⚠️ [AKTUALIZACJA] Każdy może podejrzeć PESELe i adresy ponad 30 000 klientów Getin Noble Bank

Posted on

Adresy i PESELe klientów Getin Banku figurują w aktach postępowania upadłościowego, do których dostęp może uzyskać każdy, przez internet. Czy to jest zgodne z prawem? Najwyraźniej tak, ale nie zmienia faktu, że naszym zdaniem jest to bardzo poważny problem dla prywatności tysięcy ludzi a odpowiedzialne za system ministerstwo chyba nie bardzo wie co z tym zrobić…

Zgłoś wierzytelność i… pobierz dane tysięcy ludzi

Pewnie słyszeliście o upadłości Getin Noble Banku. Ze względu na trwające postępowanie upadłościowe, nagle dużego znaczenia nabrała jedna usługa Ministerstwa Sprawiedliwości — zgłaszanie wierzytelności przez Krajowy Rejestr Zadłużonych.

Ten kto w piątek 18 sierpnia wszedł na stronę KRZ (krz.ms.gov.pl) mógł na górze zobaczyć czerwony pasek z ostrzeżeniem o problemach wydajnościowych. Był też link do przygotowanej naprędce instrukcji wideo mówiącej o procedurze zgłaszania wierzytelności. Mało popularny dotychczas KRZ nagle zaczął być tłumnie odwiedzany.

Ze wspomnianej już instrukcji wideo wynikało, że jeśli wypełni się odpowiedni wniosek i się go wyśle, to:

  1. dołączy się do postępowania oraz…
  2. automatycznie (!!!) otrzyma się dostęp do akt sprawy

Problem w tym, że w dostępnych elektronicznie aktach sprawy znajdują się dane pozostałych osób uczestniczących w postępowaniu, w tym adresy zamieszania i PESEL-e. Już samo udostępnianie danych tak wielu osób w taki sposób budzi poważne zastrzeżenia, ale jest jeszcze jeden problem. Zgłoszenia może dokonać każdy i może to zrobić pismem niewywołującym skutków prawnych, a mimo to dostanie dostęp do danych.

Sprawdziliśmy…

Problem z KRZ od kilku dni zgłaszają nam różni Czytelnicy. Aby zweryfikować, czy ich panika i strach o swoje dane są uzasadnione, skorzystaliśmy z formularza KRZ do zgłaszania wierzytelności. Wypełniliśmy go bzdurnymi danymi, wysłaliśmy wniosek bez podpisu i bez opłaty. Takie pismo nie wywoła skutków prawnych, natomiast wywołało ono jeden skutek techniczny. Otrzymaliśmy dostęp do akt sprawy! Automatycznie. Ot tak!

Wygląda na to, że dostęp do danych uczestników postępowania odbywa się bez żadnej weryfikacji. Wystarczy zapoznać się z dostępną dokumentacją, aby znaleźć dane osobowe tysięcy wierzycieli Getin Banku.

 

Lista PESELi, nazwisk i miejscowości (w kolumnie “Miejsce zamieszkania”) wygląda wystarczająco strasznie. Ale to nie wszystko, bo można również pozyskać ich dokładne adresy zamieszkania.

Nie przeglądaliśmy tych danych bardziej niż było to konieczne do stwierdzenia zgłaszanego nam problemu ale możemy potwierdzić, że gdy po raz pierwszy sprawdziliśmy jak to działa (w piątek 18 sierpnia) liczba uczestników postępowania przekraczała 17 tys. We wtorek 22 sierpnia liczba uczestników była już prawie dwukrotnie większa, więc teoretycznie można podejrzeć dane ponad 30 000 osób.

