Powszechny Szwindel :: Spis powszechny 2011
Spis treści
1.Dziura w formularzu – gdzie popełniono błąd, czym to grozi (13 Kwiecień 2011)2.GUS rżnie głupa w sprawie bezpieczeństwa (8 Kwiecień 2011)3.Włamanie do spisu – GUS potwierdza i pokrętnie tłumaczy (5 Kwiecień 2011)4.Jak włamać się do formularza samospisu on-line (4 Kwiecień 2011)5.Aplikacja do samospisu offline – kolejne niedociągnięcie w ochronie danych (7 Kwiecień 2011)6.Aplikacja do samospisu offline – jedno poprawili, drugie spieprzyli (9 Kwiecień 2011)7.Konferencja prasowa GIODO w sprawie luki w formularzu (7 Kwiecień 2011)
Dziura w formularzu – gdzie popełniono błąd, czym to grozi
13 Kwiecień 2011
GIODO (Generalny Inspektor Ochrony Danych Osobowych) rozpoczął dziś kontrolę Narodowego SpisuPowszechnego (GIODO kontroluje spis powszechny). Poza wcześniej zaplanowaną kontrolą GIODO maskontrolować opisaną na naszym blogu i w mediach sprawę dziury w formularzu do spisu przez internet.
GIODO kontroluje GUS, a my skontrolujemy GIODO.
Zobaczymy jaki będzie wynik kontroli, jakiedecyzje i działania zostaną podjęte w związku ze wspominaną luką w zabezpieczeniach. Pamiętajmy, żeten cały cyrk odbywa się za nasze (podatników) pieniądze, urzędnicy mają pracę dzięki nam, należy
Oficjalny kanał informacyjny:http://twitter.com/spispowszechny
Niniejszy dokument zawiera wszystkie artykuły opublikowane na bloguhttp://powszechnyszwindel.wordpress.com/który z niewiadomych przyczyn zostałzablokowany. Na blogu pojawiły się artykuły dotyczące błędów w zabezpieczeniach w Narodowym Spisie Powszechnym 2011.Główny Urząd Statystyczny kłamie w tej sprawie i stosuje metodę zastraszania i zamiataniasprawy pod dywan. Sądzimy, że niechęć GUS-u do ujawniania jakichkolwiek informacji oich błędach może mieć związek z zablokowaniem bloga. Na szczęście cała treść jest w tym dokumencie, a najnowsze informacje na Twitterze -http://twitter.com/spispowszechnyJeśli udało Ci się zdobyć ten dokument, roześlij go komu się da i opublikuj gdzie tylko jesteś w stanie. Nie pozwólmy na cenzurowanie informacji o błędach GUS-u, które narażają nasze dane na niebezpieczeństwo.
kontrolować i patrzeć na ręce pracowników, których finansujemy.Zanim przejdziemy do głównego wątku błędu w zabezpieczeniach, warto kolejny raz podkreślić pewną ważną rzecz. Pomyłka może się zdarzyć każdemu, a szczególnie w przypadku instytucji państwowych nie powinno to nikogo dziwić. Tutaj poza błędem mamy do czynienia z
karygodnym zachowaniem GUS-u
,który zwyczajnie kłamie, zaprzecza sam sobie, bagatelizuje swój błąd. Zamiast przeprosić straszy prokuraturą. Więcej we wpisie
GUS rżnie głupa w sprawie bezpieczeństwa
Gdzie popełniono błąd
Zacznijmy od początku. Informację o błędzie opublikowaliśmy kilka dni po rozpoczęciu spisu. Niezrobiliśmy tego 1 kwietnia, żeby nie zostało uznane za żart.
W momencie naszej publikacji sprawabyła poważna.
W opisany przez nas sposób można legalnie i anonimowo pozyskać dane potrzebne dozalogowania się na czyjeś konto w internetowym spisie powszechnym. Jeśli nasza ofiara nie logowała się jeszcze, można było zobaczyć adres zameldowania tej osoby. Natomiast jeśli osoba wypełniła już ankietę,
można było zobaczyć wypełnioną ankietę
tej osoby, pod warunkiem zalogowania się w ciągu 14 dni od pierwszego logowania ofiary. Początkowo po podaniu danych identyfikacyjnych (imię, nazwisko,PESEL, NIP) w każdej chwili można było wygenerować nowe hasło, nawet jak ofiara już wcześniej jeustaliła. Pod formularzem widniał napis: „
W każdej chwili możesz zmienić hasło lub ponownie je zdefiniować wypełniając formularz identyfikacyjny
”Zrzut ekranu: http://img822.imageshack.us/img822/7020/screen1cg.jpgPóźniej informacja dostała się do mediów, zrobiło się gorąco, GUS bardzo szybko wyłączył możliwość ponownego zdefiniowania hasła wypełniając formularz identyfikacyjny. Szybko też pojawił siękomunikat GUS-u, że w opisany sposób nie można zalogować się do czyjeś wypełnionej ankiety. Dopiero po pewnym czasie zmieniono napis pod formularzem na „
Zmiana hasła wymaga ponownego wypełnienia formularza identyfikacyjnego oraz aktywacji nowego hasła przez konsultanta Infolinii
”. Obecnie możnazalogować się na czyjeś konto jeśli dana osoba nie logowała się wcześniej i nie ustawiała swojego hasła.Jasno widać, że pierwszym (jednocześnie najpoważniejszym) błędem jaki popełnił GUS była możliwośćzmiany hasła podając same dane identyfikacyjne. Dawało to możliwość podejrzenia wypełnionej ankietyobcej osoby. O tym nie mówi się, o tym GUS milczy, to jest bagatelizowane. System miał być poddanyaudytowi, jakim cudem został udostępniony z tak poważnym błędem? Kto ten audyt przeprowadził? Czyktoś za to odpowie?Drugim błędem, a którego GUS nie poprawił jest udostępnianie jakichkolwiek danych po podaniu danychidentyfikacyjnych. Skoro w tak łatwy sposób można zdobyć dane identyfikacyjne, to nie powinno byćdostępu do jakichkolwiek innych danych przy ich pomocy.Był jeszcze błąd w aplikacji do samospisu offline, ale to inna sprawa. Niektórzy zarzucają nam, że krytykujemy GUS nie podając lepszego rozwiązania niż zastosowane.Można by było dyskutować nad innymi sposobami identyfikacji osoby, ale nie jest to nawet konieczne.Już nawet zostawmy sposób identyfikacji taki jaki jest obecnie – może nie jest zbyt bezpieczny, ale za to prosty. Konieczne jest jednak założenie, że mogą zdarzyć się nadużycia ze względu na proste pozyskanienumeru PESEL i NIP obcej osoby.
Żadne inne dane nie mogą być udostępniane po podaniu danych identyfikacyjnych.
Wystarczy zmienić jeden szczegół, a system będzie szczelny.
Czym obecnie grozi błąd w formularzu
W chwili obecnej nie ma poważnych zagrożeń, a mniej poważne są dwa:
1. Pozyskanie adresu zamieszkania obcej osoby.
Podobno do GIODO wpływają skargi w związku z tym, że można zalogować się do czyjegoś konta i pozyskać adres zamieszkania oraz informacje o osobach mieszkających pod tym adresem.
Do biura GIODO trafiły już pojedyncze skargi dot. tzw. samospisu internetowego. Chodziło wnich o możliwość podszycia się pod jakąś osobę i zalogowania się do systemu, a także zdobycia informacji nt. osób mieszkających pod tym samym adresem.
GUS to bagatelizuje twierdząc, że adres zamieszkania i tak jest podany w rejestrze KRS. No cóż, rejestr KRS nie należy do GUS, więc nie oczekujmy, że GUS będzie miał o nim jakiekolwiek pojęcie. (Nie, w publicznie dostępnym rejestrze KRS nie ma adresu zamieszkania prywatnej osoby.)
2. Wypełnienie ankiety za inną osobę.
Nie stanowi to bezpośrednio zagrożenia, ale daje duże pole do popisu dla osób, które chcą komuś zrobićna złość. Zgodnie z ustawą o statystyce za podanie błędnych informacji grozi nawet więzienie, ale GUSzapewnia, że ofiarom błędu w formularzu nic nie grozi. Jak podaje rzecznik GUS:
GUS automatycznie wychwytuje rozbieżności między informacjami podanymi w samospisieinternetowym a danymi z baz, do których urząd ma dostęp. W takich sytuacjach ankieterzymają dzwonić do osób, których dotyczy problem, i sprawdzać, czy na pewno to one wypełniły formularz w internecie.
Niestety jest to kolejny przykład rżnięcia głupa przez GUS. W porządku, załóżmy, że GUS wykryje jak ktoś wypełni ankietę w imieniu innej osoby. Ankieterzy zadzwonią do osoby, która padła ofiarą żartu.
Tylko skąd ankieter będzie miał numer telefonu tej osoby, skoro formularz identyfikacyjnywypełniła inna osoba i to ta inna osoba podała kontaktowy numer telefonu, zapewne fałszywy.
Chyba, że GUS już posiada numery telefonu wszystkich osób, a prosi o podanie w formularzu tak dlazabawy.
GUS rżnie głupa w sprawie bezpieczeństwa
8 Kwiecień 2011
Rżnięcie głupa (definicja zwrotu) przez GUS w sprawie bezpieczeństwa spisu internetowego być możema związek z zapowiedzianą przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO)kontrolą. Poza wcześniej zaplanowanymi czynnościami GIODO sprawdzi doniesienia o „rzekomej”możliwości podszycia się po inną osobę, co dokładnie opisaliśmy na blogu (od tego blog się zaczął).
Mamy nadzieję, że ktoś z GIODO przeczyta ten wpis, bo okazuje się że urzędowy optymizm GUS-uma niewiele wspólnego ze stanem faktycznym.
Wypowiedzi rzecznika GUS-u na podstawieartykułu Polskiej Agencji Prasowej.Zacznijmy od tego, że GUS przeczy sam sobie:
Zdaniem rzecznika GUS system, jaki posiada urząd, jest na tyle bezpieczny, że osobaniepowołana nie może dostać się do danych innego obywatela, jeśli ten nieopatrznie ich nieujawni. Dlatego problemem – według rzecznika GUS – jest np. ujawnianie zbyt wieluinformacji o sobie przez użytkowników portali społecznościowych.
Natomiast w Komunikacie Centrum SpisowegoGUS przyznaje:
Dane uwierzytelniające (PESEL, NIP) dla osób prowadzących działalność gospodarczą rzeczywiście można zdobyć w sposób opisany w publikacjach. Należy jednak mieć na uwadze,iż zdobycie takich danych i zalogowanie się podszywając się pod inną osobę jest niezgodne z prawem
[...]To, że ktoś poda swoje dane w internecie to jedna sprawa, o tym nawet nie wspominaliśmy, bo to winaludzi, którzy zbyt dużo o sobie publikują. Problem polega na tym, że PESEL i NIP przedsiębiorcy możnazdobyć z państwowych rejestrów, to państwo je udostępnia!
Search History:
Result 00 of 00
00 results for result for
p.
spis-powszechny-gus-wlamanie
Oficjalny kanał informacyjny:
http://twitter.com/spispowszechny
Niniejszy dokument zawiera wszystkie artykuły opublikowane na blogu http://powszechnyszwindel.wordpress.com/ który z niewiadomych przyczyn został zablokowany. Na blogu pojawiły się artykuły dotyczące błędów w zabezpieczeniach w Narodowym Spisie Powszechnym 2011. Główny Urząd Statystyczny… (More)
http://twitter.com/spispowszechny
Niniejszy dokument zawiera wszystkie artykuły opublikowane na blogu http://powszechnyszwindel.wordpress.com/ który z niewiadomych przyczyn został zablokowany. Na blogu pojawiły się artykuły dotyczące błędów w zabezpieczeniach w Narodowym Spisie Powszechnym 2011. Główny Urząd Statystyczny… (More)
3.9K
Reads
0
Readcasts
0
Embed Views
Notes
Load more
