Bezpieczeństwo  /  News

Gigantyczna wtopa. Dane 20 tys. policjantów, strażaków i innych funkcjonariuszy trafiły do sieci

Picture of the author

Jak informuje serwis Niebezpiecznik.pl, dane ponad 20 tys. funkcjonariuszy publicznych zostały udostępnione w ArcGIS, serwisie do do wizualizacji danych.

Na dokument zawierający dane ponad 20 tys. funkcjonariuszy natknął się czytelnik Niebezpiecznika, który akurat przeszukiwał ArcGIS pod kątem udostępnionych tam dokumentów na temat szczepień w Polsce. Przeszukując bazę danych natrafił on na pliki udostępnione przez użytkownika, który w swoim adresie e-mail miał wyszukiwaną akurat frazę kluczową: _rcb (bez podkreślnika rzecz jasna).

Biorąc pod uwagę adres e-mail, dane funkcjonariuszy zostały udostępnione przez jednego z pracowników Rządowego Centrum Bezpieczeństwa. Dlaczego tego typu dokument trafił akurat na ArcGIS? RCB nie udzieliło odpowiedzi na to pytanie.

Sam udostępniony dokument to najprawdopodobniej lista zapisów na szczepienie przeciw COVID-19 dla wszystkich chętnych pracowników i funkcjonariuszy służb państwowych. To tłumaczyłoby również obecność tam takich danych, jak imię i nazwisko, adres e-mail, numer telefonu, czy numer PESEL. Całe szczęście kolumna podpisana 'seria i numer dowodu tożsamości/paszportu' była pusta.

Wyciek tego typu danych to oczywiście spory problem

Całe szczęście, w dokumencie nie podano adresów prywatnych zapisanych tam funkcjonariuszy. Niemniej jednak taka baza, dostępna dla wszystkich chętnych może okazać się dużym problemem, jeśli wpadnie w niepowołane ręce kogoś, kto będzie chciał wykorzystać dane kontaktowe chociażby do nękania funkcjonariuszy wybranych służb. Chodzi tu oczywiście głównie o policjantów, czy też celników.

Kolejnym ryzykiem jest połączenie tej bazy danych, z informacjami, które ktoś o nie do końca dobrych zamiarach będzie w stanie znaleźć w sieci, wpisując na przykład podane w omyłkowo udostępnionym dokumencie numery telefonów funkcjonariuszy.

Rządowe Centrum Bezpieczeństwa ograniczyło się jak na razie do dość zdawkowego komentarza na temat całej sprawy:

W związku z charakterem ww. informacji niezwłocznie podjęliśmy działania zmierzające do całkowitego zablokowania formularza i zabezpieczenia wykazu rekordów przesłanych za jego pośrednictwem. Równolegle (zgodnie z Procedurą zgłaszania naruszeń ochrony danych osobowych w Rządowym Centrum Bezpieczeństwa z dnia 11 września 2018 r.), wszczęliśmy wewnętrzną procedurę wyjaśniającą. W tej chwili prowadzimy spotkanie operacyjne, w trakcie którego analizujemy potencjalne przyczyny zaistniałej sytuacji. Gromadzimy także szczegółowe informacje dot. ewentualnego pobrania plików zawierających dane osobowe przez podmioty do tego nieuprawnione.

Miejmy nadzieję, że tych nieuprawnionych podmiotów było jak najmniej.

przeczytaj następny tekst