Wielki wyciek danych z PESEL: bomba z opóźnionym zapłonem?
ABW i prokuratura prowadzą śledztwo w sprawie nieuprawnionego wykorzystywania danych z systemu PESEL przez komorników sądowych. W niepowołane ręce mogły wyciec dane co najmniej dwóch milionów Polaków. Czyje dokładnie dane wyciekły i kto może mieć do nich dostęp – ma ustalić śledztwo. Dane te mogą posłużyć do rozmaitych przestępczych działań finansowych i kryminalnych, np. wyłudzeń kredytów, kradzieży tożsamości i podrabianiu dokumentów, po typowania osób do oszustw „na wnuczka”
Bomba wybuchła w piątek 26 sierpnia: radio RMF FM, a za nim inne media podały o toczącym się śledztwie prokuratury w sprawie wycieku danych z systemu PESEL i o działaniach ABW, której funkcjonariusze wkroczyli do pięciu kancelarii komorniczych, zabezpieczając dokumentację i komputery.
Michał Dziekański, rzecznik prasowy Prokuratury Okręgowej w Warszawie poinformował, że prokuratura „nadzoruje postępowanie karne w sprawie niedopełnienia obowiązków i działania na szkodę interesu publicznego i prywatnego przez komorników sądowych zobowiązanych do zabezpieczenia dostępu do danych osobowych z rejestru PESEL, wskutek czego mogło dojść do umożliwienia dostępu do danych osobom nieuprawnionym tj. o przestępstwo z art. 231 § 1 kk w zb. z art. 51 ust. 1 ustawy o ochronie danych osobowych oraz w sprawie uzyskania przez osoby nieuprawnione dostępu do danych osobowych zawartych w rejestrze PESEL tj. o przestępstwo z art. 267 § 1 kk.”
To nie włamanie
Prokuratura wszczęła śledztwo po zawiadomieniu z Ministerstwa Cyfryzacji złożonym 12 sierpnia o podejrzeniu popełnienia przestępstwa. Jak podał rzecznik MC Karol Manys w trakcie rutynowych działań resortu wykryto podejrzane operacje w systemie PESEL wykonywane przez kancelarie komornicze (komornicy mają dostęp do systemu PESEL, by móc łatwiej lokalizować dane dłużników), które przeprowadzano co najmniej od marca 2015 roku. Manys podkreślił, że nie doszło do włamania do systemu, ale „przy pobieraniu danych za pomocą dedykowanych łącz w ramach normalnych uprawnień”.
Komunikat prokuratury tak to opisuje: „ustaleni komornicy pobierali od kilkudziesięciu do kilkuset tysięcy rekordów z bazy PESEL miesięcznie. Przeprowadzona analiza połączeń z systemem PESEL - w tym czas ich trwania, częstotliwość zapytań, realizacja w porze nocnej oraz schemat pracy stacji roboczych - wskazywała na zastosowanie złośliwego oprogramowania bądź skryptów służących do automatycznego generowania zapytań. (...) Wyniki przeprowadzonej analizy uzasadniły podejrzenie nieuprawnionego pobierania i wykorzystywania danych osobowych, przykładowo jeden z komorników pobrał od marca 2015 r. dane 802.759 osób i złożył 1.792.951 zapytań”.
Rzecznik prokuratury poinformował też, że „w związku z wagą sprawy śledztwo powierzono Agencji Bezpieczeństwa Wewnętrznego. W celu ustalenia istotnych okoliczności sprawy podjęto decyzję o przeprowadzeniu czynności procesowych w pięciu kancelariach komorniczych m.in. z Warszawy i Łodzi, zabezpieczając nośniki danych oraz sprzęt informatyczny”.
Na razie nie wiadomo, kto stoi za tym wyciekiem i w jakim celu dane zostały pobrane. Dane te mogą posłużyć do przestępczych działań finansowych i kryminalnych, np. od wyłudzeń kredytów, kradzieży tożsamości i podrabianiu dokumentów, po typowania osób do oszustw „na wnuczka”. W bazie PESEL znajdują się bowiem, oprócz imienia i nazwiska, serii i numeru dowodu osobistego i numeru PESELtakże takie informacje jak miejsce zamieszkania, czy nazwisko panieńskie matki. Wszystkie te dane wystarczą, aby założyć w banku konto, które może posłużyć np. do zaciągnięcia na czyjeś nazwisko pożyczek lub kredytów. Zwłaszcza, że dziś można to zrobić zdalnie, bez okazywania dowodu osobistego i wizyty w oddziale. I tak mogło się dziać od półtora roku.
