Cyfryzacja i jej rozkwit w ostatnich trzech latach przyniosła ze sobą dużo dobrego, ot, chociażby to, że wiele spraw da się załatwić z poziomu komputera czy smartfona, bez potrzeby stania w urzędowych kolejkach. Żeby jednak załatwianie tak ważnych spraw przez Internet za pośrednictwem rządowych platform, takich jak moj.gov.pl czy mObywatel, było bezpieczne, strony te muszą być odpowiednio zabezpieczone na wielu poziomach. Tym razem jednak tego elementu zabrakło, co potencjalnie mogło wywołać wiele szkód niczego niespodziewającym się obywatelom Polski.
Jak donosi serwis niebezpiecznik.pl, w serwisie moj.gov.pl pojawiła się dziura, która umożliwiała osobom postronnym podejrzenie danych, takich jak imię i nazwisko, PESEL, zdjęcie, numer paszportu, data urodzenia i adres zamieszkania. W tym celu wystarczyło jedynie… zmienić identyfikator w adresie URL, uzyskując dostęp nie tylko do danych, ale także wniosków paszportowych. Możliwe było także uzyskanie informacji o zakazie opuszczania kraju oraz danymi osoby, której zakaz dotyczy. Podsumowując – w zasadzie każdy mógł sobie przejrzeć wrażliwe dane posiadaczy polskiego paszportu.
???? Dziura w rządowym systemie moj[.]gov[.]pl
Można było podejrzeć dane Polaków z paszportów
Tym razem był dostęp nie tylko do danych osobowych ale też
-PESELu
-Zdjęcia
-Wzoru podpisuPełen opis tego co dało się pobierać tuhttps://t.co/2dzRnNWmUI
Czy te dane powinny tam być? pic.twitter.com/up6WTvF8JA
— Niebezpiecznik (@niebezpiecznik) June 22, 2023
Niebezpiecznik zgłosił oczywiście defekt Ministerstwu Cyfryzacji i po niespełna dwóch godzinach nie było możliwości ani przeglądania swoich danych, ani innych osób. Speców od zabezpieczeń zaskoczył jednak fakt, że błąd, który pojawił się na portalu to jeden z „podstawowych, wręcz prymitywnych do znalezienia błędów bezpieczeństwa” i każdy test penetracyjny powinien go w zasadzie natychmiast wyłapać. Tak się jednak nie stało, co ma prawo budzić obawę o to, jak bezpieczne są nasze dane na rządowych platformach, do których przecież powinniśmy mieć zaufanie.
Póki co jednak, bliżej mi do świadomości, i jak się okazało po zapoznaniu się z informacją od niebezpiecznik.pl – nie jestem w tym osamotniony, że nie jest to raczej ostatni taki incydent.
Źródło: niebezpiecznik.pl
Fot. tytułowa: pexels.com //Kevin Lu