Dziura w systemie. Mogliśmy sprawdzić, którzy politycy nie zaszczepili się na COVID-19
Przez lukę w systemie na rządowej stronie rejestracji wizyt można było sprawdzić, kto zaszczepił się na COVID-19. W ten sposób sprawdziliśmy, że niezaszczepionych jest co najmniej kilkudziesięciu polskich posłów, senatorów oraz europosłów. Kolejne trzy niezaszczepione osoby są członkami polskiego rządu. Ministerstwo Zdrowia załatało dziurę po zgłoszeniu Wirtualnej Polski.
Dziś na szczepienie przeciwko COVID-19 można zapisać się na cztery sposoby. Można wysłać SMS na numer 664 908 556 lub 880 333 333 o treści: SzczepimySie. Można skontaktować się osobiście z wybranym punktem szczepień. Można zadzwonić na całodobową i bezpłatną infolinię - 989. Albo można zarejestrować się elektronicznie poprzez e-rejestrację dostępną na stronie pacjent.gov.pl.
W tym miejscu można było zarejestrować się na dwa sposoby - pełna rejestracja przez Profil Zaufany albo szybka rejestracja bez Profilu Zaufanego. I to właśnie w tym miejscu znaleźliśmy lukę, która pozwalała uzyskać dostęp do wrażliwych danych milionów Polaków.
Jak do tego doszło?
System stworzony przez polski rząd umożliwiał zalogowanie się każdej osobie, która podała nazwisko i powiązany z nią numer PESEL. Sęk w tym, że ten numer można znaleźć choćby w każdej bazie zawierającej dane z Krajowego Rejestru Sądowego. Zabezpieczeniem stworzonym przez rządowych informatyków miał być kod przesyłany SMS-em. Ale w formularzu na rządowej stronie można było wpisać dowolny numer telefonu. A po wpisaniu przesłanego kodu odbywało się logowanie do systemu.
W jaki sposób można było sprawdzić, czy dana osoba jest zaszczepiona lub nie? Otóż w przypadku osób, które nadal nie przyjęły żadnej dawki szczepionki przeciw COVID-19, system przenosił nas od razu na stronę, gdzie można było umówić się na szczepienie. Zaraz po zalogowaniu pojawiała się propozycja 10 lokalizacji z konkretną datą i godziną podania oraz nazwą szczepionki.
I tu mieliśmy do czynienia z kolejną luką bezpieczeństwa w systemie rządowego programu szczepień. Bo strona podpowiadała nam punkty zlokalizowane najbliżej naszego miejsca zameldowania.
W przypadku osób zamieszkujących w Warszawie lub innych wielkich miastach, na podstawie danych z systemu nie dało się ustalić szczegółowego miejsca zamieszkania danej osoby. Ale jeśli chodzi o zameldowanych w małych miasteczkach i wsiach, dane pozyskane z rządowego systemu pozwalały w niektórych przypadkach odkryć miejsce zamieszkania konkretnej osoby.
W ten sposób byliśmy m.in. w stanie z dużą dokładnością wskazać miejsce, gdzie mieszka jedna z europosłanek.
Co ciekawe - w przypadku osób, które chciały się zapisać na dawkę przypominającą, system umożliwiał tylko zalogowanie się przez Profil Zaufany. Przez co dodatkowo pozwalał zidentyfikować osoby, które nie przyjęły dotąd żadnej dawki szczepionki. W jaki sposób? Bo osoby, które zaszczepiły się pierwszą, drugą lub trzecią dawką, otrzymywały ten sam komunikat: "Rejestracja nie jest możliwa. Jeżeli rejestrujesz się na szczepienie przeciw COVID-19 dawką przypominającą lub dodatkową skorzystaj z rejestracji z Profilem Zaufanym".
System miał też inne błędy. Po pierwsze, na jedną osobę można było zalogować się z wielu różnych telefonów. Po drugie, z jednego telefonu można było logować się na konta nieskończenie wielu osób.
Żeby sprawdzić, czy rządowy system rzeczywiście udostępnia w opisany powyżej sposób dane o stanie zdrowia i miejscu zamieszkania Polaków, postanowiliśmy zalogować się do niego, wykorzystując dane polskich polityków. Udało nam się przeprowadzić kilkaset skutecznych logowań na rządowej stronie rejestracji wizyt.
Do wszystkich wykorzystaliśmy ten sam numer telefonu. W niektórych przypadkach logowaliśmy się co kilkanaście sekund. W żadnym przypadku system nie odmówił nam dostępu, nie zablokował strony ani możliwości logowania z użyciem tego samego numeru telefonu.
