Wyciek danych z bazy Pesel? Nie panikujcie. Przed utratą pieniędzy możecie się ochronić

Wyciek danych z bazy Pesel? Nie panikujcie. Przed utratą pieniędzy możecie się ochronić

AKTUALIZACJA
Dodano: 26/08/2016 - 10:06

Z rządowej bazy wyciekły dane co najmniej 800 tys. Polaków. Winni prawdopodobnie hakerzy. Czy już się trzeba zacząć bać?

Sensacyjną wieść podało wczoraj radio RMF FM. Z informacji przekazanych przez stację wynika, że do wycieku doszło z winy kilku kancelarii komorniczych, które mają prawo wglądu do bazy Pesel a za wszystkim mogą stać cyberprzestępcy. Prokuratorzy już zabezpieczyli komputery i nośniki elektroniczne w kancelariach a Prokuratura Okręgowa z Warszawy wszczęła śledztwo w tej sprawie. Powierzono je Agencji Bezpieczeństwa Wewnętrznego.

Nieco więcej można dowiedzieć się z komunikatu Prokuratury Okręgowej, który opublikowano na jej stronie internetowej. Śledztwo wszczęto z zawiadomienia Ministerstwa Cyfryzacji, które ujawniło, że ustalone kancelarie komornicze pobierały z bazy Pesel od kilkudziesięciu do kilkuset rekordów miesięcznie – jedna z nich ok. 800 tys. Proceder trwał od marca 2015 roku a analiza połączeń z systemem wskazała, iż odbywały się przy pomocy złośliwego oprogramowania bądź skryptów służących do automatycznego generowania zapytań. Z komunikatu prokuratury wynika także, że w sprawę zamieszanych jest pięć kancelarii komorniczych, m.in. z Łodzi i Warszawy.

Przeczytajcie także: Phishing i awaria w BZ WBK jednego dnia

Na razie nie wiadomo, kto stoi za tym wyciekiem i w jakim celu dane zostały pobrane. Łatwo jednak wyobrazić sobie, co można z nimi zrobić. W bazie Pesel znajduje się bowiem, oprócz imienia i nazwiska, serii i numeru dowodu osobistego oraz numeru Pesel także parę innych informacji jak miejsce zamieszkania, czy nazwisko panieńskie matki. Wszystkie te dane wystarczą, aby założyć w banku konto. Zwłaszcza, że dziś można to zrobić zdalnie, bez okazywania dowodu osobistego i wizyty w oddziale. Założone w ten sposób konto może posłużyć np. do zaciągnięcia na czyjeś nazwisko pożyczek lub kredytów.

Nie wiadomo dziś oczywiście, czy skradzione dane do tego posłużyły. Przy tym nie jest to wbrew pozorom takie proste. Niektóre banki umożliwiają zdalne założenie rachunku, ale wymagają potwierdzenia danych przelewem wykonanym z innego konta. Przestępcom nie wystarczą więc do tego same dane – muszą jeszcze wymusić na swoich ofiarach wykonanie przelewu aktywacyjnego, a przy braku np. numeru telefonu czy adresu e-mail do tych osób (a takich danych chyba nie ma w bazie Pesel) nie jest to łatwe. Ponadto od lipca bieżącego roku procedurę zdalnego uruchamiania kont uszczelniono. KIR i ZBP utworzyły bazę rachunków otwartych przy pomocy przelewów aktywacyjnych, z których nie można już uruchamiać następnych kont.

Przeczytajcie także: Tak oszukano system Samsung Pay

Niemniej od marca ubiegłego roku przestępcy mogli proceder prowadzić. Ponadto mając wszystkie dane potrzebne do stworzenia dowodów osobistych można było je sfałszować i udać się z takimi dokumentami do oddziału banku, by założyć niezliczoną ilość rachunków, nie budząc przy tym niczyich podejrzeń. W tym momencie to sytuacja oczywiście czysto teoretyczna, ale możliwa. Czy zatem powinniście już zacząć się bać? Co robić?

Specjalistą od bezpieczeństwa nie jestem, ale nie panikowałbym na razie. Ale jeżeli mimo wszystko chcielibyście się upewnić, czy na Wasze nazwisko ktoś nie założył już rachunku, możecie skorzystać z nowego narzędzia uruchomionego 1 lipca przez KIR. To Centralna informacja o rachunkach. Wystarczy, że udacie się do wybranego banku i złożycie odpowiedni wniosek, a po kilku dniach otrzymacie informację, w których bankach i spółdzielczych kasach oszczędnościowo-kredytowych istnieją założone na Wasze nazwisko rachunki. Tutaj sprawdzicie, ile to kosztuje - np. BZ WBK wnioski przyjmuje za darmo. 

Przeczytajcie także: CERT ostrzega przed kolejnym cyberatakiem

Drugi krok, jaki możecie wykonać, to skorzystać z usługi Biura Informacji Kredytowej. BIK w swoim portfolio ma tzw. alerty kredytowe. Po rejestracji w systemie BIK-u będziecie otrzymywać informację za pośrednictwem e-maila lub SMS-a za każdym razem, gdy w którymś banku czy firmie pożyczkowej ktoś na Wasze nazwisko złoży wniosek o kredyt lub pożyczkę. Jeżeli nie zrobiliście tego sami, oznacza to, że ktoś próbuje Was oszukać. Opłata za usługę alertów BIK to 19 zł rocznie.

AKTUALIZACJA

Przed chwilą w biurze prasowym BIK-u powiedziano mi, że w związku z wyciekiem z bazy Pesel od jutra BIK wprowadza promocję, w ramach której dostęp do alertów przez najbliższy rok będzie bezpłatny.

Wreszcie trzecim najdalej idącym rozwiązaniem jest zastrzeżenie dowodu osobistego w bazie Dokumenty Zastrzeżone, prowadzonej przez ZBP i wyrobienie nowego. Stary dowód nikomu już się nie przyda – żaden bank czy SKOK nie założy na niego rachunku ani nie udzieli kredytu. Nowy dokument będzie miał zupełnie inną serię i numer, co uczyni go zabezpieczonym przez wyciekiem danych z przeszłości. Na razie jednak ten ostatni krok bym odpuścił.

Oczywiście wszystko to napisałem w oparciu o stan wiedzy z dzisiejszego poranka i dotyczy wyłącznie branży finansowej. Możliwe, że dane z bazy Pesel ktoś zamierza wykorzystać w zupełnie inny sposób. Dopóki tego nie wiemy, panika chyba nie jest wskazana.

Newsletter