komornicy-innowatorzy czy przypadkowi pośrednicy?
Od kilku dni polski internet żyje informacją o wycieku danych z bazy PESEL. Zgodnie z komunikatem umieszczonym na stronie Prokuratury Okręgowej w Warszawie kancelarie komornicze (w różnych innych źródłach mowa jest o pięciu takich kancelariach) od marca 2015 roku pobrały z bazy PESEL ok. 2 milionów rekordów. Śledząc wątki na ten temat na rozmaitych stronach spotkałam się z opinią, że w Warszawie działają bardzo duże kancelarie komornicze, które rocznie prowadzą i kilkaset tysięcy spraw, niemniej ciekawe jest to, że te ciągłe serie zapytań odbywały się nocą. Co to może oznaczać? Ano jedno z dwojga: albo ktoś łamał kodeks pracy i stale wymagał od zatrudnionych osób pracy w porze nocnej (mimo że trudno tu mówić o takiej potrzebie) albo - co bardziej prawdopodobne - posłużono się jakimś specjalnie do tego celu stworzonym skryptem, który zautomatyzował pozyskiwanie informacji. Te dwie możliwości, oczywiście, dotyczą tylko sytuacji, jeśli uznamy, że komornicy te zapytania wysyłali świadomie i celowo. Istnieje również jednak możliwość - i ta teoria jest rozważana - że zapytania były efektem działania złośliwego oprogramowania - wtedy komornicy takiej świadomości by nie mieli. Nie miałam nigdy do czynienia bezpośrednio z bazą PESEL, jednak ze względu na zawód mniej więcej wiem jak jego użytkowanie od strony urzędniczej wygląda.Im dłużej zastanawiam się nad całą tą sprawą tym wyraźniej rysują mi się pewne pytania.
Po pierwsze, jak to możliwe, że nikt wcześniej nie zauważył tego nocnego ruchu skoro ta sytuacja trwa od niemal półtora roku? Ruch sieciowy jest zawsze zapisywany w tzw. logach. Czy nigdy nikogo nie zdziwiło, że takie masowe odpytywanie odbywało się w nocy?
Po drugie, takie odpytywanie odbywa się w ten sposób, że jest wysyłany pakiet z zapytaniem i powraca pakiet z odpowiedzią, zawierającą żądane dane. Co to oznacza? Ano tyle, że aby dostać odpowiedź trzeba znać jakieś dane. Najlepiej PESEL, ale w zależności od możliwości (tego nie wiem, bo jak pisałam - nie miałam bezpośredniego kontaktu z tą bazą) może to być nazwisko, adres, może fragment (czyli ciąg tekstowy); może być tak, że samo nazwisko na przykład to za mało (w przypadku, powiedzmy, nazwiska Nowak system musiałby zwrócić zbyt wiele rekordów i optuję, że raczej zwraca jakiś komunikat w stylu: "za mało danych" albo jakiś podobny) - dlatego uważam, że jednak PESEL. A skoro tak - to te PESELe musiały być znane PRZED wysłaniem zapytania. Skąd? Jest jeszcze inna ewentualność: może wchodzić w grę program, który po prostu te numery PESEL wcześniej generował. W tym przypadku wiele byłoby błędnych, a wtedy błędy odnotowane byłyby w logach. Czy nie byłoby warto zatem tak skonstruować system odpowiedzi, żeby po iluś błędnych zapytaniach pod rząd blokować połączenie z danej lokalizacji? Nawet jeśli czasowo? A może takie rozwiązanie istnieje?
Po trzecie, od samego początku się zastanawiam, czy numery PESEL, które były przedmiotem zapytań znajdują się w aktach spraw prowadzonych przez te kancelarie komornicze?
Po czwarte - a jeśli nie, to czy można uchwycić jakiś klucz wg którego te numery były wybierane (co się składa na budowę numeru PESEL możecie przeczytać w Wikipedii)? Nie wiem, zakres lat urodzenia, płeć?
Po piąte, jeżeli to nie komornicy usprawniali sobie pracę dopuszczając do użytku skrypt który sprawdzał dane za nich (co jest raczej, delikatnie mówiąc, lekkomyślne, bo dostęp dostała jakaś jednostka ludzka, a nie bot) tylko cała sprawa jest efektem działania wirusa (ale wtedy: dlaczego tylko kancelarie komornicze??) to czy osoby, których bezpośrednio dotyczyły te automatyczne zapytania (czyli, nieładnie mówiąc, "nosiciele" PESELi) zostaną poinformowane, że ich dane wyciekły?
Po szóste, jestem skłonna uważać że ta sytuacja jest efektem ubocznym dziennych problemów z aplikacją Źródło. Być może ktoś wpadł na pomysł, że skoro nie w dzień to w nocy i wdrożył innowację we własnej kancelarii. Być może za drobną lub nie drobną opłatą obsługiwał również inne kancelarie komornicze , za wiedzą szefa lub bez. Kluczowe tu będzie ustalenie co się z danymi działo potem - szły dalej, czy nie?
A wracając do tego, co po piąte: przecież, jeżeli wyciekły (jeśli to jednak nie sami komornicy...) to do tej pory można było te dane zreplikować strach myśleć ile razy. Pozakładać lewe konta, zamówić śliczne "dokumenty kolekcjonerskie" typu dowód osobisty czy prawo jazdy, pozaciągać kredyty w bankach itp.
To pytanie na TT zadało kilka osób. A może i więcej, ale na własne oczy widziałam kilka. Jak dotąd, jak to ładnie ktoś kiedyś określił, "nie spotkały się z odpowiedzią". Rozumiem, że do czasu zakończenia postępowania prokuratorskiego i ABW (bo z inormacji na cytowanej już stronie Prokuratury Okręgowej w Warszawie wynika, że sprawa trafiła do ABW) Ministerstwo Cyfryzacji nie chce ewentualnej paniki.
Ale, na wszystkie świętości, realnych konsekwencji - gdyby to faktycznie był wyciek - nie poniesie ministerstwo, tylko żywi ludzie.
Gdzie w tym wszystkim zasada zaufania obywateli do państwa?
Jeśli były to numery PESEL osób których sprawy prowadzili owi komornicy, problem dotyczy tylko tych osób. Ryzyko wycieku jest niewielkie, bo wtedy to jednak komornicy.
Jeśli jednak cała ta afera była skutkiem zainfekowania komputerów w kancelariach złośliwym oprogramowaniem, problem może dotyczyć każdego. Tak, Ciebie też.
Jeśli chcecie sprawę śledzić, polecam niebezpiecznik.pl - i pozwolę sobie na cytat stamtąd:
(...) sprawy nie wykryli administratorzy ani urzędnicy Ministerstwa Cyfryzacji tylko programiści z Centralnego Ośrodka Informatyki. Ale z jakichś powodów MC zakazuje tego komunikować COI
Nieładnie, proszę MC. Bardzo nieładnie.