Minister Cyfryzacji chce dodać …streaming meczy do mObywatela. Dlaczego to zły pomysł?

Janusz Cieszyński zapowiedział, że:
chcemy, aby dostęp do wszystkich meczów naszej kadry był zawsze w Waszych telefonach. (…) chcemy wzbogacić mObywatela o kolejną funkcję, którą roboczo nazwaliśmy mTV. Zagwarantuje ona dostęp nie tylko do wydarzeń sportowych, ale także do cyfrowych dóbr polskiej kultury. Wyprodukowane za publiczne pieniądze utwory będą musiały docelowo być udostępniane także w tej formule.
Wczoraj dowcipnie skomentowaliśmy ten pomysł tak:

W mObywatelu powinien być jeszcze przepis na bigos. Bo to bardzo polskie danie. No i może jeszcze na pierogi. Nie może też w tej apce zabraknąć treści lektur i zapisu nutowego kultowych etiud Szopena. Na lato wynajem parawanów też by się przydało dodać. Bardzo przydatne. I bardzo… https://t.co/bZ32LXOMvW
— Niebezpiecznik (@niebezpiecznik) September 11, 2023

Ale żarty na bok, bo niewiele osób spoza branży zdaje sobie sprawę dlaczego tak naprawdę dodawanie do mObywatela funkcji typu “streaming meczy” to zły pomysł. Dlatego teraz argumenty bardziej poważne:

mObywatel ma w zamyśle pełnić funkcję “cyfrowej tożsamości” Polaków. Aplikacja już teraz umożliwia dostęp do bardzo wrażliwych danych osobowych i medycznych a dodatkowo pozwala na autoryzowanie kluczowych dla obywateli operacji w urzędach. Dlatego zapewnienie najwyższego poziomu bezpieczeństwa infrastrukturze mObywatela jest niesamowicie ważną kwestią. Najważniejszą. A bezpieczeństwu aplikacji nie służy dodawanie do niej nowego kodu, a zwłaszcza takiego, który wprowadza funkcje niekrytyczne, rozrywkowe i w ogóle niezwiązane z zarządzaniem cyfrową tożsamością.
 
Krytyczne aplikacje powinny kierować [...]

#Cyfryzacja #JanuszCieszyński #MinisterstwoCyfryzacji #MObywatel #MTV #Polityka #Wybory

https://niebezpiecznik.pl/post/minister-cyfryzacji-chce-dodac-streaming-meczy-do-mobywatela-dlaczego-to-zly-pomysl/

Przyczyny problemów z aplikacją mObywatel 2.0

Od dziś dostępna jest nowa wersja aplikacji mObywatel. Najważniejsza i trzeba przyznać, że dość przełomowa zmiana to wprowadzenie tzw. mDowodu, którym już niebawem będzie można się posługiwać na terenie Polski. Niestety, rollout nowej wersji mObywatela nie obywa się bez problemów. Słyszymy dużo narzekań na stabilność pracy aplikacji. Dlatego jeśli na weekend ruszyliście tylko ze smartfonem, bez plastykowego prawa jazdy, dowodu lub papierowego dowodu rejestracyjnego i polegacie na elektronicznych wersjach tych dokumentów w mObwyatelu, to chwilowo odradzamy aktualizowanie mObywatela do nowej wersji. Lepiej jeszcze trochę poczekajcie.
Poniżej przegląd błędów i problemów, jakie raportują nam Czytelnicy na Twitterze (w tym wątku):
mObywatel 2.0 nie daje sie zwyczjanie zaktualizować z poziomu AppStoru [nowa wersja wgrywa się, ale jej uruchomienie wyświetla błąd i nie pozwala obejść komunikatu błędu — dop. redakcji].

Okazuje się, że dopiero ręczne odinstalowanie i zainstalowanie aplikacji pozwala skorzystać z nowej wersji. Ale też nie bez problemów. Oto błąd, który zgłosiło nam kilkadziesiąt osób i którym nowa wersja mObywatela wita część użytkowników:
Po instalacji [nowej wersji] musimy tworzyc swoj profil od zera. Niestety proba jakiegokolwiek pobrania dokumentu (np. dowodu tożsamości) konczy sie bledem serwera i porpozycja ponowienia proby. Wykonalem test (okolo 10-15 razy) na 3 urzadzeniach ios (iphone 14 pro, ipad 2, iphone 11 pro – ten sam rezultat.
O ile w ogóle, cokolwiek w aplikacji się pojawi, bo inna grupa Czytelników widzi taki komunikat błędu:

A niektórym apka po prostu crashuje:
q
Podkreślmy jednak, że są tacy, którym aplikacja zaktualizowała się bez problemów i [...]

#Android #AplikacjeMobilne #COI #DowódOsobisty #IOS #IPhone #MDowod #MinisterstwoCyfryzacji #Mobile #MObywatel #PESEL
https://niebezpiecznik.pl/post/uzytkownikow-problemy-z-aplikacja-mobywatel-2-0/

Dziura w moj.gov.pl - można było podejrzeć dane Polaków z bazy paszportów.

Rządowy serwis moj.gov.pl pozwala każdemu Polakowi na załatwienie swoich urzędowych spraw online. Daje też dostęp do wielu rządowych rejestrów zawierających wrażliwe dane na temat każdego z nas, np. rejestru dowodów osobistych. Niestety, w moj.gov.pl znajdowała się dziura, która pozwalała na podglądanie cudzych danych z rejestru dokumentów paszportowych.
O sprawie poinformował nas jeden z Czytelników, który błąd zauważył. Kiedy wyświetlił dane ze swojego paszportu, zauważył, że URL wyglada tak:
https://moj.gov.pl/nforms/engine/ng/index
?xFormsAppName=MojeDaneWRDP#/application-details/1000000000123
I pewnie wiecie na jaki pomysł wpadł. Tak. Prosta zmiana identyfikatora pozwoliła mu obejrzeć zarówno cudzy wniosek paszportowy jak i sam paszport… Ajajaj!

A zatem możliwy był dostęp do takich informacji na temat innych osób, jak:

PESEL
Zdjęcie
Numer i seria paszportu
Wzór podpisu
Imiona
Nazwisko
Miejsce urodzenia
Darta urodzenia
Płeć
Adres do korespondencji

Wedle gov.pl, niektóre konta mogły także posiadać informacje na temat “dzieci wpisanych do paszportu rodzica – jeśli takie wpisy były w paszporcie (od 8 kwietnia 1991 roku do 27 sierpnia 2006 roku dzieciom nie wydawano paszportów – dane dziecka wpisywano do paszportu rodzica).”
Żeby było zabawniej, zwracane przez rządowy system dane zawierają poniższy, niezbyt fortunny nagłówek:

Chcesz sprawdzić, czy Twoja aplikacja webowa jest podatna na ataki? Zamów testy penetracyjne lub wyślij do nas swoich programistów, aby sami mogli testować pod kątem bezpieczeństwa tworzone przez siebie aplikacje. Polecamy wysłać ich na szkolenie “Atakowanie i Ochrona Webaplikacji“, dzięki niemu nauczą się jak szybko i skutecznie wykrywać [...]

#DaneOsobowe #MinisterstwoCyfryzacji #Paszporty #Wyciek #WyciekDanych
https://niebezpiecznik.pl/post/dziura-w-rzadowym-systemie-mozna-bylo-podejrzec-cudze-paszporty-i-nie-tylko/