Uwaga - wyciekają dane z Profilu Zaufanego.

Grandalf

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19206
Reakcje/Polubienia
55894
Osoby logujące się do rządowych serwisów z użyciem Profilu Zaufanego czasami widzą dane innych osób, np. w Emp@tii lub EKRS. Sprawa jest bardzo niepokojąca, a problem sygnalizowany jest przynajmniej od miesiąca. Coraz trudniej uwierzyć, że to niepowiązane pojedyncze przypadki.

Cudze dane w Emp@tii…
Otrzymujemy zgłoszenia dotyczące błędów podczas logowania się do systemu
Zaloguj lub Zarejestruj się aby zobaczyć!
w celu wypełnienia wniosku 500+ lub 300+ korzystając z Profilu Zaufanego.

Logowanie_za_pomoca%CC%A8_has%C5%82a_-_Profil_Zaufany-600x327.png

Jak pisze użytkownik:
(..) zostaniemy zalogowani jako INNY UŻYTKOWNIK (w moim przypadku była to MARZENA KLIM. Nie wiem czy nieprawidłowo wyświetla tylko imię i nazwisko czy faktycznie pobiera z PZ dane innej osoby.
Kliknij aby rozwinąć...
Jeśli Pani Marzena nas czyta, z chęcią się z nią skontaktujemy. Namierzyliśmy kilka osób o tym nazwisku ale zgadujemy, że nie wszystkie korzystają z Profilu Zaufanego.

..oraz w EKRS
Bardzo podobny problem zasygnalizował nam inny Czytelnik, który korzystał z systemu
Zaloguj lub Zarejestruj się aby zobaczyć!
Ministerstwa Sprawiedliwości, aby wykonać czynności dla swojego klienta. Wiemy, że EKRS i Profil Zaufany to dwie różne bajki, ale…
Do rejestracji w tym systemie należy w formularzu podać adres e-mail oraz hasło jakie chcielibyśmy mieć do logowania. Od pewnego czasu następnym krokiem jest autoryzacja podpisem kwalifikowanym lub właśnie epuap. W tym przypadku autoryzacja miała odbyć się epuap- przy użyciu bankowości elektronicznej. Konto epuap założone bez problemu, dane
po zalogowaniu sprawdzone, zgadzają się… Natomiast po założeniu konta w ekrs i próbie zalogowania do systemu w prawym górnym rogu pojawiają się dane zupełnie nieznanej mi/klientowi osoby… System co prawda chce weryfikacji poprawności konta przy pomocy linku, hasła które otrzymuje na właściwy e-mail, ale mam opory by to zrobić, w końcu to system sądowo-ministerialny, który podczas zakładania straszy odpowiedzialnością karną. Infolinia po 1h10min oczekiwania poinformowała mnie, że jestem 17 w kolejce (na początku byłem 39). Zgłoszenie e-mail najpierw dwukrotnie przyszła odpowiedź, że wiadomość nie została przeczytana, potem łaskawie nadano nr sprawie….
Kliknij aby rozwinąć...
Czyli obydwa przypadki mają coś wpólnego. Wygląda to tak, jakby autoryzacja Profilem Zaufanym w innych serwisach rządowych (EKRS, Emp@tia) powodowała zalogowanie się na konto przypisane do innej osoby lub pobranie z cudzego konta przynajmniej części danych innej osoby.

Czytelnik zgłaszający ten drugi przypadek dodatkowo sprawdził swoje konto ePUAP, zmienił hasło i sprawdził metody autoryzacji profilu. Nic nie wskazywało na błąd po jego stronie.

Dowodzik na cudze dane dzięki ePUAP
Co najgorsze, nie słyszymy o tym problemie pierwszy raz. W numerze 19 (11-17 V) tygodnika NIE znalazł się artykuł Mateusza Cieślaka pt. “…i kamieni kupa”. Dziennikarz NIE w charakterystyczny dla tego pisma sposób opisał, że zobaczył dane innej osoby korzystając z ePUAP-u do wyrobienia sobie nowego dowodu osobistego. Ale nie tylko Mateusz Cieślak miał ten problem.
Jak ustaliłem, nieznana liczba całkowicie przypadkowych osób w Polsce ma dostęp do profili zaufanych różnych osób. Moja rozmówczyni wyrobiła sobie dowód osobisty. Wniosek przyjęto, dowód przygotowano. Dopiero przy jego odbiorze moja rozmówczyni zorientowała się, że na dowodzie jej są wyłączynie zdjęcie, imię oraz nazwisko. Wszystkie pozostałe dane należały do kogoś innego – pisał Mateusz Cieślak.
Kliknij aby rozwinąć...
Próbowaliśmy się kontaktować z Panem Mateuszem, ale bezskutecznie. Tymczasem on bezskutecznie próbował uzyskać wyjaśnienia od Ministerstwa Cyfryzacji.

Oczywiście próbowaliśmy logować się przez ePUAP na swoje konta w różnych rządowych serwisach. Mieliśmy to szczęście, że wszędzie dane się zgadzały. Gdybyście mieli chwilkę to też spróbujcie i dajcie znać w komentarzach jeśli zobaczycie coś dziwnego. Najlepiej logujcie się Profilem Zaufanym w innych instytucjach i sprawdzajcie na jakim koncie jesteście.

Wypadałoby coś wyjaśnić
Dodatkowo niepokojące jest to, że ani COI ani MC nie wyjaśniły przyczyn niedawnej
Zaloguj lub Zarejestruj się aby zobaczyć!
. Czy ona mogła mieć coś wspólnego z wyciekami z ePAUP-u? Może nie, ale czy ktoś będzie miał na tyle odwagi by wreszcie oznajmić obywatelom próbującym ale nie mogącym korzystać z cyfrowej Polski — co jest grane? Rozumiemy, że nie zawsze można dyskutować o szczegółach, ale w tym przypadku chodzi o systemy isototne dla wszystkich obywateli i utrzymywane za ich pieniądze. A wciąż nie działające poprawnie.

Nie od dziś przyglądamy się problemom ePUAP-u. Nawet
Zaloguj lub Zarejestruj się aby zobaczyć!
, że nie można mu ufać, a była minister
Zaloguj lub Zarejestruj się aby zobaczyć!
, że najchętniej “zaorałaby” ten projekt. Co gorsza, ePUAP współpracuje z innymi systemami dalekimi od doskonałości (np. PUE ZUS) co przekładało się na
Zaloguj lub Zarejestruj się aby zobaczyć!
. Nie chcemy sugerować, że informatyzacja jest zła. Ona jest niezbędna, ale musi być robiona solidnie. A w ostatnich tygodniach, bardziej te systemy nie działają niż dzialają. W 2018 roku, to przede wszystkim smutne…
Kliknij aby rozwinąć...
źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

OXYGEN THIEF
Szczecin. Ktoś włamał się do systemu płatnego parkowania i podmienił numer konta...
Odpowiedzi
0
Wyświetleń
37
OXYGEN THIEF
OXYGEN THIEF
Grandalf
Prawie połowa serwerów Microsoft Exchange w Polsce narażona na ataki z zewnątrz
Odpowiedzi
0
Wyświetleń
67
Grandalf
Grandalf
Grandalf
DCG Centrum Medyczne zostało zhakowane - gruby wyciek
Odpowiedzi
2
Wyświetleń
79
Grandalf
Grandalf
Grandalf
Podatność powodująca, że szyfrowanie PGP mogło zmienić temat wiadomości e-mail w Thunderbirdzie
Odpowiedzi
0
Wyświetleń
58
Grandalf
Grandalf
spamtrash
wpath.org
Odpowiedzi
0
Wyświetleń
65
spamtrash
spamtrash
Do góry