Wykradziono nasze dane osobowe z morele.net – to już fakt. Co teraz zrobi z tym Państwo?

Gorące tematy Prywatność i bezpieczeństwo Technologie Zakupy dołącz do dyskusji (104) 23.04.2019
Wykradziono nasze dane osobowe z morele.net – to już fakt. Co teraz zrobi z tym Państwo?

Rafał Chabasiński

Niestety coraz częściej zdarza się, że poufne dane klientów rozmaitych firm wyciekają. Czasem sprawiamy sobie kłopot na własne życzenie, zezwalając na przekazywanie danych osobowych „partnerom” czy innym podmiotom trzecim. Niekiedy za wyciekiem stoją przestępcy. Przykładem może być chociażby sytuacja sklepu morele.net. Na co jednak możemy liczyć ze strony państwa, gdy przydarzy nam się wyciek danych osobowych?

Na nasze dane osobowe czyhają nie tylko telemarketerzy, ale również zwyczajni złodzieje

Dane osobowe stanowią bardzo łakomy kąsek dla dwóch kategorii osób. Przede wszystkim, są to rozmaitej maści sprzedawcy, którzy dzięki różnym sprytnym sposobom wyciągają je od nas dobrowolnie. Są jeszcze przestępcy, posuwający się chociażby do włamań do baz danych rozmaitych firm czy instytucji. O ile w pierwszym przypadku podmioty pozyskujące nasze dane muszą trzymać się jakichś podstawowych ram prawnych, o tyle ci drudzy już i tak mają na bakier z prawem. Nic dziwnego, że każdy wyciek danych osobowych przyprawia ofiary ataku o szybsze bicie serca.

Złodziej może w końcu posłużyć się skradzionymi danymi do zdobycia łatwych pieniędzy. Nie tylko wyczyści konto, ale również pozaciąga na nas pożyczek. W skrajnych przypadkach może wręcz dojść do kradzieży tożsamości i wykorzystania jej w przestępczej działalności. Wszystko to razem może oznaczać spore straty finansowe, ale także konieczność mozolnego odkręcania szkód poczynionych przez przestępców. Zaciągnięta w oparciu o kradzione dane osobowe umowa pożyczki jest nieważna z mocy prawa? Tak, ale naiwnością byłoby sądzić, że sprawy ułożą się same, bez potrzeby działania. Pisaliśmy wielokrotnie na łamach Bezprawnika, co można zrobić, gdy przytrafi nam się wyciek danych osobowych. Warto jednak zauważyć, że obywateli przed skutkami działań przestępców powinno nas chronić państwo. A jak to wygląda w praktyce?

Prawo pozwala ścigać złodziei danych osobowych, jednak reszta państwowej działalności za nim nie nadąża

Nie ulega wątpliwości, że włamania do baz danych w celu kradzieży danych osobowych stanowią przestępstwo. Sam nieuprawniony dostęp do cudzej bazy danych stanowi przestępstwo z art. 267 § 1 bądź § 2 kodeksu karnego, zagrożone karą nawet 2 lat pozbawienia wolności. Ściganie w tym przypadku następuje na wniosek pokrzywdzonego. Wykorzystanie danych osobowych zdobytych w ten sposób stanowi następne przestępstwo. Zgodnie z art. 190a § 2 kk, podszywanie się pod inną osobę wykorzystując jej dane osobowe w celu wyrządzenia jej szkody majkowej zagrożone jest karą do 3 lat więzienia. W tym przypadku ściganie następuje z oskarżenia publicznego. Jeśli w grę wchodzi także podrabianie dokumentów, zgodnie z art. 270 kk, sprawca ryzykuje nawet 5 lat odsiadki.

Jak widać, prawo karne dysponuje przepisami pozwalającymi na pociągnięcie do odpowiedzialności hakerów i złodziei danych osobowych. Gorzej wygląda kwestia, która tak naprawdę najbardziej interesuje potencjalne ofiary wycieku danych. Nie istnieją praktycznie żadne mechanizmy pozwalające na zastrzeżenie swoich danych osobowych – w taki sposób, by żaden przestępca nie mógł z nich skorzystać. Prawdę mówiąc, wymagałyby one powstania całego nowego rejestru takich spraw, być może w oparciu o ePUAP. Problem w tym, że sprawdzanie każdej osoby chcącej wziąć pożyczkę pod kątem tego, czy aby na pewno posługuje się prawdziwymi danymi, musiałoby być obligatoryjne dla sporej grupy podmiotów.

Mowa o pożyczkodawcach, bankach, sklepach – nie tylko internetowych, ale również o rozmaitych aplikacjach oferujących przewozy, czy zakup jedzenia na wynos. To z kolei powoduje konieczność stworzenia dla nich jakiegoś sposobu dostępu. Co więcej, cały system musiałby działać szybko i sprawnie. Słowem: stworzenie automatycznego mechanizmu umożliwiającego zablokowanie naszych potencjalnie skradzionych danych osobowych przed wykorzystaniem przez złodziei okazuje się być całkiem sporym wyzwaniem dla administracji państwa.

