PESEL-e ponad 100 przedszkolaków były publicznie dostępne

2 czerwca br. udało się nam ustalić, że w Biuletynie Informacji Publicznej Przedszkola Publicznego nr 8 w Łomży (prowadzonego w oparciu o infrastrukturę informatyczną zewnętrznego podmiotu) znajdują się dwa skoroszyty Excela z danymi osobowymi.

Nasza analiza wykazała, że w plikach zawarto następujące dane osobowe 129 dzieci, które brały udział w rekrutacji do przedszkola. W dokumencie znajdowały się poniższe kategorie danych:

• imię;
• nazwisko;
• numer PESEL.

Zgłoszenie incydentu

Tego samego dnia skontaktowaliśmy się z Urzędem Miejskim w Łomży oraz firmą odpowiedzialną za infrastrukturę informatyczną BIP-u. Warto przy tym podkreślić, że plik został zamieszczony w BIP-ie dla placówek publicznych (bip-lomza.pl), prowadzonym przez zewnętrzny podmiot, a nie w biuletynie miejskiego urzędu (lomza.bip.net.pl).

„Podana strona internetowa Biuletynu Informacji Publicznej nie jest obsługiwana przez Urząd Miejski w Łomży. Proszę w tej sprawie o kontakt bezpośrednio z placówką, której ona dotyczy. Jednocześnie informuję, że organ prowadzący wystąpił do dyrekcji przedszkola o pilną reakcję i wyjaśnienia” – przekazała nam kolejnego dnia Kancelaria Prezydenta Miasta Łomży.

Kilka godzin później otrzymaliśmy poniższą odpowiedź od firmy Park Przemysłowy Łomża Sp. z o.o.:

Nie jesteśmy adresatem poniższego e-maila. Podmiot korzysta z naszego skryptu do obsługi biuletynów informacji publicznej w domenie bip-lomza.pl, nie odpowiadamy za zamieszczone tam treści
Park Przemysłowy Łomża

„Za stworzenie, utrzymanie i aktualizację treści zawartych na stronach podmiotowych BIP odpowiadają podmioty udostępniające informację publiczną” – stwierdzono na portalu gov.pl.

W takiej sytuacji skontaktowaliśmy się z przedszkolem. Kolejnego dnia opublikowano zawiadomienie dot. naruszenia ochrony danych osobowych.

Problem w tym, że niestety plik nadal był możliwy do pobrania z poziomu adresu URL. Po ponownym kontakcie z placówką oświatową arkusz został usunięty z zasobów serwera obsługującego BIP.

Działania po incydencie

Warto podkreślić, że Publiczne Przedszkole nr 8 w Łomży bardzo szybko opublikowało przejrzysty komunikat o zdarzeniu. Dowiedzieliśmy się z niego, że:

• przesłano wniosek do Google o usunięcie wyników wyszukiwania;
• zgłoszono zdarzenie do Prezesa Urzędu Ochrony Danych Osobowych;
•  informowane są osoby, których dotyczy naruszenie.

Ustalono również dodatkowe procedury (mające zapobiegać takim incydentom) oraz przewidziano audyt procesu ochrony danych w placówce.

"Google hacking"

Plik opisywany w artykule nie jest już widoczny z poziomu sieci. Z racji na to, że w przyszłości zapytanie może zwrócić pliki zawierające dane osobowe, nie podajemy go w artykule

„Google dorking” lub „Google hacking” polega na dodawaniu określonych parametrów podczas korzystania z wyszukiwarki. Umożliwia to znajdowanie stron bądź plików o danych parametrach.

Przykładowo – jeżeli chcemy znaleźć wszystkie treści opublikowane w tym roku na naszym portalu, gdzie pada słowo ransomware, można użyć poniższego polecenia:

site: cyberdefence24.pl „ransomware” after:2025-12-31

Realne przykłady

W przeszłości wielokrotnie byliśmy świadkami omyłkowej publikacji danych osobowych w sieci. Wystarczy wspomnieć o nieumyślnym upublicznieniu danych osobowych w ramach poniższych środowisk:

• 40 Biuletynach Informacji Publicznej;
• poznańskiej uczelni;
• rządowym portalu;
• platformy przetargowej (zarówno w Gdańsku i Wiszni Małej;
• strony Krajowego Biura Wyborczego;
• Portalu Rejestru Sądowych;
• platformy Microsoft Teams;
• strony Wojewódzkiego Związku Piłki Siatkowej;
• platformy Docer.

Jak się chronić?

W przypadku instytucji publicznych widoczny jest pewien dualizm obowiązków – zarówno publikowania określonych informacji oraz ochrony danych osobowych (co niejednokrotnie wymaga anonimizacji). W tej sytuacji warto podkreślić konieczność każdorazowej weryfikacji pliku przed publikacją – szczególnie w przypadku skoroszytów Excela, gdzie arkusze inne niż domyślne mogą zawierać dane osobowe. Doskonale pokazuje to przypadek omyłkowego upublicznienia informacji o wszystkich funkcjonariuszach Irlandii Północnej sprzed kilku lat.

Niezależnie od tego, czy nasze dane uległy naruszeniu ochrony, polecamy poniższy zestaw wskazówek:

• zastrzeżenie numeru PESEL;
•  stosowanie dwuetapowego uwierzytelniania;
•  korzystanie z silnych i unikalnych haseł;
•  ostrożność wobec niezapowiedzianych prób kontaktu – szczególnie, gdy jesteśmy namawiani do podania swoich danych bądź podjęcia niezwłocznego działania (np. przez fałszywego pracownika banku bądź policjanta);
•  zgłaszanie wszelkiej podejrzanej aktywności do CERT Polska.