Dziura w moj.gov.pl - można było podejrzeć dane Polaków z bazy paszportów.

Rządowy serwis moj.gov.pl pozwala każdemu Polakowi na załatwienie swoich urzędowych spraw online. Daje też dostęp do wielu rządowych rejestrów zawierających wrażliwe dane na temat każdego z nas, np. rejestru dowodów osobistych. Niestety, w moj.gov.pl znajdowała się dziura, która pozwalała na podglądanie cudzych danych z rejestru dokumentów paszportowych.
O sprawie poinformował nas jeden z Czytelników, który błąd zauważył. Kiedy wyświetlił dane ze swojego paszportu, zauważył, że URL wyglada tak:
https://moj.gov.pl/nforms/engine/ng/index
?xFormsAppName=MojeDaneWRDP#/application-details/1000000000123
I pewnie wiecie na jaki pomysł wpadł. Tak. Prosta zmiana identyfikatora pozwoliła mu obejrzeć zarówno cudzy wniosek paszportowy jak i sam paszport… Ajajaj!

A zatem możliwy był dostęp do takich informacji na temat innych osób, jak:

PESEL
Zdjęcie
Numer i seria paszportu
Wzór podpisu
Imiona
Nazwisko
Miejsce urodzenia
Darta urodzenia
Płeć
Adres do korespondencji

Wedle gov.pl, niektóre konta mogły także posiadać informacje na temat “dzieci wpisanych do paszportu rodzica – jeśli takie wpisy były w paszporcie (od 8 kwietnia 1991 roku do 27 sierpnia 2006 roku dzieciom nie wydawano paszportów – dane dziecka wpisywano do paszportu rodzica).”
Żeby było zabawniej, zwracane przez rządowy system dane zawierają poniższy, niezbyt fortunny nagłówek:

Chcesz sprawdzić, czy Twoja aplikacja webowa jest podatna na ataki? Zamów testy penetracyjne lub wyślij do nas swoich programistów, aby sami mogli testować pod kątem bezpieczeństwa tworzone przez siebie aplikacje. Polecamy wysłać ich na szkolenie “Atakowanie i Ochrona Webaplikacji“, dzięki niemu nauczą się jak szybko i skutecznie wykrywać [...]

#DaneOsobowe #MinisterstwoCyfryzacji #Paszporty #Wyciek #WyciekDanych
https://niebezpiecznik.pl/post/dziura-w-rzadowym-systemie-mozna-bylo-podejrzec-cudze-paszporty-i-nie-tylko/

RT @EurowPolsce: .@AndrzejHalicki w @wirtualnapolska #tłit o słynnej wypowiedzi minister #Moskwa (PIS), by odebrać #paszporty europosłom opozycji, bo "szkodzą Polsce"
- PIS ma tych szkodników u siebie, choćby Morawiecki i inni, robiący "sweet focie" ze zwolennikami Putina‼️

🐦🔗: https://n.respublicae.eu/AndrzejHalicki/status/1640608051123159041