Wadowice zhackowane, dane mieszkańców mogły zostać wykradzione

W niedzielę doszło do poważnego incydentu w infrastrukturze IT, która hostowała bazy danych Urzędu Miejskiego w Wadowicach. Zaszyfrowano dane, a więc mamy do czynienia z atakiem ransomware. Jak otwarcie przyznają przedstawiciele Urzędu Miasta — “istnieje wysokie ryzyko że przynajmniej część z danych dotyczących mieszkańców gminy Wadowice została wykradziona i może zostać ujawniona w internecie”. Co grozi mieszkańcom papieskiego miasta?

Wyciek danych mieszkańców Wadowic
Celem ataków ransomware jest wyłudzenie okupu lub sabotaż (to w przypadku grup, które nie planują odszyfrowania danych nawet po uzyskaniu okupu). Ponieważ nie ujawniono jaka grupa stoi za atakiem, ciężko nam wiarygodnie wskazać scenariusz z którym mamy do czynienia. Faktem natomiast jest to, że większość grup ransomware nie tylko szyfruje, ale też kradnie dane po to, aby w przypadku braku otrzymania pieniędzy, opublikować je w Darknecie. Wtedy na dane rzucić mogą się wszyscy zainteresowani, od cyberprzestępców, którzy wykorzystają je do przeprowadzania ataków kradzieży tożsamości lub ulepszenia swoich socjotechnik, przez wszelkiej maści badaczy, detektywów i osintowców, aż do każdego wścibskiego sąsiada. Dlatego utrzymujący istotne systemy powinni wiedzieć jak na takie ataki się przygotować i jak na nie poprawnie reagować. Dla mieszkańców natomiast rozsądnym będzie więc założyć najczarniejszy scenariusz:
Jeśli jesteś mieszkańcem Wadowic, załóż że wszystkie dane jakie miał na Twój temat Urząd Miejski zostaną ujawnione. Zapewne będą to dane osobowe, a być może także szczegóły nieruchomości, wysokości podatków, treści wszelkich urzędowych pism i wniosków.
Jestem z Wadowic, co teraz robić, jak żyć?
Mieszkańcom Wadowic [...]

#PESEL #Ransomware #Wadowice #Wyciek #WyciekDanych #Wycieki

https://niebezpiecznik.pl/post/wadowice-zhackowane-dane-mieszkancow-mogly-zostac-wykradzione/

Koniec z wizytami w sądzie? mObywatel zyska potężną funkcję, która ułatwi życie milionom Polaków.

Rząd pracuje nad nowelizacją prawa, która znacząco rozszerzy możliwości aplikacji mObywatel.

Zgodnie z projektem ustawy, który trafił do wykazu prac legislacyjnych, obywatele zyskają bezpłatny dostęp do danych z Krajowego Rejestru Sądowego (KRS) oraz, co najważniejsze, będą mogli wyszukać numery ksiąg wieczystych powiązanych z ich numerem PESEL.

Najważniejszą z planowanych zmian jest integracja aplikacji z Centralną Informacją Ksiąg Wieczystych (CIKW). Użytkownicy mObywatela będą mogli nie tylko odnaleźć numer księgi wieczystej na podstawie swojego numeru PESEL, ale również samodzielnie i bezpłatnie pobierać z systemu elektroniczne odpisy, wyciągi oraz zaświadczenia o zamknięciu ksiąg. Co kluczowe, te cyfrowe dokumenty będą miały taką samą moc prawną, jak te wydawane przez sąd.

Druga istotna nowość to dostęp do danych z Krajowego Rejestru Sądowego. Funkcja ta pozwoli w łatwy sposób uzyskać informacje o podmiotach (np. spółkach, fundacjach, stowarzyszeniach), z którymi użytkownik aplikacji jest powiązany poprzez swój numer PESEL – na przykład jako członek zarządu czy wspólnik. Ułatwi to weryfikację statusu prawnego i danych rejestrowych bez konieczności logowania się do systemów KRS.

Wdrożenie tak istotnych zmian wymaga czasu. Zgodnie z harmonogramem prac, rząd planuje przyjąć projekt ustawy w trzecim kwartale 2025 roku. Nowe przepisy i związane z nimi funkcje w aplikacji mObywatel miałyby wejść w życie z dniem 31 marca 2026 roku.

Prezydent podpisał nowelizację ustawy o mObywatel. Aplikacja zyska asystenta AI i nowe funkcje

#aplikacja #cyfryzacja #eAdministracja #KRS #księgiWieczyste #mObywatel #news #PESEL #Polska #prawo #rząd

Można było pozyskać dane dowolnego klienta InterRisk. Wystarczyło znać jego PESEL.

PESEL nigdy nie powinien służyć jako sekret w procesie uwierzytelniania. Piszemy o tym od lat. Niestety, niektóre firmy wciąż bazują na błędnym przekonaniu, że PESEL danej osoby jest znany tylko jej. A prawdziwy smutek ogarnia nas, jeśli takie założenie czyni firma ubezpieczeniowa, która przetwarza przecież dość istotne dane na temat ludzi…
Kilka dni temu pewien Czytelnik będący klientem InterRisk zgłosił nam niepokojący problem z formularzem odzyskiwania hasła w serwisie internetowym InterRisk o nazwie iKlient. Tak wyglądała strona do odzyskiwania hasła, którą Czytelnik zobaczył:
Strona odzyskiwania hasła w klient.interrisk.pl
Jak widać, odzyskanie hasła wymaga podania loginu i telefonu, ale…

Rolę loginu może pełnić PESEL.
Można podać dowolny numer telefonu, a zresetowane hasło przyjdzie na ten właśnie numer.

Widzicie już problem? Znając PESEL klienta InterRisk i podając jakikolwiek numer telefonu do którego mamy dostęp otrzymywaliśmy nowe hasło. Przychodziło SMS-em na podany przez nas numer, niezależnie od tego, czy był on wcześniej używany przez danego klienta. Dzięki temu można było się zalogować na konto dowolnego klienta InterRisk.

i zobaczyć taki panel, dający wgląd w wykupione usługi i różne zakresy danych (w zależności od typu ubezpieczenia):

Łatwo można ustalić dane klientów InterRisk (i nie tylko tej firmy)
Dodajmy, że jeśli ktoś chciałby zdobyć numery PESEL klientów konkretnej firmy ubezpieczeniowej (np. InterRisk, ale nie tylko) może spróbować użyć w tym celu choćby powszechnych wyszukiwarek. W trakcie pisania tego tekstu znaleźliśmy w internecie trochę polis takich jak ta poniżej. Została ona opublikowana w pewnym miejscu najprawdopodobniej wskutek [...]

#DaneOsobowe #Interrisk #PESEL #Ubezpieczenia

https://niebezpiecznik.pl/post/mozna-bylo-pozyskac-dane-dowolnego-klienta-interrisk-wystarczylo-znac-jego-pesel/

Ransomware w Starostwie Powiatowym w Piszu. Jakie dane mogły wyciec?

Nie jest dobrze. Dopiero informowaliśmy o ataku na firmę SMYK, a już mamy kolejne informacje o złośliwym oprogramowaniu atakującym polskie instytucje i firmy. Starostwo Powiatowe w Piszu poinformowało 18.03.2025 r., że ich wewnętrzne systemy oraz Powiatowego Zespołu Ekonomiczno-Administracyjnego Szkół i Placówek w Piszu ,,zostały poddane’’ atakowi hakerskiemu. TL;DR: ,,Potwierdzamy, że...

#WBiegu #Pesel #Ransomware #Staorstwo #Wyciek

https://sekurak.pl/ransomware-w-starostwie-powiatowym-w-piszu-jakie-dane-mogly-wyciec/

Firma od drzwi wymaga ode mnie podania numeru #PESEL do złożenia zamówienia. Czy ktoś wie na jakiej podstawie i w ogóle skąd taki pomysł?
@icd może Wy coś podpowiecie?

#RODO