14

Spis Powszechny pozwala na sprawdzenie czy dowolny numer PESEL jest prawdziwy

facepalm posąg
Wszystko wskazuje na to, że konstrukcja formularza logowania do samospisu online w ramach Spisu Powszechnego A.D. 2021 nie jest zbyt bezpieczna. Pozwala na sprawdzenie istnienia w bazie dowolnego numeru PESEL, a nawet zbiorcze zablokowanie możliwości przeprowadzenia samospisu.

Spis Powszechny niemal w całości przeprowadzony zostanie w tym roku przez internet. Wiadomo o tym już od przynajmniej dwóch lat. Kilka testów na żywym organizmie w kilku gminach w Polsce w tym czasie – mam nadzieję, że przeprowadzonych też pod kątem bezpieczeństwa naszych danych i klops.

Spis Powszechny 2021 ropoczął się 1 kwietnia i już tego samego dnia odkryto podatność formularza do rejestracji na sprawdzenie numerów PESEL w bazie, a nawet na możliwość zablokowania przeprowadzenia samospisu dla posiadaczy odgadniętych numerów. Nie wspominając już o ryzyku dla obywateli, jakie niesie za sobą posiadanie bazy istniejących numerów PESEL w niepowołanych rękach.

Jeden z użytkowników serwisu Wykop.pl bez większego problemu stworzył zapytanie do formularza rejestracji ze strony Spisu Powszechnego, który zwraca informacje o istnieniu bądź nie danego numeru PESEL, a w przypadku jednoczesnego odgadnięcia nazwiska rodowego matki – umożliwia założenie konta i blokadę udziału w spisie właściciela tegoż numeru.

Inny z użytkowników tego serwisu równie szybko i łatwo stworzył własny skrypt, który potrafi zbiorczo zablokować taką możliwość.

Jak na te doniesienia z sieci zareagował GUS? Rzecznik prasowy Prezesa Głównego Urzędu Statystycznego w odpowiedzi na takie głosy wydał oświadczenie, w którym poinformował, że takie działania i nieuprawnione posługiwanie się danymi jest niezgodne z prawem.

Wszystkie dane przetwarzane przez statystykę publiczną są bezpieczne i podlegają specjalnej ochronie (tajemnica statystyczna). Zwracam też uwagę, że podszywanie się pod czyjąś tożsamość w celu zalogowania się do formularza spisowego jest przestępstwem, zgodnie z art. 190a Kodeksu Karnego. Każde takie zdarzenie GUS będzie zgłaszał na policję i do Agencji Bezpieczeństwa Wewnętrznego.

Ufff… już czujemy się bezpiecznie, możemy z ulgą odetchnąć. Ponadto GUS wymienia sposoby na zalogowanie się do samopisu. Pierwszy z użyciem na przykład Profilu Zaufanego, jeśli ktoś nie posiada takowego, może w formularzu rejestracji podać właśnie swój numer PESEL, nazwisko rodowe matki i zdefiniowane przez siebie hasło.

Sposoby te zostały już sprawdzone wcześniej we wspomnianych na początku testach, co ma gwarantować możliwość bezpiecznego uruchomienia formularza. Na koniec w podsumowaniu tego oświadczenia możemy przeczytać, iż z tego względu obecne sposoby logowania nie zostaną zmienione.

Przed publikacją wpisu sprawdziłem to jeszcze na szybko bezpośrednio na stronie rejestracji do Spisu Powszechnego. Wpisanie prawidłowego numeru PESEL i przypadkowego nazwiska rodowego matki zwraca komunikat o błędzie logowania z uwagi na błędne nazwisko, ale potwierdza jednocześnie prawidłowy numer PESEL – pierwszy zrzut. Wnioskować to można po drugim zrzucie, gdzie zmieniłem jedną cyfrę w numerze PESEL, co zwróciło dodatkową informację o nieprawidłowym / nieistniejącym numerze.

W ten oto sposób, niezabezpieczony formularz rejestracji z opcją wyciągania informacji z bazy numerów PESEL będzie hulał w sieci przez kilka miesięcy, aż do zakończenia Spisu Powszechnego. Brawo.