Sprawdź jaki laptop Intel Evo jest najlepszy dla Ciebie Więcej
Polska

Spis Powszechny pozwala na sprawdzenie czy dowolny numer PESEL jest prawdziwy

GU
Grzegorz Ułan
14

Wszystko wskazuje na to, że konstrukcja formularza logowania do samospisu online w ramach Spisu Powszechnego A.D. 2021 nie jest zbyt bezpieczna. Pozwala na sprawdzenie istnienia w bazie dowolnego numeru PESEL, a nawet zbiorcze zablokowanie możliwości przeprowadzenia samospisu.

Spis Powszechny niemal w całości przeprowadzony zostanie w tym roku przez internet. Wiadomo o tym już od przynajmniej dwóch lat. Kilka testów na żywym organizmie w kilku gminach w Polsce w tym czasie - mam nadzieję, że przeprowadzonych też pod kątem bezpieczeństwa naszych danych i klops.

Spis Powszechny 2021 ropoczął się 1 kwietnia i już tego samego dnia odkryto podatność formularza do rejestracji na sprawdzenie numerów PESEL w bazie, a nawet na możliwość zablokowania przeprowadzenia samospisu dla posiadaczy odgadniętych numerów. Nie wspominając już o ryzyku dla obywateli, jakie niesie za sobą posiadanie bazy istniejących numerów PESEL w niepowołanych rękach.

Spis Powszechny niemal w całości przeprowadzony zostanie w tym roku przez internet. Wiadomo o tym już od przynajmniej dwóch lat. Kilka testów na żywym organizmie w kilku gminach w Polsce w tym czasie - mam nadzieję, że przeprowadzonych też pod kątem bezpieczeństwa naszych danych i klops.

Spis Powszechny 2021 ropoczął się 1 kwietnia i już tego samego dnia odkryto podatność formularza do rejestracji na sprawdzenie numerów PESEL w bazie, a nawet na możliwość zablokowania przeprowadzenia samospisu dla posiadaczy odgadniętych numerów. Nie wspominając już o ryzyku dla obywateli, jakie niesie za sobą posiadanie bazy istniejących numerów PESEL w niepowołanych rękach.

Jeden z użytkowników serwisu Wykop.pl bez większego problemu stworzył zapytanie do formularza rejestracji ze strony Spisu Powszechnego, który zwraca informacje o istnieniu bądź nie danego numeru PESEL, a w przypadku jednoczesnego odgadnięcia nazwiska rodowego matki - umożliwia założenie konta i blokadę udziału w spisie właściciela tegoż numeru.

Inny z użytkowników tego serwisu równie szybko i łatwo stworzył własny skrypt, który potrafi zbiorczo zablokować taką możliwość.

Jak na te doniesienia z sieci zareagował GUS? Rzecznik prasowy Prezesa Głównego Urzędu Statystycznego w odpowiedzi na takie głosy wydał oświadczenie, w którym poinformował, że takie działania i nieuprawnione posługiwanie się danymi jest niezgodne z prawem.

Wszystkie dane przetwarzane przez statystykę publiczną są bezpieczne i podlegają specjalnej ochronie (tajemnica statystyczna). Zwracam też uwagę, że podszywanie się pod czyjąś tożsamość w celu zalogowania się do formularza spisowego jest przestępstwem, zgodnie z art. 190a Kodeksu Karnego. Każde takie zdarzenie GUS będzie zgłaszał na policję i do Agencji Bezpieczeństwa Wewnętrznego.

Ufff... już czujemy się bezpiecznie, możemy z ulgą odetchnąć. Ponadto GUS wymienia sposoby na zalogowanie się do samopisu. Pierwszy z użyciem na przykład Profilu Zaufanego, jeśli ktoś nie posiada takowego, może w formularzu rejestracji podać właśnie swój numer PESEL, nazwisko rodowe matki i zdefiniowane przez siebie hasło.