Dodajmy, że to jest coś więcej niż 30 tys. nazwisk, peseli i adresów. W niektórych metryczkach widzieliśmy numer telefonów. Według jednego z czytelników można się też dogrzebać numeru dokumentu tożsamości i informacji o nieruchomości której dotyczy kredyt. A ponieważ podane adresy prawdopodobnie są powiązane z tym kredytem, to stosując techniki OSINT-u da się połączyć te dane z innymi informacjami o ludziach. Każde masowe udostępnienie danych o ludziach wykracza poza swój podstawowy zakres.

Co więcej, ponieważ to są dane ludzi będących w przeszłości klientami konkretnego banku, więc wchodzi w grę tajemnica bankowa …i ryzyko bardzo ukierunkowanych ataków phishingowych.

Czy to na pewno błąd?

Rozumiemy, że zgodnie z prawem, uczestnicy postępowania upadłościowego mogą mieć dostęp do ww. danych, ale naszym zdaniem KRZ raczej nie powinien udzielać automatycznego dostępu do akt postępowania po wysłaniu dowolnegom wniosku każdemu, bez weryfikacji, bez podpisu. Aby zalogować się do systemu trzeba co prawda skorzystać z dostępu przez Profil Zaufany, ale taki profil można nielegalnie pozyskać.

Wydaje się więc, że byłoby lepiej gdyby dostęp do postępowania Getin Banku w KRZ był jakkolwiek ograniczany, choć faktycznie przy takiej skali jest to nie lada wyzwanie dla administratorów systemu.

Zakładając najgorsze, ktoś może po prostu pobrać dane wierzycieli na masową skalę. Mamy więc nadzieję, że Ministerstwo na bieżąco analizuje logi pod kątem takich nadużyć i zareaguje jeśli dojdzie do scrapingu. Pytanie, czy reagowanie na wyraźne nadużycia to w tym przypadku najlepsza strategia? No i co z regułą “privacy by design”?

Kolejne pytanie, to czy w ogóle udostępnianie wszystkich danych uczestników w systemie elektronicznym jest potrzebne? O ile jest dla nas jasne, że w związku z postępowaniem upadłościowym może istnieć prawna możliwość (albo nawet konieczność) przekazywania uczestnikom różnych informacji, to problemem wciąż jest to, że aktualnie ktoś wcale nie musi być wierzycielem w tym postępowaniu, aby uzyskać dostęp do mnóstwa danych osobowych.

Domyślamy się też, dlaczego system mógł zostać zaprojektowany tak, a nie inaczej. KRZ jest stosunkowo młodym systemem, a w jego historii chyba jeszcze nie mieliśmy wydarzenia takiego kalibru jak upadłość Getin Banku. Ktoś mógł czegoś po prostu nie przewidzieć…

Sprawę zgłosiliśmy, ale nic się nie zmieniło

18 sierpnia w godzinach porannych zgłosiliśmy sprawę do Ministerstwa Sprawiedliwości i UODO. Do wtorku (22 sierpnia) nie zobaczyliśmy żadnej reakcji ze strony obu instytucji. Drogami nieoficjalnymi dawaliśmy znać osobom, które “mają odpowiednie dojścia”. Te osoby obiecały pomóc w zwróceniu uwagi na problem.

We wtorek postanowiliśmy zadzwonić i do Ministerstwa Sprawiedliwości i do UODO. Od MS usłyszeliśmy, że owszem — problem jest już znany, ktoś nad tym pracuje i “była dyskusja na ten temat”, ale poza tym nie otrzymaliśmy oficjalnego stanowiska “co dalej?”. UODO obiecał odpisać na wiadomość i faktycznie otrzymaliśmy następujące oświadczenie:
W odpowiedzi na Pana e-mail informuję, że UODO przyjrzy się zasygnalizowanej przez Pana sprawie niejako automatycznego przyznawania każdemu zgłaszającemu statusu strony postępowania, co skutkuje dostępem do akt. O ewentualnych dalszych działaniach poinformujemy, jeżeli zostaną podjęte.

Jednocześnie informuję, że UODO zgłaszał uwagi do projektowanych rozwiązań dotyczących informatyzacji funkcjonowania KRZ – zarówno do ustawy o Krajowym Rejestrze Zadłużonych, jak i aktów wykonawczych do jej przepisów. Za każdym razem UODO przedstawiał swoje obawy co do konstrukcji prawnej przyjętej w ustawie z dnia 6 grudnia 2018 r. o Krajowym Rejestrze Zadłużonych, zgodnie z którą zamieszczone w Krajowym Rejestrze Zadłużonych numery PESEL podlegają upublicznieniu, są zatem jawne i publicznie dostępne. Organ zwracał uwagę, że ta jawność i publiczna dostępność numerów PESEL w Krajowym Rejestrze Zadłużonych nie tylko nie daje się pogodzić z – statuowaną w art. 87 RODO – zasadą, by przetwarzanie „krajowego numeru identyfikacyjnego” (jakim jest numer PESEL) odbywało się z zachowaniem odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą, lecz – przede wszystkim – rodzi poważne zagrożenia dla osób, których numer PESEL zostanie za pośrednictwem Krajowego Rejestru Zadłużonych upubliczniony.

W swoich uwagach UODO wskazał na zagrożenia, jakie mogą spowodować takie rozwiązania. Organ alarmował wówczas, że osoba, której numer PESEL zostanie upubliczniony za pośrednictwem KRZ, zostaje de facto pozbawiona prawa do usunięcia danych „prawa do bycia zapomnianym” (art. 17 RODO), także po wygaśnięciu lub spłacie wierzytelności, która była podstawą ujawnienia informacji o niej w Krajowym Rejestru Zadłużonych. Ze względu na specyfikę sieci Internet raz zamieszczony w niej numer PESEL będzie w niej dostępny przez czas nieograniczony, przy jedynie iluzorycznej możliwości jego trwałego usunięcia. Tym samym osoba, której ta dana osobowa dotyczy, przez czas nieokreślony ponosić będzie ryzyko nieuprawnionego profilowania i przetwarzania jej danych niezgodnie z pierwotnym celem ich zebrania.
Nie wiemy czy będą jeszcze jakieś reakcje ze strony UODO, natomiast odpowiedź urzędu pokazuje dlaczego problem z KRZ nie będzie łatwy do usunięcia.

Wygląda na to, że cała ta sytuacja nie wynika z błędu, usterki czy ataku. Po prostu system Ministerstwa Sprawiedliwości został tak zaprojektowany i działa najwyraźniej zgodnie z prawem. Przypomina nam to trochę sytuację, w której prokuratura rozesłała (też zgodnie z prawem) dane osobowe wszystkich podejrzanych wszystkim podejrzanym (Wysłała pocztę bez BCC, została pozwana, policja ustaliła dane osobowe poszkodowanych, sąd ją ukarał a prokuratura ujawniła wszystkim dane wszystkich.).

Pytanie, czy takie działanie zgodnie z prawem może być jednocześnie działaniem niezgodnym z RODO? No cóż. W końcu nikt nie zabrania tworzyć ustaw niezgodnych z RODO 😉 Chociaż wydaje się, że jakieś konsultacje w sprawie KRZ były, to wygląda na to, że najwyraźniej stanowisko UODO nie zawsze musi być brane pod uwagę.

Jestem klientem Getin Banku — co robić, jak żyć?

Wychodzi na to, że najlepszą strategią dla wierzycieli Getin Banku mogłoby być rozważenie opóźnienia zgłoszenia wierzytelności do KRZ. Przynajmniej do czasu, kiedy obecny proces nie zostanie “uszczelniony”, chociaż na dobrą sprawę nie jesteśmy pewni, czy Ministerstwo Sprawiedliwości może “ograniczać” (a jeśli tak, to jak) dostęp do KRZ.

Równie dobrze takie “utrudnianie” może okazać się być niezgodnym z prawem ograniczaniem …praw obywatelskich. Podobny problem ostatnio obserwowaliśmy podczas udostępnienia nowej wersji mObywatela. Aplikacja przestała działać, bo za dużo osób ją zainstalowało jednocześnie, ale nie można było ograniczyć propagacji aplikacji (poprzez tzw. “rolling updates”) bo — jak tłumaczyło Ministerstwo Cyfryzacji — interpretacja przepisów mówiła, że dostęp wszyscy muszą otrzymać w tej samej chwili…

Trzeba też pamiętać, że wierzytelność powinna być zgłoszona do 30 dni po ogłoszeniu upadłości. Teoretycznie można zgłaszać wierzytelność po tym terminie, ale rodzi to dodatkowe niepożądane konsekwencje. Dlatego nasza rada ma sporą wadę.

Wygląda na to, że KRZ to kolejny przykład na to, że prawo nie nadążą za technologią…

Ta sprawa jest bardzo ciekawa z wielu powodów, dlatego — jeśli otrzymamy oficjalne stanowisko Ministerstwa Sprawiedliwości co do KRZ lub zauważymy zmianę w sposobie działania tego systemu, będziemy aktualizowali ten artykuł. Na razie mimo wszystko sugerujemy wstrzymać się ze zgłoszeniem wierzytelności. Może jednak ktoś KRZ uszczelni. Choć jeśli będzie to wymagać zmiany przepisów, czarno to widzimy…

CyberAlert

W związku z zakresem danych, skalą wydarzenia oraz niezbyt oczywistego na pierwszy rzut oka dla wierzyciela zagrożenia zdecydowaliśmy się przygotować w tej sprawie alert do użytkowników naszej darmowej apki CyberAlerty. Niebawem zostanie on rozesłany.

Jeśli chcesz za darmo otrzymywać ostrzeżenia o atakach zagrażających danym i pieniądzom Polaków wprost na swojego smartfona, zainstaluj naszą aplikację na Androida lub iPhona. Aplikacja nie wymaga rejestracji i aktualnie nasze alerty otrzymuje prawie 200 000 Polaków.

Aktualizacja 24.08.2023 8:27

Ministerstwo Sprawiedliwości: “KRZ nic nie zmienił”

Ministerstwo Sprawiedliwości wczoraj wieczorem przesłało do naszej redakcji następujące oświadczenie.
W związku z pytaniami mediów o rzekome nieprawidłowości w dostępie do danych wierzycieli upadłego Getin Noble Banku, Ministerstwo Sprawiedliwości informuje, że informacje gromadzone w Krajowym Rejestrze Zadłużonych są w pełni bezpieczne i przetwarzane zgodnie z obowiązującym prawem.

Wgląd do akt postępowania upadłościowego, zgodnie z Kodeksem postępowania cywilnego i Prawem upadłościowym, mają wszyscy jego uczestnicy. Wynika to z zasady wewnętrznej jawności postępowania cywilnego, która gwarantuje uczestnikom postępowania równe prawa.

Przepisy regulujące dostęp do akt postępowań upadłościowych obowiązują bez zmian od 2003 roku. A więc były takie same za poprzednich ministrów sprawiedliwości, jak też w poprzednim „papierowym” systemie obsługi tych postępowań w sądach.

Funkcjonujący od 2021 r. Krajowy Rejestr Zadłużonych, będący teleinformatycznym systemem obsługującym postępowania sądowe, nic w tym zakresie nie zmienił.

Ministerstwo Sprawiedliwości podkreśla przy tym, że każda osoba, która w sposób nieuprawniony, np. poprzez fałszywe zgłoszenie wierzytelności, wejdzie w bezprawne posiadanie danych, podlega odpowiedzialności karnej. Takie przypadki, będą zgłaszane przez syndyka do prokuratury. Analogicznie jak w postępowaniach prowadzonych w okresie sprzed KRZ, gdy zawiadamianie prokuratury o tego typu nadużyciach należało do sądów.
Podsumowując, udostępnienie systemu KRZ niczego nie zmieniło, a jedynie przeniosło funkcjonowanie obsługi postępowań upadłościowych do sieci. Więc niestety, tak jak sugerowaliśmy, to narażające na utratę prywatności wierzycieli funkcjonowanie systemu jest …zgodne z prawem. Pozostaje mieć nadzieję, że ktoś jednak znajdzie jakiś “kurczek” prawny lub możliwość techniczną żeby dostępu do akt sprawy nie otrzymywano automatycznie, po wysłaniu wniosku niepodpisanego i z brakami formalnymi, który z zasady nie powinien wywołać żadnych skutków prawnych. Ale nawet jeśli ten problem zostanie rozwiązany to wciąż
wszyscy wierzyciele będą mieli dostęp do danych pozostałych wierzycieli
A to znaczy, że jeden z nich zgodnie z prawem może pobrać dane pozostałych i przekazać komuś, kto wykorzysta je do ataków, profilowania lub innych niecnych celów. Co więcej, takich pobierających wszystko (legalnie!) może być więcej, więc ciężko będzie ustalić, kto faktycznie jest winny wyciekowi danych wierzycieli.

Okiem adwokata: “To tylko część problemu”

Co gorsza, danych w KRZ jest więcej niż informowaliśmy początkowo. Poza PESEL-em i adresem znaleźć tam możne bardziej wrażliwe informacje. Z czego to wynika? Oddajmy głos adwokatowi Mateuszowi Stelmachow-Hawełce, który przesłał nam następującą wiadomość:
Szanowni Państwo, (…) chciałem wskazać, że pomijacie Państwo dużą część problemu. W branży prawniczej [ten problem] znamy od ponad roku, ponieważ efektownie uderzył podczas zgłoszeń wierzytelności upadłego IDEABANK. (…) [D]ane osobowe/PESEL/adresy to raptem część danych wrażliwych, która tam jest. Każdy ze zgłaszających – niezależnie czy działający przez pełnomocnika, czy sam – w części zgłoszenia (załączniki – dokumenty inne) umieszcza dokumenty potwierdzające istnienie wierzytelności. (…) Wielu zgłaszających załącza jednak dokumenty dodatkowe, takie jak cały pozew, cała umowa, wszystkie aneksy, cała korespondencja z bankiem. Tam oczywiście są wszystkie dokumenty związane z nieruchomością, hipoteką oraz kredytem. Wiele osób załącza pozew, odpowiedź na pozew lub inne dokumenty sądowe, a tam jest mnóstwo danych osób (także świadków), które nie są związane ze sprawą.

Szaleństwem jest jednak jak np. niektóre kancelarie, ale także sami klienci działający w KRZ bez pełnomocnika, bezwiednie skanują cały “pozew frankowy” z załącznikami. (…) Nie mówię o klientach działających bez pełnomocników, bo oni nie muszę wiedzieć, ale prawdopodobnie większość zawodowych pełnomocników także nie wie o tym, o czym Państwo piszecie. Widzę to po rozmowach ze starszymi adwokatami lub radcami, którzy, mimo podstawowych umiejętności pisania na komputerze, nie mają żadnych kwalifikacji do “spraw internetowych”. Myślę, że bez przesady można przewidywać, że zgłoszenia w ich kancelariach wysyła “sprytny” aplikant lub sekretarka, którzy “wrzucają do załączników” co się da, wedle zasady “żeby nie zabrakło”. Jest to bolączka wszelkiego rodzaju postępowań elektronicznych, gdzie pełnomocników – co do wielkości załączanych dokumentów – ogranicza tylko przyzwoitość (bo kompresja plików wszystko zniesie).

Wiemy to z postępowań, gdzie można przesyłać coś przez EPUAP i później ktoś tam załącza setki lub tysiące stron absolutnie zbędnych dokumentów. Koniec końców mnóstwo osób z całej puli (jak słusznie odnotowujecie blisko 30.000 zgłoszeń samego GETIN) nawet nie wie, że pełne dane o nich oraz ich rodzinach są właśnie “wyłożone na stół” dla każdego. Niektórym dane te wyłożyli pełnomocnicy (pośród nich tylko część świadomie), ale większość ze zgłaszających dokonała zgłoszeń osobiście (ujawniając swoje dane całkowicie nieświadomie).

Nie mam zamiaru brać w obronę systemu lub Ministerstwa, ale zauważam, że trudno ten problem rozwiązać, ponieważ wgląd do akt zgłoszeń wierzytelności powinien mieć każdy uczestnik postępowania upadłościowego. Wszak ja mogę – działając na rzecz moich klientów – oprotestować listę wierzytelności w kontekście zgłoszeń wierzytelności innych osób. System jednak nie przewidział, że będziemy mieli tak potężne upadłości, a tego nie przewidziano, że będzie się to rozgrywać elektronicznie. Dziwi mnie zresztą, że dopiero teraz ktoś się tym zajmuje, jeżeli – oczywiście mniejsza, ale także duża – upadłość IDEABANK sprzed roku już pokazała ten problem. Jakimś – nie wiem czy najlepszym, ale doraźnym – sposobem byłoby zablokowanie dostępu całkowicie nieweryfikowanego (takiego jakim Wy dostaliście się do bazy) poprzez wprowadzenie logowania wyłącznie przez PZ lub z podpisem kwalifikowanym, a dalej jakiś (?) system rejestrujący kto pobiera jakie dokumenty (na wypadek nieuprawnionego ujawnienia). Przy tym jasne pouczenia – które dziś są dosyć rozsiane po ustawach i mało czytelne nawet dla prawników – o odpowiedzialności za użycie pobranych danych niezgodnie z celem (postępowaniem upadłościowym). To oczywiście rozwiązanie fasadowe, mało praktyczne i bez rozwiązania problemu. Dzięki za zainteresowanie się problemem!
Skoro więc KRZ nie da się “ograniczyć” w zakresie dostępu dodanych, to być może dobrym pomysłem byłoby chociaż wyświetlenie ekranu (przed dodaniem wierzytelności) który wskazywałby, że wprowadzane dane będą widoczne dla pozostałych kilkudziesięciu tysięcy innych osób i że nie trzeba wgrywać do systemu skanów umów kredytowych i innych dokumentów, które nie są niezbędne. Być może to choć trochę zminimalizowałyby ryzyko, że nieuczciwy wierzyciel wyprowadzi z systemu cudze dane osobowe. Dane, które w sumie wcale nie musiały się tam znaleźć.

Przeczytaj także:

  • Jak przejąć czyjś Profil Zaufany? My wiemy. Złodzieje też. KPRM także, ale wciąż nie reaguje…
  • * Widziałeś czyjś PESEL w ePUAPie. Wyjaśnimy Ci dlaczego
  • AKTUALIZACJA #2: Dane 18 000 dłużników Getin i Noble Banku na sprzedaż. Przejęto kontrolę nad komputerem pracownika banku
Please follow and like us:
error
fb-share-icon
Tweet
fb-share-icon

Related Posts

Kierwiński o Pegasusie w MSWiA: Nie chcę o tym mówić

  • 22 stycznia, 2024
  • 0

Każdą nieprawidłowość, każde przekroczenie zasad państwa prawa będziemy pokazywać społeczeństwu – powiedział w poniedziałkowym „Newsweeku” minister spraw wewnętrznych i administracji Marcin Kierwiński pytany o ślady […]

Złodzieje tablicy nagrobnej zatrzymani

  • 8 lutego, 2024
  • 0

Dzięki czujności sądeckiego policjanta zatrzymani zostali dwaj mężczyźni podejrzani o kradzież mosiężnej tablicy z nagrobka znanego badacza historii Sądecczyzny. Obaj usłyszeli zarzut ograbienia grobu, czego […]