Utrudnienie zawierania umów w imię prewencji utrudni życie konsumentom, stworzenie kolejnego centralnego rejestru stanowi wyzwanie dla administracji

Obecnie by wziąć „chwilówkę” wystarczy najczęściej PESEL, numer dowodu osobistego, podstawowe dane osobowe w rodzaju imienia, nazwiska czy adresu zameldowania. To dane, które często znajdują się w bazach, którym przytrafiały się ataki. Oczywiście, istnieją rozmaite rejestry w teorii pozwalające nam zareagować, gdy przytrafi się nam wyciek danych osobowych. Problem w tym, że prowadzą je prywatne firmy – nawet, jeśli pod honorowym patronatem tego czy innego ministerstwa. Inne podmioty prywatne nie mają obowiązku korzystania z ich usług. O ile duże banki starają się minimalizować ryzyko kredytowe, o tyle firmy pożyczkowe i mniejsze podmioty już niekoniecznie są zainteresowane szerszym weryfikowaniem swoich klientów.

Być może dałoby radę zmniejszyć szkody działając od drugiej strony? W teorii można sobie wyobrazić zwiększenie wymogów stawianych rozmaitym podmiotom dotyczących weryfikacji klientów. Pytanie tylko, jak taka weryfikacja miałaby wyglądać? Konieczność fizycznego okazania dokumentu tożsamości eliminuje prowadzenia działalności przez internet. Samo okazanie jego zdjęcia oznacza jedynie istotne spowolnienie – w końcu przy każdej transakcji każde takie zdjęcie musiałoby zostać w jakiejś formie zweryfikowane. Co więcej, taki dokument może być skradziony. Dodatkowe dane potrzebne do zawarcia skutecznej umowy również mogą zostać skradzione, razem z innymi. Wydaje się, że gra w tym przypadku niekoniecznie jest warta świeczki. Wydaje się przy tym, że hipotetyczny „centralny rejestr danych zastrzeżonych” jest już lepszym rozwiązaniem.

Kierując się w internecie wygodą, ryzykujemy zmniejszenie bezpieczeństwa naszych danych – to nic złego, jeśli robimy to świadomie

Niestety, prawo nie zawsze nadąża za technologią – w przeciwieństwie do przestępców. Państwo z pewnością chciałoby nas chronić przed złodziejami danych osobowych. Niekoniecznie jest jednak w stanie skutecznie przeciwdziałać skutkom ich działań. Zapewnienie obywatelom odpowiedniej formy prewencji stanowi nieliche wyzwanie dla rządzących. Zwłaszcza w obliczu zbliżającej się kolejnej rewolucji technologicznej w postaci sieci 5G. Tymczasem, z punktu widzenia zwykłego użytkownika internetu, najlepsze będą stare, sprawdzone metody w postaci zachowania możliwie jak największej ostrożności w podawaniu danych osobowych. W przypadku klientów sklepu morele.net, szczególnie narażeni na wyciek danych osobowych byli korzystający z opcji zachowania danych do ewentualnych wniosków o raty w przyszłości. Trzeba zdawać sobie sprawę z tego, że wygoda ma swoją cenę – jest nią bezpieczeństwo. Tylko wtedy można świadomie wybrać, co jest dla nas priorytetem.

104 odpowiedzi na “Wykradziono nasze dane osobowe z morele.net – to już fakt. Co teraz zrobi z tym Państwo?”

  1. Rozwiązanie jest dość proste,
    w przypadku czynności zawieranych przez Internet (szczególnie jak chodzi o kredyty) – powinien istnieć obowiązek weryfikacji czy użytkownik żąda weryfikacji profilem zaufanym (ePUAP) – jakieś proste zapytanie do bazy ePUAPu z numerem PESEL czy dany obywatel żąda potwierdzenia.
    Jeśli tak – to do zawarcia umowy wymagane jest podpisanie umowy pożyczy certyfikatem zaufanym (nowy eDowód – o ile nie zostało zgłoszone jego zaginięcie lub profil zaufany ePUAP + SMS)
    Żeby to oszukać to musieli by zrobić coś znacznie więcej niż tylko ukraść dowód.
    A wszelkie kredyty udzielone bez tej weryfikacji z mocy prawa powinni być NIEWAŻNE.

    Jak chodzi o osobistą kontrolę to powinen być odpowiedni rejestr weryfikacji obywateli przez instytucje prywatne który po wprowadzeniu danych (PESEL, Nr dokumentu, Imię i Nazwisko) – wyświetli zdjęcie posiadacza dokumentu a pracownik firmy powinien potwierdzić że wizerunek jest zgodny z tym ze zdjęcia z systemu. Wtedy trudniej było by podstawionym osobom uzyskać kredyt a odpowiedzialność za udzielenie kredytu osobie innej niż na udostępnionym zdjęciu powinna spadać na kredytodawcę.

    • Poczta Polska jest drugim (po PKP) największym pracodawcą w Polsce.Wszędzie są jakieś placówki.Jak ktoś chce pożyczkę to niech instytucja finansowa wyśle mu formularz,który pożyczkobiorca na pocztę zaniesie i zostanie tam on wypełniony oraz odesłany weryfikując tym samym tożsamość.Na cudzy dowód będzie trudno,a na same dane to po prostu przejść nie powinno.Analogowa weryfikacja też powinna być możliwa.

