Nasze dane osobowe to dziś jedna z najcenniejszych informacji, jaką powinniśmy chronić w sieci. Jednak często to, czy i jakie dane wyciekną nie zależy od nas, ponieważ źródłem wycieku może być nasza uczelnia, miejsce pracy czy serwis, z którego korzystamy. Jednak inaczej patrzy się na sprawę, jeżeli wyciek miał miejsce w skutek skoordynowanego ataku na jakiś podmiot, a inaczej – jeżeli prywatne dane osobowe zostały po prostu publicznie udostępnione w wyniku czyjejś niekompetencji. Jeszcze inaczej, jeżeli taka sytuacja miała miejsce w instytucji rządowej, a już kompletnie inaczej – jeżeli ta instytucja ma słowo „bezpieczeństwo” wpisane w swojej nazwie.

Rządowe Centrum Bezpieczeństwa tak po prostu ujawniło dane ponad 20 tys. funkcjonariuszy publicznych

O całej sprawie jako pierwszy poinformował Niebezpiecznik.pl, który z kolei dotarł do niej poprzez jednego z czytelników. Plik znalazł on na ArcGIS, zewnętrznej platformie analitycznej, na której poszukiwał informacji dot. szczepień. Na to, że został on tam umieszczony przez kogoś z RCB, wskazuje nick zamieszczającego, którego końcówka to właśnie „_rcb”.

Redaktorzy serwisu pobrali plik i zauważyli, że znajduje się w nim ponad 20 tys. wpisów z danymi osobowymi osób pełniących funkcje publiczne: policjantów, strażników miejskich, pracowników SOP, strażaków, pracowników ITD i innych. Jeżeli chodzi natomiast o to, jakie dane trafiły do sieci, to są to: imię i nazwisko, adres e-mail, numer telefonu, pełna nazwa jednostki, pełen adres zamieszkania, numer telefonu komórkowego do pracownika i numer PESEL. O ile nie ma tutaj bardzo wrażliwych danych (na szczęscie pola pt. seria i numer dowodu osobistego były puste) o tyle wyciek takich danych jest i tak bardzo groźny dla osób pełniących funkcje publiczne. Szczególnie, jeżeli w ręce przestępców i grup przestępczych wpadną dane adresowe policjantów. Nie trudno sobie wyobrazić, że to właśnie dzięki nim możliwe będzie zastraszanie czy akty zemsty np. na rodzinach funkcjonariuszy.

Dla Rządowego Centrum Bezpieczeństwa to kompromitacja

Jak wynika z danych zawartych w arkuszu, był on listą funkcjonariuszy publicznych, którzy wyrazili chęć zapisania się na szczepienia. Po interwencji Niebezpiecznika u RCB plik znikł z serwisu ArcGIS, co tylko może wskazywać na to, że za jego umieszczenie faktycznie odpowiadał ktoś z instytucji. Nie dostaliśmy jednak odpowiedzi na pytanie co on tam robił i kto (i pod czyją autoryzacją) go tam umieścił. Wiadomo, że ArcGIS odpowiada za m.in. interaktywną mapę zakażeń koronawirusem i może umieszczenie danych w jego repozytorium było jakąś niezbyt umiejętną próbą przekazania danych o szczepieniu do tego systemu. Tego najpewniej dowiemy się, kiedy RCB zakończy własne śledztwo w tej sprawie. Powstaje jednak pytanie, dlaczego tak duża baza danych była tworzona w Excelu i nie podlegała żadnemu szyfrowaniu?

Najbardziej w tym wszystkim szkoda funkcjonariuszy, którzy w tym momencie mogą mieć tylko nadzieję, że dane nie zostały pobrane przez osoby, które chcą wykorzystać je przeciwko nim.

Źródło