Wszystko wskazuje na to, że konstrukcja formularza logowania do samospisu online w ramach Spisu Powszechnego A.D. 2021 nie jest zbyt bezpieczna. Pozwala na sprawdzenie istnienia w bazie dowolnego numeru PESEL, a nawet zbiorcze zablokowanie możliwości przeprowadzenia samospisu.
Spis Powszechny niemal w całości przeprowadzony zostanie w tym roku przez internet. Wiadomo o tym już od przynajmniej dwóch lat. Kilka testów na żywym organizmie w kilku gminach w Polsce w tym czasie - mam nadzieję, że przeprowadzonych też pod kątem bezpieczeństwa naszych danych i klops.
Spis Powszechny 2021 ropoczął się 1 kwietnia i już tego samego dnia odkryto podatność formularza do rejestracji na sprawdzenie numerów PESEL w bazie, a nawet na możliwość zablokowania przeprowadzenia samospisu dla posiadaczy odgadniętych numerów. Nie wspominając już o ryzyku dla obywateli, jakie niesie za sobą posiadanie bazy istniejących numerów PESEL w niepowołanych rękach.
Dzięki niezabezpieczonemu API w aplikacji spisu powszechnego można sprawdzić czy dany PESEL istnieje czy nie:
Ciekawe czy pentesty tę możliwość enumeracji wykazały…
(via polska5ever wykop) pic.twitter.com/V0W3q6fV3g
— Niebezpiecznik (@niebezpiecznik) April 1, 2021
Spis Powszechny niemal w całości przeprowadzony zostanie w tym roku przez internet. Wiadomo o tym już od przynajmniej dwóch lat. Kilka testów na żywym organizmie w kilku gminach w Polsce w tym czasie - mam nadzieję, że przeprowadzonych też pod kątem bezpieczeństwa naszych danych i klops.
Spis Powszechny 2021 ropoczął się 1 kwietnia i już tego samego dnia odkryto podatność formularza do rejestracji na sprawdzenie numerów PESEL w bazie, a nawet na możliwość zablokowania przeprowadzenia samospisu dla posiadaczy odgadniętych numerów. Nie wspominając już o ryzyku dla obywateli, jakie niesie za sobą posiadanie bazy istniejących numerów PESEL w niepowołanych rękach.
Dzięki niezabezpieczonemu API w aplikacji spisu powszechnego można sprawdzić czy dany PESEL istnieje czy nie:
Ciekawe czy pentesty tę możliwość enumeracji wykazały…
(via polska5ever wykop) pic.twitter.com/V0W3q6fV3g
— Niebezpiecznik (@niebezpiecznik) April 1, 2021
Jeden z użytkowników serwisu Wykop.pl bez większego problemu stworzył zapytanie do formularza rejestracji ze strony Spisu Powszechnego, który zwraca informacje o istnieniu bądź nie danego numeru PESEL, a w przypadku jednoczesnego odgadnięcia nazwiska rodowego matki - umożliwia założenie konta i blokadę udziału w spisie właściciela tegoż numeru.
Inny z użytkowników tego serwisu równie szybko i łatwo stworzył własny skrypt, który potrafi zbiorczo zablokować taką możliwość.
Jak na te doniesienia z sieci zareagował GUS? Rzecznik prasowy Prezesa Głównego Urzędu Statystycznego w odpowiedzi na takie głosy wydał oświadczenie, w którym poinformował, że takie działania i nieuprawnione posługiwanie się danymi jest niezgodne z prawem.
Wszystkie dane przetwarzane przez statystykę publiczną są bezpieczne i podlegają specjalnej ochronie (tajemnica statystyczna). Zwracam też uwagę, że podszywanie się pod czyjąś tożsamość w celu zalogowania się do formularza spisowego jest przestępstwem, zgodnie z art. 190a Kodeksu Karnego. Każde takie zdarzenie GUS będzie zgłaszał na policję i do Agencji Bezpieczeństwa Wewnętrznego.
Ufff... już czujemy się bezpiecznie, możemy z ulgą odetchnąć. Ponadto GUS wymienia sposoby na zalogowanie się do samopisu. Pierwszy z użyciem na przykład Profilu Zaufanego, jeśli ktoś nie posiada takowego, może w formularzu rejestracji podać właśnie swój numer PESEL, nazwisko rodowe matki i zdefiniowane przez siebie hasło.