    • Można to zrobić prościej:
      1. Nie dawać przez internet kredytów na dowód. Nigdy.
      2. Konto w banku założone przez internet (i nie potwierdzone analogowym dokumentem w placówce lub innym kontem elektronicznym), można użyć do uzyskania kredytu lub potwierdzania tożsamości dopiero po 30 dniach.
      Problem solved.

  2. Prezes Urzędu Ochrony Danych Osobowych, dr Edyta Bielak – Jomaa zwróciła się do Szefa Służby Cywilnej z prośbą o zainicjowanie stosownych prac legislacyjnych, które pozwolą na zatrudnianie w strukturach Służby Cywilnej inspektora ochrony danych na odrębnym stanowisku.

    • W żadnym realnym przypadku żaden urząd typu giodo-uodo nie pomógł obywatelowi … bezcelowe
      szkolenia, konferencje, tony kwitów ( dupochronów ) które niczego nie zabezpieczają
      poza dostatnim utrzymaniem dla urzędników za pieniądze podatników …

      ps. a dla pielęgniarek i nauczycieli w budżecie „piniędzy” nie ma i nie będzie

  3. Zawsze mnie zastanawiało, czy jak ktoś by wziął na mnie chwilówkę, a mnie by ścigali o jej spłatę, to czy mógłbym wygrać w sądzie? Czy były już tego typu sprawy wygrane przez oszukanego?
    W moim mniemaniu to wtedy właśnie oskarżyciel, którym jest firma udzielająca chwilówek, powinna mi udowodnić, że to ja ją wziąłem. Choć nie wiem jak to się odbywa, ale skoro mowa o załatwianiu przez internet, to z pewnością przelewają to na jakieś konto bankowe, które nie należy do mnie, a np. innej osoby.

    • No właśnie tyle teoria że nie ty wziąłeś i nie twój problem, i że powinni udowodnić…
      …a praktyka zwykle swoje – bo to dziki kraj…

    • Każdy normalny człowiek tak myśli do czasu zetknięcia z realiami polskiego tzw. wymiaru „sprawiedliwości” …

  4. W drugiej części artykułu będzie odpowiedz na pytanie z nagłówka czy po prostu zmarnowaliście – zapewne nie tylko mój – czas?

  5. Moim zdaniem, powinna zostać wdrożona autoryzacja zleceń kredytowych jedynie poprzez profil zaufany – z tym że w tym przypadku profil zaufany do którego można się jedynie dostać z Banku. Ryzyko faktu że ktoś zaciągnie na Ciebie kredyt znacznie spada, bo musiałby przejąć kontrolę nad kontem bankowym lub hasłami SMS w telefonie. To jest najprostsze możliwe rozwiązanie do zrobienia tak naprawdę w tydzień. I odwieczny problem kradzieży tożsamości w celach zaciągania zobowiązań by się permanentnie rozwiązał.

    • Jakie prawo ? w żadnym realnym przypadku żaden urząd typu giodo -uodo nie pomógł i nie pomoże obywatelowi …
      oczywiście
      co jakiś czas ogłoszą medialnie jaką to karę dla złej korporacji
      przywalili ku uciesze gawiedzi ale wyników odwołań i rzeczywistej kwoty
      jaką wpłacono do budżetu to już medialnie nie podają …
      bezcelowe
      szkolenia, konferencje, tony kwitów które niczego nie zabezpieczają
      poza dostatnim utrzymaniem dla urzędników za pieniądze podatników…
      Dlaczego
      w mediach „bezkarnie” reklamują chron – pesel, bik itp. ? Przecież
      wszystkie budżetowe urzędy „odpowiedzialne” oraz instytucje finansowe
      powinny oskarżyć w/w naciągaczy o zniesławienie … czemu tego nie robią
      ?

  6. Po pierwsze powinno się ścigać złodziei kradnących dane osobowe czy kredyty tak samo, jak ściga się złodziei samochodów czy wyposażenia mieszkań. Dopóki kradzież danych osobowych stanowi dla złodzieja prawie zerowe ryzyko żadne rejestry nie pomogą.

  7. Pierwsze zdanie jest nieprawdziwe. Dane wyciekają tak samo często, jak wcześniej. Jedyna różnica to taka, że „dzięki” RODO częściej się o tym dowiadujemy. Niebezpiecznik ma dobrą radę – trzeba założyć, że dane już wyciekły. Problem polega na tym, że lwia część systemów jest zabezpieczona na bardzo niskim poziomie. Odpalanie Apache czy Nginxa użytkownikiem root i awersja do ACL (Na bootcampach tego nie ma) sprawiają, że strony są podatne na banalne ataki, takie jak skanowanie adresów. Pewna strona wysyła potwierdzenie założenia konta w postaci ładnego podziękowania i… loginu i hasła. O 2FA słyszało może kilka procent firm. W wielu bankach nie ma opcji logowania z użyciem klucza czy nawet tokenu RSA. Ja się nie dziwię, że dane wyciekają.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *