- 1 Rowerzyści: nie dzwońcie na pieszych (265 opinii)
- 2 Były senator PiS trafił do więzienia (325 opinii)
- 3 Dostał 5 mandatów naraz (71 opinii)
- 4 Dworzec PKS w Gdańsku: co dalej? (206 opinii)
- 5 Winda, która wygląda jak kapliczka (51 opinii)
- 6 Kontrola CBA w Urzędzie Miasta Gdyni (243 opinie)
Dane uczestników loterii PIT w Gdańsku zagrożone
Dane ponad 18,5 tys. osób biorących udział w loterii PIT organizowanej przez Gdańsk, w tym imię, nazwisko, PESEL, numer telefonu i adres e-mail mogły zostać skradzione na skutek źle zabezpieczonego mechanizmu głosowania.
Zobacz także: Trójmiasto walczy o PIT-y
Maila, w którym poinformował organizatorów o możliwym zagrożeniu, wysłał także do naszej redakcji.
Wiem, że jest sobota i mail ten może zostać odczytany po weekendzie, jednak sprawa jest najwyższej wagi.
Strona pitwgdansku.pl umożliwia publiczny dostęp do danych 18 tysięcy ludzi, w tym mnie, jako że podałem swoje dane chwilę przed znalezieniem problemu...
Chodzi o plik /file.log znajdujący się w głównym katalogu. Nie podaję bezpośredniego linka, żeby przypadkiem nie zaindeksowały go roboty google.
Samo usunięcie dostępu do pliku nie zabezpieczy w pełni loterii. Błędów w konfiguracji jest o wiele więcej i nie dotyczą tylko bezpieczeństwa. Podzielę się nimi z osobą odpowiedzialną za utrzymanie strony, jako że to zgłoszenie dotyczy tylko i wyłącznie danych osobowych.
Dodatkowo w związku z wagą wycieku, który zawiera także numery PESEL, potrzebne jest zgłoszenie w/w faktu do UODO.
Reasumując - proszę o niezwłoczne zablokowanie dostępu do pliku file.log oraz skontaktowanie mnie z osobą odpowiedzialną za techniczne utrzymanie serwisu w celu otrzymania dalszych, precyzyjnych informacji.
Organizator poprawia zabezpieczenia strony
Za techniczną stronę przeprowadzenie loterii oraz administrowanie danymi jej uczestników odpowiada firma PlayPrint Polska. Zareagowała ona na zgłoszenie pana Bartosza jeszcze w sobotę. Stosunkowo szybko udało się poprawić wskazany przez niego błąd. W kolejnych dniach miały być wprowadzone dalsze prace nad lepszym zabezpieczeniem strony loterii.
Jednak dopiero we wtorek, przed godz. 16 urzędnicy oficjalnie poinformowali o włamaniu na stronę loterii.
- Ślady informatyczne popełnionego naruszenia zostały zabezpieczone. Zmieniona została konfiguracja strony internetowej, wprowadzono kolejny poziom zabezpieczeń - poinformował Wojciech Koczorowski z PlayPrint Polska. - Naruszenie, do którego doszło, dotyczy rejestracji przeprowadzonych do 27 kwietnia do godziny 3.00 rano.
Wskazana w oświadczeniu godzina dokonania ataku jest zbieżna z datą odkrycia błędu przez naszego czytelnika. Informację o swoim odkryciu wysłał on do organizatorów loterii o godz. 3:34 w nocy.
Trudno więc powiedzieć, czy sygnalizowane włamanie na stronę rzeczywiście miało miejsce. Być może na serwerach zostały jedynie ślady pana Bartosza, który błąd wykrył i o nim poinformował administratora danych.
Ważne dane łatwo dostępne
Pewne jest, że w sobotę w nocy na stronie loterii znajdowały się dane 18500 osób. Wśród nich tak wrażliwe jak imię i nazwisko, numer PESEL, numer telefonu, adres e-mail oraz miejsca złożenia deklaracji PIT za 2018 rok.
Jakie mogą być konsekwencje, jeśli rzeczywiście doszło do włamania?
Zarówno te stosunkowo błahe jak otrzymywanie spamu, zarówno mailowego, SMS-owego i telefonicznego, ale też znacznie poważniejsze, jak także próby podszycia się poprzez wykorzystanie imienia i nazwiska oraz numeru PESEL.
