Connect with us

Cześć, czego szukasz?

Newsy

Poczta Polska prosi samorządy o dane osobowe

Mają zostać przesłane w pliku TXT i niemal bez zabezpieczeń.

Podszywanie się hakerów pod Pocztę Polską, firmy kurierskie czy operatorów Paczkomatów to właściwie codzienność – ataki tego typu są powszechne i trzeba na nie uważać. Tym razem nie mamy do czynienia z działalnością osób trzecich…

Wczoraj w nocy urzędy administracji lokalnej otrzymały tajemniczego maila wysłanego rzekomo przez Pocztę Polską. W jego treści pojawiła się prośba o udostępnienie danych ze spisu wyborców danej gminy w celu przygotowania list wyborczych na nadchodzące wybory prezydenckie. Wśród informacji, które miały zostać przekazane, znalazły się nr PESEL, kod pocztowy, imię i nazwisko oraz adres zameldowania zgodny z nazewnictwem stosowanym w bazie danych terytorialnych. Najbardziej podejrzany okazał się sposób przesłania danych: miały one zostać zapisane w pliku TXT lub CSV, skompresowanym do formatu ZIP, 7Z lub RAR i nie opatrzonym żadnym hasłem, a następnie przekazane przez ePUAP. Jedynym mechanizmem zabezpieczającym te cenne informacje miał być kwalifikowany podpis elektroniczny lub profil zaufany.

W internecie zawrzało. Wiele samorządów początkowo uznało maila za nietypową próbę phishingu – został on wysłany o drugiej w nocy z nieznanego dotychczas adresu wybory2020@poczta-polska.pl i podpisany jako… „Poczta Polska”. Sprawa skomplikowała się, gdy Poczta Polska potwierdziła, że to rzeczywiście ona wystosowała prośbę o takiej treści do gmin. Podstawą prawną działania okazała się ogłoszona niedawno ustawa o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się SARS-CoV-2, która właśnie jest w trakcie uchwalania – nie weszła ona jeszcze w życie.

Wiele organizacji uznało zachowanie Poczty Polskiej za niezgodne z prawem. Według prawników z Krakowskiego Instytutu Prawa Karnego działanie to może nosić znamiona przestępstwa, a Sieć obywatelska Watchdog, Fundacja Panoptykon, Helsińska Fundacja Praw Człowieka i Fundacja im. S. Batorego zaapelowały do samorządów o powstrzymanie się od przekazania danych. Swój sprzeciw wobec takiej formy zarządzania danymi obywateli wyrazili także prezydenci i burmistrzowie miast oraz gmin w całej Polsce.

Najbardziej niepokojący jest jednak fakt, że wczoraj zarejestrowana została domena poczta-poiska.pl – gdy małe „i” zastąpimy dużym, powstaje idealne narzędzie do wyłudzania danych tysięcy wyborców. Miejmy nadzieję, że zostało ono wykupione tylko po to, by zapobiec takim sytuacjom, chociaż w rzeczywistości to mało prawdopodobne…

Entuzjastka rozwiązań mobilnych, dobrej herbaty i gier RPG. Z inżynierską precyzją testuje każdy sprzęt niezależnie od miejsca, w którym aktualnie się znajduje.

Może cię też zainteresować

Newsy

Wśród dostępnych informacji pełne imiona i nazwiska, numery telefonów i adresy e-mail.

Newsy

Publicznie dostępne były numery PESEL, dane teleadresowe i wyniki badań.

Newsy

Wartość inwestycji szacowana jest na 2 mld USD.

Newsy

100 nadajników w siedmiu miastach.