Przez błąd w systemie na rządowej stronie rejestracji wizyt można było sprawdzić, kto zaszczepił się na COVID-19. Lukę wykryto na stronie pacjent.gov.pl, na której można się rejestrować na szczepienie przeciwko COVID-19, poprzez zalogowanie się do niej Profilem Zaufanym lub za pomocą adresu e-mail. W ten sposób zostało sprawdzone, że niezaszczepionych jest co najmniej kilkudziesięciu polskich czołowych posłów, senatorów oraz europosłów. Następnymi osobami, które są niezaszczepione to osoby z polskiego rządu. Sprawdzono też posłów Konfederacji.
Jak doszło do wycieku?
System stworzony przez polski rząd umożliwiał zalogowanie się każdej osobie, która podała nazwisko i powiązany z nią numer PESEL.
Jednak w przypadku gdy podaliśmy dane osoby niezaszczepionej (powszechnie dostępne na przykład w KRS) przekierowywani byliśmy od razu do serwisu z opcją umówienia się na szczepienie. Zabezpieczeniem stworzonym przez rządowych informatyków miał być kod przesyłany SMS-em. W formularzu na rządowej stronie można było jednak wpisać dowolny numer telefonu.
W jaki sposób można było sprawdzić, czy dana osoba jest zaszczepiona lub nie? W przypadku osób, które nie przyjęły żadnej dawki szczepionki przeciw COVID-19, system przenosił od razu na stronę, gdzie można było umówić się na szczepienie. Zaraz po zalogowaniu pojawiała się propozycja lokalizacji z konkretną datą i godziną zaaplikowania.
Tutaj mogliśmy zauważyć kolejną luką bezpieczeństwa w systemie rządowego programu szczepień. Strona automatycznie dopasowywała nam punkty zlokalizowane najbliżej naszego miejsca zameldowania.
W przypadku osób zamieszkujących w Krakowie lub innych większych miastach, na podstawie danych z systemu ciężej było ustalić szczegółowego miejsca zamieszkania danej osoby. Jeśli jednak chodzi o zameldowanych w małych miastach i wsiach, dane pozyskane z rządowego systemu pozwalały w niektórych przypadkach odkryć miejsce zamieszkania konkretnej osoby.
W ten sposób można było sprawdzić z dużą dokładnością wskazać miejsce, gdzie mieszka jedna z europosłanek.
W sytuacji osób, które chciały się zapisać na dawkę przypominającą, system umożliwiał tylko zalogowanie się przez Profil Zaufany. Przez co dodatkowo pozwalał zidentyfikować osoby, które nie przyjęły dotąd dawki szczepionki. W jaki można było to zweryfikować? Osoby, które zaszczepiły się pierwszą, drugą lub trzecią dawką, otrzymywały ten sam komunikat: „Rejestracja nie jest możliwa. Jeżeli rejestrujesz się na szczepienie przeciw COVID-19 dawką przypominającą lub dodatkową skorzystaj z rejestracji z Profilem Zaufanym”.
To nie wszystkie błędy systemu. Na jedną osobę była możliwość zalogować się z wielu różnych telefonów. Z jednego telefonu można było logować się na konta nieskończenie wiele kont.
Wykorzystując tę lukę dziennikarzom Wirtualnej Polski udało się zalogować na konta kilkuset polityków, przy użyciu tylko jednego numeru telefonu. WP nie podaje konkretnych osób, bo to dane wrażliwe, jednak zdradza, iż conajmniej kilkudziesięciu posłów, senatorów i europosłów oraz trzech członków rządu nie jest zaszczepionych.
Przez błąd w systemie była możliwość sprawdzić dane miliony polaków.
Wspomóż naszą walkę o wolność poprzez wpłatę dowolnej kwoty na nasz rachunek bankowy: 04 1020 3903 0000 1402 0122 6752
Przypominamy, o naszej akcji bezpłatnych porad prawnych z zakresu problemów z COVID.
Porada prawna indywidualna jest udzielana jeśli temat nie jest przez nas poruszony na BLOGU.
Na zlecenie indywidualne (płatne) klienta nasza Kancelaria przygotuje również wszelkie pisma w zakresie spraw związanych z COVID.
Informujemy ponadto, że Kancelaria świadczy pełen wachlarz usług prawnych z zakresu prawa cywilnego, rodzinnego, spadkowego, upadłościowego, gospodarczego, karnego, pracy, handlowego.
Jeśli potrzebujesz pomocy, napisz do nas na adres @: covid@legaartis.pl lub zadzwoń 579636527, 222668618.
Jeśli uważacie Państwo, że nasza pomoc, jaką od nas otrzymujecie, zasługuje na wparcie pracowników Kancelarii, możecie nas wspomóc poprzez wpłatę dowolnej kwoty na rachunek bankowy Kancelarii LEGA ARTIS:
Anonimowe wsparcie Bitcoin:
bc1qfl2rqa97lknlrfgs9c9qqjp5ftqtkv7wf4q0at
Anonimowe wsparcie Ethereum:
0x45a3c849BCa45A6444A24cdF30708695498a3F6b
Wsparcie paypal:
https://paypal.me/legaartis
Dane do przelewu:
Nr konta: 04 1020 3903 0000 1402 0122 6752
Kancelaria Lega Artis
ul. Przasnyska 6a lok 336a
01-756 Warszawa
Tytuł: “darowizna na działalność”
IBAN: PL04102039030000140201226752
Jesteśmy do Waszej dyspozycji:
Pn. – czw.: 11:00 – 17:00
Piątek: 10:00 – 15:00
Serdecznie dziękujemy wszystkim osobom za dotychczas udzielone nam wsparcie finansowe.
sc:wp/interia