Osoby logujące się do rządowych serwisów z użyciem Profilu Zaufanego czasami widzą dane innych osób, np. w Emp@tii lub EKRS. Sprawa jest bardzo niepokojąca, a problem sygnalizowany jest przynajmniej od miesiąca. Coraz trudniej uwierzyć, że to niepowiązane pojedyncze przypadki.

Cudze dane w Emp@tii…

Otrzymujemy zgłoszenia dotyczące błędów podczas logowania się do systemu emp@tia w celu wypełnienia wniosku 500+ lub 300+ korzystając z Profilu Zaufanego.

Jak pisze nasz Czytelnik:

(..) zostaniemy zalogowani jako INNY UŻYTKOWNIK (w moim przypadku była to MARZENA KLIM. Nie wiem czy nieprawidłowo wyświetla tylko imię i nazwisko czy faktycznie pobiera z PZ dane innej osoby.

Jeśli Pani Marzena nas czyta, z chęcią się z nią skontaktujemy. Namierzyliśmy kilka osób o tym nazwisku ale zgadujemy, że nie wszystkie korzystają z Profilu Zaufanego.

..oraz w EKRS

Bardzo podobny problem zasygnalizował nam inny Czytelnik, który korzystał z systemu EKRS Ministerstwa Sprawiedliwości, aby wykonać czynności dla swojego klienta. Wiemy, że EKRS i Profil Zaufany to dwie różne bajki, ale…

Do rejestracji w tym systemie należy w formularzu podać adres e-mail oraz hasło jakie chcielibyśmy mieć do logowania. Od pewnego czasu następnym krokiem jest autoryzacja podpisem kwalifikowanym lub właśnie epuap. W tym przypadku autoryzacja miała odbyć się epuap- przy użyciu bankowości elektronicznej. Konto epuap założone bez problemu, dane

po zalogowaniu sprawdzone, zgadzają się… Natomiast po założeniu konta w ekrs i próbie zalogowania do systemu w prawym górnym rogu pojawiają się dane zupełnie nieznanej mi/klientowi osoby… System co prawda chce weryfikacji poprawności konta przy pomocy linku, hasła które otrzymuje na właściwy e-mail, ale mam opory by to zrobić, w końcu to system sądowo-ministerialny, który podczas zakładania straszy odpowiedzialnością karną. Infolinia po 1h10min oczekiwania poinformowała mnie, że jestem 17 w kolejce (na początku byłem 39). Zgłoszenie e-mail najpierw dwukrotnie przyszła odpowiedź, że wiadomość nie została przeczytana, potem łaskawie nadano nr sprawie….

Czyli obydwa przypadki wydają się mieć coś wpólnego. Wygląda to tak, jakby autoryzacja Profilem Zaufanym w innych serwisach rządowych (EKRS, Emp@tia) powodowała zalogowanie się na konto przypisane do innej osoby lub pobranie z cudzego konta przynajmniej części danych innej osoby.

Czytelnik zgłaszający ten drugi przypadek dodatkowo sprawdził swoje konto ePUAP, zmienił hasło i sprawdził metody autoryzacji profilu. Nic nie wskazywało na błąd po jego stronie.

Oczywiście próbowaliśmy logować się przez ePUAP na swoje konta w różnych rządowych serwisach. Mieliśmy to szczęście, że wszędzie dane się zgadzały. Gdybyście mieli chwilkę to też spróbujcie i dajcie znać w komentarzach jeśli zobaczycie coś dziwnego. Najlepiej logujcie się Profilem Zaufanym w innych instytucjach i sprawdzajcie na jakim koncie jesteście.

Dowodzik na cudze dane? Niekoniecznie

Nie słyszymy o podobnym problemie pierwszy raz. W numerze 19 (11-17 V) tygodnika NIE znalazł się artykuł Mateusza Cieślaka pt. “…i kamieni kupa”. Dziennikarz NIE w charakterystyczny dla tego pisma sposób opisał, że zobaczył dane innej osoby korzystając z ePUAP-u do wyrobienia sobie nowego dowodu osobistego. Ale nie tylko Mateusz Cieślak miał ten problem.

Jak ustaliłem, nieznana liczba całkowicie przypadkowych osób w Polsce ma dostęp do profili zaufanych różnych osób. Moja rozmówczyni wyrobiła sobie dowód osobisty. Wniosek przyjęto, dowód przygotowano. Dopiero przy jego odbiorze moja rozmówczyni zorientowała się, że na dowodzie jej są wyłączynie zdjęcie, imię oraz nazwisko. Wszystkie pozostałe dane należały do kogoś innego – pisał Mateusz Cieślak.