Sposoby te zostały już sprawdzone wcześniej we wspomnianych na początku testach, co ma gwarantować możliwość bezpiecznego uruchomienia formularza. Na koniec w podsumowaniu tego oświadczenia możemy przeczytać, iż z tego względu obecne sposoby logowania nie zostaną zmienione.

Przed publikacją wpisu sprawdziłem to jeszcze na szybko bezpośrednio na stronie rejestracji do Spisu Powszechnego. Wpisanie prawidłowego numeru PESEL i przypadkowego nazwiska rodowego matki zwraca komunikat o błędzie logowania z uwagi na błędne nazwisko, ale potwierdza jednocześnie prawidłowy numer PESEL - pierwszy zrzut. Wnioskować to można po drugim zrzucie, gdzie zmieniłem jedną cyfrę w numerze PESEL, co zwróciło dodatkową informację o nieprawidłowym / nieistniejącym numerze.

W ten oto sposób, niezabezpieczony formularz rejestracji z opcją wyciągania informacji z bazy numerów PESEL będzie hulał w sieci przez kilka miesięcy, aż do zakończenia Spisu Powszechnego. Brawo.

Jeden z użytkowników serwisu Wykop.pl bez większego problemu stworzył zapytanie do formularza rejestracji ze strony Spisu Powszechnego, który zwraca informacje o istnieniu bądź nie danego numeru PESEL, a w przypadku jednoczesnego odgadnięcia nazwiska rodowego matki - umożliwia założenie konta i blokadę udziału w spisie właściciela tegoż numeru.

Inny z użytkowników tego serwisu równie szybko i łatwo stworzył własny skrypt, który potrafi zbiorczo zablokować taką możliwość.

Jak na te doniesienia z sieci zareagował GUS? Rzecznik prasowy Prezesa Głównego Urzędu Statystycznego w odpowiedzi na takie głosy wydał oświadczenie, w którym poinformował, że takie działania i nieuprawnione posługiwanie się danymi jest niezgodne z prawem.

Wszystkie dane przetwarzane przez statystykę publiczną są bezpieczne i podlegają specjalnej ochronie (tajemnica statystyczna). Zwracam też uwagę, że podszywanie się pod czyjąś tożsamość w celu zalogowania się do formularza spisowego jest przestępstwem, zgodnie z art. 190a Kodeksu Karnego. Każde takie zdarzenie GUS będzie zgłaszał na policję i do Agencji Bezpieczeństwa Wewnętrznego.

Ufff... już czujemy się bezpiecznie, możemy z ulgą odetchnąć. Ponadto GUS wymienia sposoby na zalogowanie się do samopisu. Pierwszy z użyciem na przykład Profilu Zaufanego, jeśli ktoś nie posiada takowego, może w formularzu rejestracji podać właśnie swój numer PESEL, nazwisko rodowe matki i zdefiniowane przez siebie hasło.

Sposoby te zostały już sprawdzone wcześniej we wspomnianych na początku testach, co ma gwarantować możliwość bezpiecznego uruchomienia formularza. Na koniec w podsumowaniu tego oświadczenia możemy przeczytać, iż z tego względu obecne sposoby logowania nie zostaną zmienione.

Przed publikacją wpisu sprawdziłem to jeszcze na szybko bezpośrednio na stronie rejestracji do Spisu Powszechnego. Wpisanie prawidłowego numeru PESEL i przypadkowego nazwiska rodowego matki zwraca komunikat o błędzie logowania z uwagi na błędne nazwisko, ale potwierdza jednocześnie prawidłowy numer PESEL - pierwszy zrzut. Wnioskować to można po drugim zrzucie, gdzie zmieniłem jedną cyfrę w numerze PESEL, co zwróciło dodatkową informację o nieprawidłowym / nieistniejącym numerze.

W ten oto sposób, niezabezpieczony formularz rejestracji z opcją wyciągania informacji z bazy numerów PESEL będzie hulał w sieci przez kilka miesięcy, aż do zakończenia Spisu Powszechnego. Brawo.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy: