Dane Polaków na wyciągnięcie ręki. Wraca problem Docera

Dbanie o cyberbezpieczeństwo jest obecnie jednym z głównych wyzwań naszej codzienności. Wiele kampanii edukacyjnych, apeli i próśb instytucji oraz ekspertów do internautów zalecało dużą ostrożność podczas odwiedzania stron internetowych. Kategorycznie odradzane jest wprowadzanie danych na nieznanych witrynach, klikanie niezaufanych linków czy pobieranie podejrzanych plików na dysk komputera.

Problem w tym, że zdarza się też tak, iż nawet gdy nie zrobiliśmy niczego niewłaściwego, nasze dane trafiłają do sieci. I nie musi tu dojść do żadnego ataku hakerskiego. Wystarczy, że wpadkę odnotuje podmiot, któremu powierzyliśmy swoje dane.

Niepozorny portal źródłem wiedzy o Polakach

We wtorek rano Niebezpiecznik poinformował na portalu X (dawny Twitter), że w serwisie Docer pojawiły się dane finansowe klientów kilku banków (mowa m.in. o listach operacji). Najwięcej dokumentów pochodzi z mBanku, jednak zidentyfikowano również informacje z innych instytucji zajmujących się bankowością.

Nie jest to jedyny rodzaj plików, na jakie można natrafić na tym Docerze, jak również nie jest to pierwszy raz, gdy o serwisie jest głośno. Mimo, że w założeniu ma służyć do darmowego udostępniania dokumentów, nauki czy innych publikacji, to w rzeczywistości od blisko dekady jest dosłowną „kopalnią” wrażliwych informacji o Polakach. Sytuację znacznie pogorszyła pandemia i dwuletni okres pracy oraz nauki zdalnej.

PESEL-e publicznie dostępne

Na portalu można wyszukać pliki zawierające chociażby dane uczniów polskich szkół. W jednym z nich, oprócz adresów zamieszkania, znajdują się także numery telefonów oraz PESEL. W innym zaś „kolekcja” zawiera także rok urodzenia; kolejny pozwala nawet na identyfikację opiekunów prawnych.

Przykłady można mnożyć. Konkursy, wycieczki, dane logowania do systemów edukacyjnych – przypadki dotyczą różnych placówek z różnych regionów Polski. Sytuację pogarsza fakt, że wyszukiwarka Google indeksuje zdecydowaną większość pozycji znajdujących się na Docerze, co „pomaga” w zdobywaniu danych osobowych.

Problem jest na tyle istotny, że gros „szkolnych” plików został dodany na serwis po wejściu w życie przepisów RODO, tj. po 2018 roku. Sam serwis twierdzi na podstronie uploadu plików, że wszystkie są „ściśle monitorowane”, a przed upublicznieniem mają być „weryfikowane przez moderatora”.

Logowanie mailem, a nie kontem Google

Dla chcącego nic trudnego, zwłaszcza jeżeli nie ma dobrych zamiarów. W kilka sekund można znaleźć dokumenty związane np. z audytami, pożyczkami czy spłatą długów. Dostępne są również protokoły sądowe z danymi osobowymi czy nawet harmonogramy zajęć związanych z zawodami kolejowymi. Albo wewnętrzne numery do dyżurnych ruchu.

Co zrobić, jeżeli na Docerze znajduje się plik zawierający nasze dane? Serwis umożliwia zgłoszenie treści za pośrednictwem formularza kontaktowego, istotne jest jednak załączenie linku do dokumentu, który nie powinien być publicznie dostępny. 

Odradzane jest również logowanie się do takich serwisów za pośrednictwem kont Google. Docer żąda bowiem od użytkownika zezwolenia na przeglądanie i pobieranie plików, które znajdują się na Dysku. Powinno to być wystarczającym ostrzeżeniem przed używaniem prywatnego profilu z istotnymi plikami do logowania się na nim.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].