Próbowaliśmy się kontaktować z Panem Mateuszem, ale bezskutecznie. Tymczasem on bezskutecznie próbował uzyskać wyjaśnienia od Ministerstwa Cyfryzacji. Co jednak istotne (i czego nie napisano w NIE) ta sytuacja została wyjaśniona i wydaje się nie mieć nic wspólnego z opisywanymi przypadkami (zob. aktualizację pod tekstem).

Wypadałoby coś wyjaśnić

Dodatkowo niepokojące jest to, że ani COI ani MC nie wyjaśniły przyczyn niedawnej awarii Systemu Rejestrów Państwowych. Czy ona mogła mieć coś wspólnego z wyciekami z ePAUP-u? Może nie, ale czy ktoś będzie miał na tyle odwagi by wreszcie oznajmić obywatelom próbującym ale nie mogącym korzystać z cyfrowej Polski — co jest grane? Rozumiemy, że nie zawsze można dyskutować o szczegółach, ale w tym przypadku chodzi o systemy isototne dla wszystkich obywateli i utrzymywane za ich pieniądze. A wciąż nie działające poprawnie.

Nie od dziś przyglądamy się problemom ePUAP-u. Nawet autor tego systemu przyznaje, że nie można mu ufać, a była minister Anna Streżyńska przyznawała, że najchętniej “zaorałaby” ten projekt. Co gorsza, ePUAP współpracuje z innymi systemami dalekimi od doskonałości (np. PUE ZUS) co przekładało się na słabą ochronę danych. Nie chcemy sugerować, że informatyzacja jest zła. Ona jest niezbędna, ale musi być robiona solidnie. A w ostatnich tygodniach, bardziej te systemy nie działają niż dzialają. W 2018 roku, to przede wszystkim smutne…

Po publikacji tego tekstu skontaktował się z nami Karol Manys z biura prasowego Ministerstwa Cyfryzacji. Okazało się, że sprawa pana Mateusza Cieślaka (dziennikarza NIE) została wyjaśniona i pan Cieślak otrzymał od ministerstwa odpowiedź. Wyjaśnienia dostał również drugi pan Cieślak, na którego profil zalogował się dziennikarz NIE.

Jak się zapewne domyślacie, w przypadku opisanym przez dziennikarza NIE istotna była zbieżność nazwisk. Inaczej niż w przypadkach opisanych przez nas dzisiaj, gdzie zbieżności nazwisk nie było. Mimo iż zasadniczy problem jest we wszystkich przypadkach ten sam (logowanie na cudzy profil), przyczyny wystąpienia problemu mogą być różne.

Karol Manys zauważył jeszcze, że dziennikarz NIE miałby problem z wyrobieniem sobie dowodu na cudze dane. Dlaczego? Ponieważ kody autoryzacyjne i tak przychodziłyby na telefon drugiego pana Cieślaka. Tamten przypadek można rozpatrywać najwyżej w kategoriach ujawnienia danych osobowych i oczywiście problemu technicznego dla użytkownika.

Już wczoraj pytaliśmy Ministerstwo o to, czy wszystkie trzy przypadki mogą mieć coś wspólnego. Znamy już odpowiedź dotyczącą przypadku pana Cieślaka. Czekamy na efekty sprawdzania dwóch pozostałych przypadków. Wypada podkreślić, że Ministerstwo Cyfryzacji i COI szybko zareagowały na nasze pytania i zgłoszenie, ale potrzebne było zebranie dodatkowych informacji.

Pół godziny temu otrzymaliśmy poniższe oświadczenie z biura prasowego Ministerstwa Cyfryzacji.

Panie Redaktorze, informujemy, że w ramach systemów nadzorowanych przez Ministerstwo Cyfryzacji i administrowanych przez Centralny Ośrodek Informatyki dane obywateli są bezpieczne. Z Profilu Zaufanego nie wyciekają żadne dane. Opisane przypadki są intensywnie wyjaśniane we współpracy z właścicielami systemów eKRS i Emp@tia, tj. Ministerstwem Sprawiedliwości i Ministerstwem Rodziny, Pracy i Polityki Społecznej. Ministerstwo Cyfryzacji wraz z Centralnym Ośrodkiem Informatyki oferuje pełne wsparcie wspomnianym interesariuszom w ramach dedykowanego zespołu. Po wykonaniu wstępnych analiz można stwierdzić, że Profil Zaufany działa prawidłowo.

Przeczytaj także: