#daneosobowe #MinisterstwoCyfryzacji #wyudzenia #cyberbezpieczenstwo #aktualnosci #codziennaprasowka #informacje #wiadomosci
Wczoraj otrzymaliśmy informacje o niepokojących próbach kontaktu, które dotyczyły kilku osób z różnych części Polski. Jedyne co udało nam się ustalić, że łączy te osoby, to fakt iż były one na kwarantannie. Osoby te relacjonowały, że odebrały telefon od kogoś, kto przedstawiając się za pracownika Ministerstwa Cyfryzacji, Kazimierza “Szmita”, prosił o “uzupełnienie brakujących danych”. Ciężko powiedzieć jak brzmi nazwisko, może to być Szmid, Schmitd, etc., dlatego stosujemy zapis fonetyczny.
Ktoś podając się za urzędnika Ministerstwa Cyfryzacji dzwoni do Polaków i prosi o pokazanie dowodu do kamerki
Pokaż dowód do kamerki
Kazimierz Szmit dzwonił z numerów:
+48 225568403
+48 532519883
+48 532519893
i proponował rozmówcom instalację aplikacji Microsoft Teams i dołączenie do videokonferencji, w ramach której mieli oni pokazać mu dowód osobisty zbliżając go do kamery w swoim urządzeniu. Szmit prosił też o podanie “adresu zamieszkania w Polsce”.
Uspokójmy, że nie chodziło tu o infekcję telefonu rozmówcy. Szmit nie przekazywał złośliwego linka do aplikacji Microsoft Teams, a kazał ją pobrać z oficjalnego sklepu. Odrzucał też prośby o rozmowę na WhatsAppie, tłumacząc “że jest mniej bezpieczny” (głos narratora: nie jest).
Nasi rozmówcy byli zdezorientowani. Zastanawiali się skąd ktoś z Ministerstwa miałby mieć ich numer telefonu. Po rozmowach udało się ustalić, że każda z tych osób miała lub wciąż ma zainstalowaną rządową aplikację Kwarantanna Domowa. Zastanawialiśmy się więc, czy ktoś nie wykorzystał przypadkiem opisywanego przez nas niedawno błędu dotyczącego prywatności w aplikacji Kwarantanna Domowa, który umożliwia sprawdzenie, czy dany numer jest — czy nie jest — osobą na kwarantannie. To tłumaczyłoby pozyskanie numerów osób, które faktycznie są na kwarantannie.
Natychmiast po otrzymaniu wiadomości, wysłaliśmy też zapytanie do Ministerstwa Cyfryzacji z prośbą o komentarz, czy prowadzi tego typu akcję “uzupełniania danych” w tak dziwny sposób i czy Pan Szmit/Szmitd/Schmitd istnieje. Nie otrzymaliśmy odpowiedzi na wszystkie z zadanych pytań, ale krótkie oświadczenie, z którego wynika, że:
Pan Szmit jest prawdziwy. I faktycznie prosi o pokazywanie dowodów do kamery 😳
Nie prowadzimy „akcji uzupełniania danych” użytkowników aplikacji „Kwarantanna domowa”. Numery telefonów, które Państwo wskazaliście są wykorzystywane przez pracowników Ministerstwa Cyfryzacji zajmujących się potwierdzaniem tymczasowych profili zaufanych. Więcej o tej e-usłudze przeczytacie Państwo tutaj – https://www.gov.pl/web/gov/zaloz-profil-zaufany Pracownicy potwierdzający tymczasowe profile zaufane nie mają dostępu do danych użytkowników aplikacji „Kwarantanna domowa”. Z użytkownikami aplikacji „Kwarantanna domowa” mogą kontaktować się jedynie osoby obsługujące infolinię dedykowaną użytkownikom apki.
Ministerstwo nie potwierdziło personaliów wskazywanej przez rozmówców osoby, ale ktoś o tak brzmiących danych w MC pracuje.
Czy to dobry pomysł?
Redakcja Niebezpiecznika stoi na stanowisku, że niezależnie od powodu i tego jak ktokolwiek się przedstawi w rozmowie telefonicznej, nigdy nie powinniście przekazywać mu żadnych danych. Ani adresu, ani PESEL-u, ani tym bardziej nie zgadzać się na prowadzenie wideorozmowy i pokazywanie dokumentów do kamerki.
Pamiętajcie, że jeśli ktoś Was nagra lub zrobi zdjęcie jak machacie dowodem do kamery, to może to potem wykorzystać, wraz z innymi Waszymi danymi, do zaciągnięcia pożyczki na Wasze konto albo otwarcia rachunku bankowego, aby zrobić z Was słupa.
Mamy jednak obecnie w taką sytuację, że być może niektórzy dla własnej wygody zdecydują się na kompromisy. Jeśli zrobią to świadomie — ich prawo i ich ryzyko. Do przetwarzania danych z dowodów są w Polsce uprawnione pewne firmy i instytucje na mocy odpowiednich ustaw. MC jest jedną z nich i w przeciwieństwie do wielu innych dostęp do wyglądu Waszych dokumentów ma.
Proces (komunikacji) weryfikacji do poprawy?
Coś jednak w tym procesie Ministerstwa Cyfryzacji chyba nie zagrało, skoro kiedy ruszyła “weryfikacja nową metodą”, ludzie — słusznie — są zaniepokojeni i zgłaszają ten incydent jako próbę wyłudzenia danych.
Nie wiemy, być może Ministerstwo niezbyt mocno komunikuje obywatelom, jak taka weryfikacja profilu będzie przebiegać. Być może urzędnicy niezbyt jasno tłumaczą o co chodzi. A być może, rozmowy weryfikacyjne są odbywane z dużym opóźnieniem w stosunku do czasu złożenia przez kogoś wniosku (tak, że osoba zapomina, że o coś takiego wnioskowała). Coś tu jednak chyba trzeba lekko skorygować w tym procesie weryfikacji, skoro budzi wśród osób lęk.
Jedna z osób, którą po wyjaśnieniach MC uspokoiliśmy, że dzwonił do niej prawdziwy urzędnik, a nie oszust, odparła, że:
“o taki profil to jeśli wnioskowałem, to mogłem wnioskować bardzo dawno temu, jedyne co mi przychodzi do głowy, to że robiłem to przed wyborami. W ostatnich tygodniach nie przypominam sobie składania takiego wniosku“
Co ciekawe, w ministerialnej instrukcji stoi, że do rozpoczęcia rozmowy z urzędnikiem potrzebny jest kod, będący numerem wniosku. Nasi rozmówcy również nie przypominają sobie, aby Szmit im taki numer podawał.
Spodziewamy się, że nie tylko jeden urzędnik, którego telefony zaniepokoiły naszych Czytelników, odpowiada za taką weryfikację na Polskę. Być może inni, urzędnicy rozmowę prowadzą inaczej lub kontakt nawiązują z osobami proszącymi o profil zaufany w jakiś inny sposób, bardziej zapadający im w pamięć i dlatego rozmowy nie budzą obaw, a my nie mamy zgłoszeń.
Dlatego dajcie znać, jeśli przeszliście taką weryfikację i napiszcie jak ona wyglądała. Oraz z jakiego miejsca (strony, aplikacji) trafiliście na formularz składania wniosku o tymczasowy profil zaufany. Dajcie też znać, jeśli ostatnio ktoś do Was dzwonił, poprosił o pokazanie dowodu do kamery, a Wy tego nie zrobiliście i do teraz uważaliście, że dzwonił do Was oszust.