Podszywanie się hakerów pod Pocztę Polską, firmy kurierskie czy operatorów Paczkomatów to właściwie codzienność – ataki tego typu są powszechne i trzeba na nie uważać. Tym razem nie mamy do czynienia z działalnością osób trzecich…
Wczoraj w nocy urzędy administracji lokalnej otrzymały tajemniczego maila wysłanego rzekomo przez Pocztę Polską. W jego treści pojawiła się prośba o udostępnienie danych ze spisu wyborców danej gminy w celu przygotowania list wyborczych na nadchodzące wybory prezydenckie. Wśród informacji, które miały zostać przekazane, znalazły się nr PESEL, kod pocztowy, imię i nazwisko oraz adres zameldowania zgodny z nazewnictwem stosowanym w bazie danych terytorialnych. Najbardziej podejrzany okazał się sposób przesłania danych: miały one zostać zapisane w pliku TXT lub CSV, skompresowanym do formatu ZIP, 7Z lub RAR i nie opatrzonym żadnym hasłem, a następnie przekazane przez ePUAP. Jedynym mechanizmem zabezpieczającym te cenne informacje miał być kwalifikowany podpis elektroniczny lub profil zaufany.
W internecie zawrzało. Wiele samorządów początkowo uznało maila za nietypową próbę phishingu – został on wysłany o drugiej w nocy z nieznanego dotychczas adresu wybory2020@poczta-polska.pl i podpisany jako… „Poczta Polska”. Sprawa skomplikowała się, gdy Poczta Polska potwierdziła, że to rzeczywiście ona wystosowała prośbę o takiej treści do gmin. Podstawą prawną działania okazała się ogłoszona niedawno ustawa o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się SARS-CoV-2, która właśnie jest w trakcie uchwalania – nie weszła ona jeszcze w życie.
Wiele organizacji uznało zachowanie Poczty Polskiej za niezgodne z prawem. Według prawników z Krakowskiego Instytutu Prawa Karnego działanie to może nosić znamiona przestępstwa, a Sieć obywatelska Watchdog, Fundacja Panoptykon, Helsińska Fundacja Praw Człowieka i Fundacja im. S. Batorego zaapelowały do samorządów o powstrzymanie się od przekazania danych. Swój sprzeciw wobec takiej formy zarządzania danymi obywateli wyrazili także prezydenci i burmistrzowie miast oraz gmin w całej Polsce.
Najbardziej niepokojący jest jednak fakt, że wczoraj zarejestrowana została domena poczta-poiska.pl – gdy małe „i” zastąpimy dużym, powstaje idealne narzędzie do wyłudzania danych tysięcy wyborców. Miejmy nadzieję, że zostało ono wykupione tylko po to, by zapobiec takim sytuacjom, chociaż w rzeczywistości to mało prawdopodobne…
