7

Skany dowodów osobistych kibiców w serwisie PZPN. Co na to Boniek?

Niebezpiecznik.pl często dostaje informacje o różnych naruszeniach bezpieczeństwa czy lukach w różnych serwisach w Polsce od swoich czytelników. Dobrą praktyką, jaką się kierują jest fakt, że najpierw sprawdzają to, później informują dany serwis o wykrytych i stwierdzonych lukach, po czym opisują w swoim serwisie już po jakimś czasie.

Nie inaczej było w przypadku serwisu należącego do PZPN Łączy nas piłka, gdzie kibice zakładają konta, by otrzymać kartę kibica uprawniającą do wejścia na mecze reprezentacji Polski czy różnego rodzaju zniżek. W ustawieniach konta jest możliwość dodania skanu dowodu osobistego, co ma być niezbędne do zakupu biletu online.

Niestety skan ten w wyniku błędu w serwisie wyświetlał się w dzienniku aktywności kibiców, dostępnym publicznie pod adresem https://www.laczynaspilka.pl/aktywnosc-uzytkownika/XXXXXXX,1.html, gdzie iksy to losowy ciąg cyfr.

Niebezpiecznik poinformował o tym fakcie PZPN, ci odpowiedzieli, że problem usunęli.

Dziękujemy za czujność i wskazanie problemu. Faktycznie był problem, ale dziura została już załatana. (…) Nadmienię, że serwis Łączy nas piłka jest utrzymywany i rozwijany przez zewnętrzną firmę, a nie przez zespół bezpośrednio pracujący w PZPN. (…) informujemy, że nigdy w serwisie Łączy nas piłka nie było konieczności zamieszczenia skanu lub zdjęcia dowodu osobistego. Nigdy również do tego nie zachęcaliśmy. Jedynie osoby zakładające profil w serwisie mogą, ale nie muszą, zamieścić swoje zdjęcie.

Wczoraj Niebezpiecznik opisał go w swoim serwisie, a Sport.pl u siebie. Jeden z jego dziennikarzy zamieścił go na swoim koncie na Twitterze, jak to skwitował prezes PZPN, Zbigniew Boniek?

To rozzłościło internautów, wytykających brak poinformowania kibiców o fakcie, że ich dane z dowodu osobistego mogły być publicznie dostępne. To nie pierwsza tak kuriozalna wypowiedź Zbigniewa Bońka zahaczająca o ignorancje, pamiętamy jego wypowiedź o e-sporcie, w której określił go jako świadectwo pewnej patologii.

W powyższym wątku na Twitterze można znaleźć też wypowiedź, rzecznika prasowego PZPN, który się dziwi z opóźnienia z jakim Niebezpiecznik to opublikował.

Niezmiennie dziwi mnie taka postawa, kiedy tyle się mówi o wykradaniu tożsamości, wykorzystywaniu dowodów osobistych do zaciągania kredytów w imieniu nieświadomych użytkowników sieci. Mam nadzieję, że zbliżające się wejście w życie jednolitych przepisów w zakresie danych osobowych w Unii Europejskiej w postaci rozporządzenia o ochronie danych – RODO, uczuli te i inne instytucje na problem, a zwłaszcza planowane kary za niestosowanie się do nowych przepisów. Dla przypomnienia, jeden z przepisów nakłada obowiązek poinformowania o jakimkolwiek wycieku danych, już nawet wykrytym i załatanym.

Tak panie Zbigniewie, ten wpis również powstał dla kliknięć, ale też zwłaszcza po to, by pokazywać i uczulać takie serwisy jak wasz na bezpieczeństwo waszych użytkowników, którzy w dobrej wierze i z nadzieją, że nic się z nimi nie stanie, zostawiają wam swoje wrażliwe dane.