Każdy mógł zobaczyć PESEL-e tysięcy Polaków. I adresy zamieszkania
Upadłość Getin Banku sprawiła, że niektórzy klienci musieli zgłosić wierzytelność. Krajowy Rejestr Zadłużonych nie wytrzymał nagłego zainteresowania i udostępniono rozwiązanie na skróty. Okazało się, że dzięki temu poufne dane mogły w prosty sposób wyciec.
Klienci chcący odzyskać nadpłacone pieniądze musieli zgłosić się poprzez Krajowy Rejestr Zadłużonych. Czasu na to było mało, bowiem należało to zrobić w ciągu 30 dni od ogłoszenia upadłości banku, jeśli nie chciało się ponosić dodatkowych opłat.
Termin minął 19 sierpnia. Jak informuje Niebezpiecznik 18 sierpnia strona przeżywała oblężenie, a odwiedzający ją Polacy widzieli komunikat o problemach wydajnościowych. Dlatego też postanowiono, że trzeba wypełnić specjalny wniosek, dołączyć go do postępowania, a wtedy otrzyma się dostęp do akt sprawy.
I każdy mógł to zrobić – nawet, jeśli nie był klientem Getin Banku
Wprawdzie gdyby tylko klienci pozyskali takie dane nie byłoby to żadnym usprawiedliwieniem, ale w tym przypadku sprawa jest tym bardziej szokująca. Wystarczyło w formularzu wpisać jakiekolwiek dane, dosłownie wyssane z palca, by w ten sposób zajrzeć do akt sprawy. I w ten sposób pozyskać takie szczegóły jak adresy zamieszkania czy przede wszystkim numery PESEL innych wierzycieli Getin Banku.
Przez tę "lukę" na widoku były informacje na temat 30 tys. Polaków. Co gorsza, Niebezpiecznik zaznacza, że można było też z bazy wyciągnąć numer dokumentu tożsamości czy informacji o nieruchomości.
Dobra wiadomość? Zalogowanie do systemu wymagało wykorzystania Profilu Zaufanego. Zła wiadomość? Profil Zaufany też da się przejąć, więc to żadne pocieszenie. Jeśli tylko cyberprzestępcy dowiedzieliby się o takiej podatności i zechcieli zrobić z niej użytek to teoretycznie mieli taką możliwość.
Najciekawsze jest to, że wszystko odbywa się zgodnie z prawem
W tekście używam sformułowania "luka", natomiast autorzy odpowiedzialni za system zgłaszania wniosków musieli być świadomi ryzyka. Świadczy o tym komentarz Urzędu Ochrony Danych Osobowych przesłany Niebezpiecznikowi:
UODO zgłaszał uwagi do projektowanych rozwiązań dotyczących informatyzacji funkcjonowania KRZ – zarówno do ustawy o Krajowym Rejestrze Zadłużonych, jak i aktów wykonawczych do jej przepisów. Za każdym razem UODO przedstawiał swoje obawy co do konstrukcji prawnej przyjętej w ustawie z dnia 6 grudnia 2018 r. o Krajowym Rejestrze Zadłużonych, zgodnie z którą zamieszczone w Krajowym Rejestrze Zadłużonych numery PESEL podlegają upublicznieniu, są zatem jawne i publicznie dostępne. Organ zwracał uwagę, że ta jawność i publiczna dostępność numerów PESEL w Krajowym Rejestrze Zadłużonych nie tylko nie daje się pogodzić z – statuowaną w art. 87 RODO – zasadą, by przetwarzanie „krajowego numeru identyfikacyjnego” (jakim jest numer PESEL) odbywało się z zachowaniem odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą, lecz – przede wszystkim – rodzi poważne zagrożenia dla osób, których numer PESEL zostanie za pośrednictwem Krajowego Rejestru Zadłużonych upubliczniony.
Najwidoczniej ktoś machnął ręką i stwierdził, że jakoś to będzie. Albo że jak problem wystąpi to wtedy będziemy się martwić. Ups, to właśnie ten moment.
Na szczęście przynajmniej na razie nie mówimy o realnym wycieku, a jego technicznej możliwości. Mimo wszystko można być zaniepokojonym, bo numer PESEL to bardzo wrażliwa i ważna informacja. A pozostałe sprawiają, że ewentualni oszuści wiedzieliby bardzo wiele na temat swych ofiar. Już sam fakt, że znają nasze imię może przyprawić o gęsią skórkę, a co dopiero, gdy powiedzą wszystko na temat kredytu i nieruchomości? Łatwo będzie uwierzyć, że to faktycznie przedstawiciel banku albo jakiegoś biura.
Sprawa to najlepszy dowód na to, że bardzo potrzebujemy możliwości zastrzeżenia swojego numeru PESEL.