Dane wyborców w niezaszyfrowanych plikach TXT. Poczta Polska wzięła się za organizowanie wyborów

24 kwietnia 202024 kwietnia 2020 Marcin Kaczmarek dane osobowe, ewybory, PESEL, phishing, Poczta Polska, prywatność, wybory, wybory 2020, wybory korespondencyjne, wybory prezydenckie

Dane wyborców, w tym numery PESEL, chce otrzymać od samorządów Poczta Polska. E-mail w tej sprawie został wysłany o 2:36 w nocy, bez podpisu, za to z instrukcją, żeby szczegółowe informacje o obywatelach zostały udostępnione w pliku TXT lub CSV.

Dane wyborców mogą w najbliższym czasie stać się gorącym towarem. I nie mówimy tylko o presji, jaki z każdym dniem będzie odczuwać Poczta Polska, wyznaczona do przeprowadzenia w 2020 roku korespondencyjnych wyborów prezydenckich.

Informacje o wszystkich dorosłych Polaka mogą bowiem trafić w ręce hakerów i przestępców. Szczegółowy spis danych ma być bowiem udostępniony jako zwykły plik TXT lub CSV, do którego Poczta Polska ma dwa zastrzeżenia: kodowanie znaków ma odbywać się w systemie UTF-8, a spakowane archiwum nie może być zabezpieczone hasłem.

Dane, w tym #PESEL na potrzeby #Wybory2020 mają być przekazane do @PocztaPolska w pliku TXT lub CSV spakowanym bez hasła?
Niedobrze, nawet jeśli uwzględnimy, że dane nie muszą być przekazane zwykłym mailem. (choć to niewykluczone) https://t.co/Wws1SW4jyg pic.twitter.com/n4R6a9BdZE
— Niebezpiecznik (@niebezpiecznik) April 23, 2020

Z treści wiadomości (nie rozpatrujemy tu podstaw prawnych umożliwiających jej wysłanie czy otrzymanie żądanych danych), wysłanej anonimowo – podpis głosi tylko „Poczta Polska” nie sposób dowiedzieć się, kto konkretnie stoi za wysłaniem żądania.

Wiele samorządów zaczęło nawet podejrzewać, że mają do czynienia z próbą wyłudzenia danych przez oszustów i postanowiło zgłosić sprawę do prokuratury. Poczta Polska rozwiała wszelkie wątpliwości, przyznając się do wysłania komunikatu i potwierdzając, w jaki sposób chce otrzymać dane osobowe wyborców. Hakerzy mogą już sobie ostrzyć klawiatury: może się okazać, że informacje o wszystkich Polakach dostaną podane na tacy.

Dane wyborców w nieszyfrowanym pliku TXT. Poczta Polska chce wiedzieć, do kogo wysyłać karty do głosowania

Oficjalny komunikat Poczty Polskiej w sprawie żądania danych wyborców brzmi następująco:

Kierowany do samorządów wniosek o przekazanie danych ze spisu wyborców wynika z roli, jaką Poczta Polska ma pełnić w obsłudze głosowania w ramach wyborów prezydenckich. Rola ta polegać będzie na dostarczeniu do wyborców pakietów wyborczych, a następnie przekazania kart wyborczych do obwodowych komisji wyborczych. Poczta Polska dokłada wszelkich starań, aby jak najlepiej wywiązać się z obowiązku obsługi wyborów korespondencyjnych. Jednocześnie przypominamy, że zgodnie z ww. ustawą Poczta Polska uprawniona jest do przetwarzania danych obywateli wyłącznie w celu, w jakim otrzymała te dane, a więc organizacji wyborów prezydenckich. Zapewniamy, że Poczta Polska przykłada najwyższą wagę do ochrony danych osobowych.

Wiele wskazuje na to, że cyberprzestępcy wywęszyli już okazję i zaczęli przygotowania do prób wyłudzania danych: tego samego dnia, w którym został wysłany mail, zarejestrowano domenę „poczta-poIska.pl. Niewykluczone, że phishing już się rozpoczął.