Sposoby te zostały już sprawdzone wcześniej we wspomnianych na początku testach, co ma gwarantować możliwość bezpiecznego uruchomienia formularza. Na koniec w podsumowaniu tego oświadczenia możemy przeczytać, iż z tego względu obecne sposoby logowania nie zostaną zmienione.
Przed publikacją wpisu sprawdziłem to jeszcze na szybko bezpośrednio na stronie rejestracji do Spisu Powszechnego. Wpisanie prawidłowego numeru PESEL i przypadkowego nazwiska rodowego matki zwraca komunikat o błędzie logowania z uwagi na błędne nazwisko, ale potwierdza jednocześnie prawidłowy numer PESEL - pierwszy zrzut. Wnioskować to można po drugim zrzucie, gdzie zmieniłem jedną cyfrę w numerze PESEL, co zwróciło dodatkową informację o nieprawidłowym / nieistniejącym numerze.
W ten oto sposób, niezabezpieczony formularz rejestracji z opcją wyciągania informacji z bazy numerów PESEL będzie hulał w sieci przez kilka miesięcy, aż do zakończenia Spisu Powszechnego. Brawo.
Jeden z użytkowników serwisu Wykop.pl bez większego problemu stworzył zapytanie do formularza rejestracji ze strony Spisu Powszechnego, który zwraca informacje o istnieniu bądź nie danego numeru PESEL, a w przypadku jednoczesnego odgadnięcia nazwiska rodowego matki - umożliwia założenie konta i blokadę udziału w spisie właściciela tegoż numeru.
Inny z użytkowników tego serwisu równie szybko i łatwo stworzył własny skrypt, który potrafi zbiorczo zablokować taką możliwość.
Jak na te doniesienia z sieci zareagował GUS? Rzecznik prasowy Prezesa Głównego Urzędu Statystycznego w odpowiedzi na takie głosy wydał oświadczenie, w którym poinformował, że takie działania i nieuprawnione posługiwanie się danymi jest niezgodne z prawem.
Wszystkie dane przetwarzane przez statystykę publiczną są bezpieczne i podlegają specjalnej ochronie (tajemnica statystyczna). Zwracam też uwagę, że podszywanie się pod czyjąś tożsamość w celu zalogowania się do formularza spisowego jest przestępstwem, zgodnie z art. 190a Kodeksu Karnego. Każde takie zdarzenie GUS będzie zgłaszał na policję i do Agencji Bezpieczeństwa Wewnętrznego.
Ufff... już czujemy się bezpiecznie, możemy z ulgą odetchnąć. Ponadto GUS wymienia sposoby na zalogowanie się do samopisu. Pierwszy z użyciem na przykład Profilu Zaufanego, jeśli ktoś nie posiada takowego, może w formularzu rejestracji podać właśnie swój numer PESEL, nazwisko rodowe matki i zdefiniowane przez siebie hasło.
Sposoby te zostały już sprawdzone wcześniej we wspomnianych na początku testach, co ma gwarantować możliwość bezpiecznego uruchomienia formularza. Na koniec w podsumowaniu tego oświadczenia możemy przeczytać, iż z tego względu obecne sposoby logowania nie zostaną zmienione.
Przed publikacją wpisu sprawdziłem to jeszcze na szybko bezpośrednio na stronie rejestracji do Spisu Powszechnego. Wpisanie prawidłowego numeru PESEL i przypadkowego nazwiska rodowego matki zwraca komunikat o błędzie logowania z uwagi na błędne nazwisko, ale potwierdza jednocześnie prawidłowy numer PESEL - pierwszy zrzut. Wnioskować to można po drugim zrzucie, gdzie zmieniłem jedną cyfrę w numerze PESEL, co zwróciło dodatkową informację o nieprawidłowym / nieistniejącym numerze.
W ten oto sposób, niezabezpieczony formularz rejestracji z opcją wyciągania informacji z bazy numerów PESEL będzie hulał w sieci przez kilka miesięcy, aż do zakończenia Spisu Powszechnego. Brawo.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
