Dane klientów krakowskiego urzędu były dostępne do wglądu

„(…) 14 maja 2026 r. otrzymano od podmiotu trzeciego zawiadomienie o potencjalnym naruszeniu zasad ochrony danych osobowych. Podmiot nieupoważniony uzyskał możliwość zapoznania się z danymi osobowymi mającymi związek z realizowaniem niektórych szkoleń dla klientów Urzędu – osób bezrobotnych, poszukujących pracy i organizatorów szkoleń. Podmiot ten zobowiązał się do usunięcia wszelkich uzyskanych danych, tak aby ich użycie w przyszłości nie było możliwe” – czytamy w komunikacie Grodzkiego Urzędu Pracy w Krakowie z 15 maja br.

Dlaczego to ważne?

Incydent w krakowskim urzędzie pracy jest o tyle wyjątkowy, że zgłoszenie widoczności danych pochodzi od podmiotu trzeciego. Oznacza to, że osoba (bądź grupa osób) uzyskała dostęp do informacji bez uprzedniego upoważnienia, a następnie poinformowała GUP w Krakowie o swoim znalezisku. Zawiadomienie wskazuje na to, że prawdopodobnie jesteśmy świadkami etycznego działania ku ochronie danych osobowych.

W komunikacie nie wskazano, jak osoby trzecie uzyskały wgląd w dane osób związanych ze szkoleniami dla osób bezrobotnych – nie wiadomo, czy pliki były np. dostępne z poziomu sieci lub jakkolwiek zabezpieczone przed nieuprawnionym dostępem. Artykuł 267 Kodeksu Karnego stwierdza, że przełamanie lub ominięcie informatycznego zabezpieczenia podlega karze grzywny, ograniczenia lub pozbawienia wolności do lat 2.

Jednocześnie art. 269c KK wyłącza karalność czynu, gdy osoba działała „wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia”, niezwłocznie poinformowała administratora systemu oraz jej działanie nie naruszyło interesu publicznego i nie wyrządziło szkody. Pomimo wspomnianego kontratypu, pamiętajmy, że wszelkie próby wykorzystywania luk w zabezpieczeniach powinny opierać się o formalną zgodę, dzięki czemu będziemy mieli pewność co do legalności naszych działań (w ramach zawartych porozumień).

Dobrym sposobem na „legalne hackowanie” są programy bug bounty.

Nie pierwszy taki incydent

Niedawno opisywaliśmy przykład wykorzystania i etycznego zgłoszenia podatności w systemie Okręgowej Komisji Egzaminacyjnej w Warszawie, służącym do rejestracji na szkolenia dla egzaminatorów egzaminu zawodowego. Wówczas OKE Warszawa potwierdziła, że działanie badacza miało na celu „wyłącznie wykrycie, potwierdzenie oraz odpowiedzialne zgłoszenie podatności bezpieczeństwa, bez zamiaru wyrządzenia szkody, zakłócenia funkcjonowania systemu lub osiągnięcia jakichkolwiek nieuprawnionych korzyści”.

Omawiany wcześniej kontratyp do art. 267 KK wszedł w życie w kwietniu 2017 roku. Kilka lat wcześniej byliśmy świadkami zatrzymania badacza, który uzyskał nieuprawniony dostęp do systemów Urzędu Wojewódzkiego w Kielcach, o czym powiadomił placówkę. Sprawę opisywał Niebezpiecznik w 2013 roku.

Warto również dodać, że podczas zgłaszania widoczności danych osobowych w 40 urzędach wielu IOD-ów szczerze dziękowało za wskazanie niezanonimizowanych dokumentów.

Ataki na urzędy pracy i rekomendacje

W przeszłości byliśmy świadkami wielu poważnych ataków ransomware na urzędy pracy. Dwa z nich skutkowały upublicznieniem wykradzionych danych w tzw. „darknecie”.  Na celowniku cyberprzestępców były PUP-y z Polic, Bartoszyc czy Żor.

Pamiętajmy o zastrzeżeniu numerów PESEL, ostrożności wobec prób kontaktu (szczególnie w przypadku próśb o podanie danych lub niezwłoczne działanie), stosowaniu dwuetapowego uwierzytelniania oraz wykorzystywaniu unikalnych i odpowiednio złożonych haseł.

Wszystkim osobom, które chcą nas anonimowo poinformować o podatnościach lub widoczności danych, polecamy skorzystanie z dedykowanego formularza w zakładce „Kontakt” (u dołu strony).