentuje sprawy.
O niecodziennym incydencie informuje portal niebezpiecznik.pl, który otrzymał cynk od jednego z czytelników. Okazało się, że po wyświetleniu danych ze swojego paszportu link URL strony www.gov.pl wygląda dość dziwnie i zawiera dopisek "application details".
Dzięki prostej zmianie identyfikatora każdy mógł przejrzeć wniosek paszportowy innej osoby. Co więcej, miał także dostęp do danych z samego paszportu.
W praktyce oznacza to, że można było sprawdzić numer PESEL innej osoby, numer i serię paszportu, wzór podpisu, imiona, nazwiska, zdjęcie, datę i miejsce urodzenia, płeć oraz adres do korespondencji.
Niektóre osoby mogły także pozyskać informacje dotyczące "dzieci wpisanych do paszportu rodzica – jeśli takie wpisy były w paszporcie (od 8 kwietnia 1991 roku do 27 sierpnia 2006 roku dzieciom nie wydawano paszportów – dane dziecka wpisywano do paszportu rodzica)".
Portal niebezpiecznik.pl donosi, że można było sprawdzić dane nie tylko z paszportów. Możliwy był także dostęp do informacji o ograniczeniach związanych z opuszczeniem kraju.
Serwis zgłosił możliwość nieautoryzowanego dostępu do Ministerstwa Cyfryzacji. Po zaledwie dwóch godzinach podglądanie własnych i cudzych danych paszportowych zostało zablokowane.
Jednak resort nie pokusił się o skomentowanie tej sprawy. W związku z tym nie wiadomo, jak długo można było sprawdzać cudze dane i ile osób skorzystało z tej furtki.
To niepierwszy błąd, który pojawił się na rządowych stronach. Pod koniec 2023 r. padła strona podatki.gov.pl. Przez kilka godzin podatnicy nie mogli rozliczyć się ze skarbówką.
Minister cyfryzacji Janusz Cieszyński przekonywał wówczas, że za atak hakerski odpowiada Rosja. Zapewniał, że dane obywateli są bezpieczne.
Natomiast pod koniec maja doszło do ogromnego wycieku danych. Do sieci trafiło kilka milionów loginów i haseł z Polski. W reakcji na ten incydent rząd uruchomił narzędzie "bezpieczne dane", czyli wyszukiwarkę, która sprawdza, czy nasze zapisane dane do logowania są bezpieczne. Nowym mechanizmem chwalił się Cieszyński na Twitterze i zachęcał Polaków do jego testowania.
Problem w tym, że tuż po tej informacji (około godz. 11:00) narzędzie nie działało. Liczni użytkownicy zgłaszali problemy z logowaniem. W dodatku wymaga logowania przez profil zaufany, ograniczając jej zastosowanie. Co więcej, Polski zabrakło wśród krajów na liście wyboru lokalizacji.
Z kolei w połowie czerwca minister Cieszyński poinformował o kolejnym ataku hakerskim. Jego ofiarą padła Elektroniczna Platforma Usług Administracji Publicznej – ePUAP, która służy do komunikacji obywateli z jednostkami administracji publicznej. Szef resortu zapewnił, że usługi są "dostępne", ale mogły pojawić się problemy.