Jacek Uryniuk z portalu Cashless.pl podkreśla jednak: „Nie wiadomo dziś, czy skradzione dane do tego posłużyły. Przy tym nie jest to wbrew pozorom takie proste. Niektóre banki umożliwiają zdalne założenie rachunku, ale wymagają potwierdzenia danych przelewem wykonanym z innego konta. Przestępcom nie wystarczą więc do tego same dane – muszą jeszcze wymusić na swoich ofiarach wykonanie przelewu aktywacyjnego, a przy braku np. numeru telefonu czy adresu e-mail do tych osób (a takich danych chyba nie ma w bazie PESEL) nie jest to łatwe. Ponadto od lipca bieżącego roku procedurę zdalnego uruchamiania kont uszczelniono. KIR i ZBP utworzyły bazę rachunków otwartych przy pomocy przelewów aktywacyjnych, z których nie można już uruchamiać następnych kont”.
Jak się zabezpieczyć
Podsumowując: mamy do czynienia z sytuacją bez precedensu. Nieokreśleni przestępcy z nieokreślonymi intencjami od półtora roku dysponują wrażliwymi danymi wielu milionów Polaków.
Wedle obecnego stanu rzeczy zagrożony konsekwencjami wycieku PESEL może czuć się praktycznie każdy. Nie jest wykluczone, że w najbliższej przyszłości do wielu z Polaków może trafić z kancelarii komorniczej ponaglenie o spłatę kredytu lub pożyczki, której nigdy nie zaciągali.
Mając zaufanie do sprawności działań służb państwowych i szybkiego wypracowania mechanizmów chroniących obywateli przed skutkami przecieku, trzeba jednak rozważyć własne działania zapobiegawcze, które choć w części ochronią nasze prawa.
Specjaliści od bezpieczeństwa bankowego i cyberbezpieczeństa wskazują na kilka konkretnych działań.
Po pierwsze, by upewnić, czy ktoś niepowołany nie założył na nasze nazwisko rachunku bankowego, można wykorzystać tzw. centralną informacja o rachunkach. Po złożeniu w wybranym banku płatnego wniosku (różne banki mają rożne taryfy tej usługi) po kilku dniach powinno się mieć informację, w których bankach i spółdzielczych kasach oszczędnościowo-kredytowych istnieją założone rachunki na nazwisko wnioskodawcy.
Po drugie, można wykorzystać instrument oferowany przez Biuro Informacji Kredytowej (BIK). Do BIK obowiązkowo trafiają zapytania z banków i firm pożyczkowych o wiarygodność wnioskodawcy przed udzieleniem jakiejkolwiek pożyczki czy kredytu (bank sam z siebie nie ocenia, czy taki wniosek jest prawdziwy czy jest oszustwem). Jeśli sami nie składaliśmy żadnych wniosków kredytowych, nic nie kupujemy na raty ani nie poręczaliśmy kredytu, to pojawienie się sygnału o wniosku do BIK może oznaczać, że ktoś próbuje wziąć kredyt na nasze nazwisko. Mając taką informację możemy natychmiast zareagować, zgłaszając na policję próbę wyłudzenia i kradzieży tożsamości. BIK oferuje do końca września uruchomienie bezpłatnej (normalna roczna opłata to 19 zł) usługi Alert BIK na 12 miesięcy. Alert jest przesłany za pomocą e-maila i SMS-a powiadamia za każdym razem, gdy w BIK pojawi się zapytanie o historię kredytową.
Wreszcie trzecim najdalej idącym rozwiązaniem jest zastrzeżenie dowodu osobistego w bazie Dokumenty Zastrzeżone, prowadzonej przez Związek Banków Polskich i BIK i wyrobienie nowego. Nowy dokument będzie miał zupełnie inną serię i numer, co uczyni go zabezpieczonym przez wyciekiem danych z przeszłości.
Sek