Osoby, które brały udział w loterii dostały już informację na temat włamania oraz o jego możliwych konsekwencjach. Wielu czytelników skontaktowało się z nami właśnie po otrzymaniu takiej informacji. Niektórzy jednak nawet kilka godzin po publikacji artykułu, takiej informacji nie dostali.
- Co mi po tym, że miasto ostrzega mnie przed konsekwencjami, jak moje najbardziej wrażliwe dane trafiły w niepowołane ręce? - denerwuje się pani Anita. - Do kogo mam się teraz zgłosić po odszkodowanie, jeśli na ich podstawie ktoś weźmie na moje dane pożyczkę lub kredyt?
Przestępstwo zgłoszone organom ścigania
Zgodnie z przepisami RODO PlayPrint Polska zgłosiła informację o popełnieniu cyberprzestępstwa do Urzędu Ochrony Danych Osobowych oraz do organów ścigania w związku z podejrzeniem popełnienia czynu zabronionego. Autorowi włamania grozi 2 lata pozbawienia wolności.
Więcej informacji można uzyskać pod adresem iod@pitwgdansku.pl.
Losowanie nagród się odbędzie
Loteria "Pit w Gdańsku" to akcja mająca zachęcić mieszkających i pracujących w mieście do opłacania swoich podatków właśnie tu. W zamian za to, miasto obiecało rozlosować wśród nich 1 samochód hybrydowy, 10 elektrycznych hulajnóg i 15 rowerów.
Organizator loterii, czyli miasto Gdańsk, postanowił iż loteria odbędzie się, a losowanie nagród będzie miało miejsce zgodnie z planem 9 maja 2019 roku.
- System informatyczny był zabezpieczony, dlatego jakakolwiek zmiana w pliku ze zgłoszeniami nie była możliwa. Wszystkie upoważnione osoby wezmą udział w losowaniu nagród - podkreśla Wojciech Koczorowski z PlayPrint Polska.
Uwaga! Wypłynęły nasze dane z konkursu Pit w Gdańsku! :( (27 opinii)
Szanowni Państwo
zgodnie z obowiązującymi przepisami z przykrością informujemy, że otrzymaliśmy zawiadomienie od osoby, która twierdzi, że weszła w posiadanie Państwa danych osobowych, poprzez uzyskanie dostępu do pliku technicznego loterii "PIT w Gdańsku. Się opłaca!".
Plik zawierał dane w postaci: imienia i nazwiska, numeru PESEL, numeru telefonu , adresu e-mail, miejsca złożenia deklaracji PIT.
Potencjalnie to zdarzenie może rodzić dla Państwa konsekwencje w postaci otrzymywania niechcianej korespondencji na adres e-mail, możliwość otrzymywania niechcianych sms-ów oraz telefonów, prób podszycia się poprzez wykorzystanie imienia i nazwiska, numeru PESEL - daty urodzenia.
Zastosowano niżej wskazane środki w celu zaradzenia naruszeniu ochrony danych osobowych w celu zminimalizowania jego ewentualnych negatywnych skutków.
Usunięto plik techniczny z danymi, ograniczano dostęp do plików na stronie, wprowadzono obowiązek formalnego weryfikowania konfiguracji i potwierdzania jej prawidłowości przez drugą osobę, wystąpiono z żądaniem nieodtwarzalnego wykasowania pliku z danymi osobowymi przez osobę, która weszła w jego posiadanie oraz wystąpiono do niej z prośbą o zachowanie poufności danych. Zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych oraz organy ścigania (Policję i Prokuraturę) w zakresie podejrzenia popełnienia przestępstwa w ww. zakresie.
Więcej informacji mogą Państwo i uzyskać na stronie www.pitwgdansku.pl/info.html , pod adresem e-mail iod@pitwgdansku.pl lub dzwoniąc na numer 566539877 ( w dniu 30 kwietnia czynny do godz 21:00 , od 06.05.2019 dostępny w dni robocze w godzinach 09:00 do 16:00)
Z poważaniem,
Administrator Danych Osobowych
Playprint Polska Sp. z o. o.
87-100 Toruń
ul. Stroma 5/1
e-mail: iod@pitwgdansku.pl
numer infolinii: 566539877 Zobacz więcej
Szanowni Państwo
zgodnie z obowiązującymi przepisami z przykrością informujemy, że otrzymaliśmy zawiadomienie od osoby, która twierdzi, że weszła w posiadanie Państwa danych osobowych, poprzez uzyskanie dostępu do pliku technicznego loterii "PIT w Gdańsku. Się opłaca!".
Plik zawierał dane w postaci: imienia i nazwiska, numeru PESEL, numeru telefonu , adresu e-mail, miejsca złożenia deklaracji PIT.
Potencjalnie to zdarzenie może rodzić dla Państwa konsekwencje w postaci otrzymywania niechcianej korespondencji na adres e-mail, możliwość otrzymywania niechcianych sms-ów oraz telefonów, prób podszycia się poprzez wykorzystanie imienia i nazwiska, numeru PESEL - daty urodzenia.
Zastosowano niżej wskazane środki w celu zaradzenia naruszeniu ochrony danych osobowych w celu zminimalizowania jego ewentualnych negatywnych skutków.
Usunięto plik techniczny z danymi, ograniczano dostęp do plików na stronie, wprowadzono obowiązek formalnego weryfikowania konfiguracji i potwierdzania jej prawidłowości przez drugą osobę, wystąpiono z żądaniem nieodtwarzalnego wykasowania pliku z danymi osobowymi przez osobę, która weszła w jego posiadanie oraz wystąpiono do niej z prośbą o zachowanie poufności danych. Zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych oraz organy ścigania (Policję i Prokuraturę) w zakresie podejrzenia popełnienia przestępstwa w ww. zakresie.
Więcej informacji mogą Państwo i uzyskać na stronie www.pitwgdansku.pl/info.html , pod adresem e-mail iod@pitwgdansku.pl lub dzwoniąc na numer 566539877 ( w dniu 30 kwietnia czynny do godz 21:00 , od 06.05.2019 dostępny w dni robocze w godzinach 09:00 do 16:00)
Z poważaniem,
Administrator Danych Osobowych
Playprint Polska Sp. z o. o.
87-100 Toruń
ul. Stroma 5/1
e-mail: iod@pitwgdansku.pl
numer infolinii: 566539877 Zobacz więcej
Opinie (482) ponad 20 zablokowanych
-
2019-04-30 19:33
dane posiadaczy kart miejskich (ztm składanych przez internet) tez wyciekły. (4)
sprawę ładnie zamietli pod dywan ;)
- 31 1
-
2019-04-30 19:37
Czemu komisja europejska nie wyciagnela tej sprawy?
Timer był po koniaku? Czy po wojaku?
Jak tak Gdansk łamie praworządnosc i rodo ;P)- 9 2
-
2019-04-30 19:46
(2)
Jak się sprawy nie zgłasza organom to sa zamiatane, ignorancja i niedbalstwo oraz brak społecznej reakcji są slaboscia tego kraju i obywateli.
- 6 3
-
2019-04-30 19:58
Jest w tym cos co napisałes.
- 3 1
-
2019-04-30 20:30
przecież tez był o tym artykuł. wiedza wiec powszechna dla służb także
- 1 1
-
2019-04-30 19:44
Kartonowe państwo, fasadowy samorzad (3)
Zblazowana Prezydencja, miasta gier, konkursów i zabaw... Nikt nie zapewni ci bezpieczeństwa, szybciej zostaniesz poczęstowany pączkiem z budyniem w ekotorebce, nie zapomnij uśmiechnąć się i podziękować. Za resztę zapłacisz karta debetowa lub w kredycie. Dobranoc, konkurs z potem rozwalił mi procesor i spalił dysk twardy, mejdej mejdej, bez odbioru, ja brzoza jak mnie słyszysz?
- 15 6
-
2019-04-30 20:03
Raczej miasto.. Kraj to nie. (2)
- 3 3
-
2019-04-30 20:31
(1)
to poczytaj sobie o felerach na nowych dowodach osobistych.
- 1 1
-
2019-05-01 07:00
a do czego ci dowod osobisty?
ten dokument wprowadzili totalitarysci. hilter i stalin.
- 1 0
-
2019-04-30 19:44
Hahahahaa. Ale Gdańszczanie jesteście nowocześni i postępowi. No ale skoro mevo daliście pesele, to co się bać loterii :) (2)
- 20 5
-
2019-04-30 21:31
Ja z mevo nie korzystam wolę swój rower
- 2 0
-
2019-05-01 07:21
ja nie podałem i jeżdżę
- 0 1
-
2019-04-30 19:45
Czy w tym mieście cokolwiek się udaje (2)
oprócz przekrętów?
- 28 3
-
2019-04-30 19:59
Nie za bardzo. zmiana pomnika moze albo te.. procesje ;)
- 4 1
-
2019-04-30 20:14
Żona mi się udała,
a i dzieci też, udało mi się upiec ciasto, ale dzisiejsze zakupy to już niekoniecznie.
- 6 0
-
2019-04-30 19:46
Z wywodów w artykule rozumiem, że (4)
Panu Bartoszowi za włamanie grozi do 2 lat?
- 25 1
-
2019-04-30 19:49
No musi przyjść z prawnikiem, sam się okrył złą sławą. Świadek pobicia ze skutkiem śmiertelnym w skm tez zjawił się na policji z adwokatem. Trzeba być czujnym w walce z kartelem, nie wiesz kiedy zapłacisz za dobrą wolę.
- 8 1
-
2019-04-30 20:02
Żeby to chociaż włamanie było (1)
Z artykułu wynika, że na serwerze był plik ze wszystkimi danymi osobowymi, który każdy mógł sobie ściągnąć. Nic nie trzeba było łamać, wystarczyło jedynie znać nazwę pliku (file.log). Mniej więcej jakby w banku zapomnieli skarbiec zamknąć na klucz :) Straszna amatorszczyzna.
- 14 0
-
2019-05-01 00:22
Jak widzisz rower przypięty zamkiem z kodem, i otworzysz ten zamek, bo akurat zgadłeś kod, to też powiesz, że to żadne włamanie, bo każdy mógł zgadnąć?:)
Ale co do sedna to owszem, zgłaszanie na policje włamania, w momencie gdy o tej samej godzinie uzyskali informację o tym, że mają dziurę w systemie, to jakaś kpina. Nasze prawo nadal jest zacofane.- 3 4
-
2019-05-01 07:15
Normalna firma by mu podzìękowała. W Polsce będzie teraz ciągany po komisariatach, zabezpieczą mu komputer i okaże się winny całej sytuacji.
- 7 0
-
2019-04-30 19:49
czy w tym mieście już nawet takiej rzeczy nie da się nie spaprać? (2)
- 23 0
-
2019-04-30 19:59
Cieżko, ale możesz szukać.
- 4 0
-
2019-05-01 07:23
co miasto ma do tego?
- 0 1
-
2019-04-30 19:53
Opinia wyróżniona
Masakra (2)
Teraz tylko pozostaje czekać na jakieś wspaniałe wiadomości albo telefony z pokazów garnków.. Oby tylko na tym się skonczylo bo nie chciałbym mieć jakiejś chwilówki wziętej na swoje nazwisko. Ktoś wyżej pisał, o tym, że ludzie rozdają dane na lewo i prawo a tak naprawdę wystarczy mieć konto w banku i pracownicy tychże instytucji skuszeni dobrymi pieniędzmi odsprzedaja nasze dane innym podmiotom bez naszej wiedzy. Także niestety takie dane wyciekaja i wyciekac będą nawet z takiego giganta jak Sony play station z, którego wycieklo 100 mln danych o użytkownikach..
- 80 8
-
2019-05-01 11:42
i ten wybielający artykuł trojmiasto.pl - rzetelne dziennikarstwo
d*py dali, dane poszły w świat, a Ci mówią że nie wiadomo czy doszło do wycieku.
- 5 1
-
2019-05-01 16:41
Chwilówki na nasze nazwisko
To nie my zostajemy oszukani tylko udzielający kredytu. Należy zmienić prawo by zwalniało z odpowiedzialności osobę, której dane zostały użyte. Możemy nawet nie wiedzieć, że jakaś firma operuje naszymi danymi - np. nasz pracodawca może korzystać z usług zewnętrznego biura rachunkowego (liczenie wypłat) i nie musi nas wcale o tym informować! Takie mamy prawo!
- 5 1
-
2019-04-30 19:57
Jak sami nie zdabmy o dane to nie liczmy na nic.
- 9 0
-
2019-04-30 20:02
Żadna informacja nie dotarła z PlayPrint Polska (1)
"Wszystkie osoby, które brały udział w loterii dostały już informację na temat włamania oraz o jego możliwych konsekwencjach"
Przepraszam najmocniej, ale tu też dali "ciała" - ja takiej informacji nie dostałam.- 10 0
-
2019-04-30 21:21
Ja znalazłam @ od Nich w spamie
- 2 1
-
2019-04-30 20:08
Gość poinformował o błędzie, a w nagrodę wsadzą go na 2 lata
- 21 0
Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.