Zagrożenie płynące z luki w rządowym systemie nie budzi też wątpliwości ekspertów. - Obecny sposób działania tego formularza w mojej opinii stanowi zagrożenie dla prywatności niektórych obywateli. Fachowo takie zachowanie formularza nazywamy "wyrocznią", ponieważ umożliwia poznanie odpowiedzi na pytanie czy ktoś się zaszczepił co najmniej jedną dawką, czy nie - stwierdza Piotr Konieczny z serwisu Niebezpiecznik.pl, zajmującego się bezpieczeństwem w internecie.
- Dane wykorzystywane do uwierzytelnienia się przed systemem są zbyt powszechnie dostępne. W przypadku wielu osób ich PESEL jest całkowicie jawny lub można go łatwo zdobyć. Niepokojące jest też to, że system pozwala dla tych samych danych podać wiele różnych numerów telefonów, bo to sprawia, że czyjaś prywatność może być naruszona wielokrotnie przez różne osoby - dodaje Konieczny.
Kto się szczepił, a kto nie?
Oczywiście w żaden sposób nie możemy udostępnić danych, które uzyskaliśmy z rządowego systemu. Są to wrażliwe dane medyczne, zdajemy sobie sprawę z konsekwencji ich ujawnienia. Dlatego zdecydowaliśmy się jedynie w ogólny sposób napisać to, co udało nam się ustalić.
Z rządowej strony rejestracji na szczepienia wynika, że wśród ponad 100 ministrów i wiceministrów w polskim rządzie znajduje się przynajmniej trzech, którzy w bazie figurują jako osoby niezaszczepione. Pracują w różnych ministerstwach, wywodzą się z różnych frakcji Zjednoczonej Prawicy.
Kolejne osoby figurujące w rządowym systemie jako niezaszczepione znajdujemy w Sejmie. Co ciekawe, w sejmowym zespole ds. sanitaryzmu, którego członkowie sprzeciwiają się wprowadzeniu w Polsce paszportów covidowych wydawanych osobom zaszczepionym przeciw COVID-19 i wszelkim przywilejom dla osób zaszczepionych, co trzeci członek zdecydował się jednak na szczepienie.
Podobne proporcje osób zaszczepionych do niezaszczepionych panują również w klubie Konfederacji, której politycy sceptycznie podchodzą do kwestii obostrzeń, szczepień i samego zagrożenia związanego z pandemią koronawirusa.
Najwięcej osób, które według rządowej bazy nie są zaszczepione, znaleźliśmy w partii rządzącej. Są zarówno wśród posłów, senatorów oraz europosłów PiS (w przypadku europosłów istnieje możliwość, że zaszczepili się w Parlamencie Europejskim, stąd brak informacji w krajowym systemie). Co ciekawe, odnaleźliśmy je też w gronie osób należących do władz Prawa i Sprawiedliwości. Ale należy pamiętać, że jest to największa partia w Polsce, która ma najwięcej członków oraz przedstawicieli w parlamencie.
Pojedyncze przypadki niezaszczepionych parlamentarzystów znaleźliśmy wśród polityków opozycji. Zauważyliśmy też pewną prawidłowość - najwięcej niezaszczepionych posłów i senatorów pochodzi z rejonów, gdzie wyniki szczepień w skali kraju są najniższe.
Ostrzegamy rząd
Gdy udało nam się potwierdzić, że luka w systemie bezpieczeństwa rządowego systemu rejestracji na szczepienia rzeczywiście istnieje, a za jej pomocą można uzyskać dostęp do wrażliwych danych medycznych oraz informacji o miejscu zamieszkania Polaków, podjęliśmy decyzję, że przed publikacją tego tekstu skontaktujemy się z przedstawicielami rządu, przekażemy informację i poczekamy z publikacją do załatania luki bezpieczeństwa.
W poniedziałek po południu przekazaliśmy informację o dziurze w rządowym systemie rzecznikowi rządu Piotrowi Muellerowi oraz Januszowi Cieszyńskiemu, pełnomocnikowi rządu do spraw cyberbezpieczeństwa. Równolegle wysłaliśmy pytania do Ministerstwa Zdrowia wraz z opisem luki. O sprawie poinformowaliśmy również Urząd Ochrony Danych Osobowych.
We wtorek Janusz Cieszyński poinformował, że do godz. 16 dziura w systemie bezpieczeństwa zostanie załatana. Dostaliśmy też odpowiedź od Ministerstwa Zdrowia. Wynika z niej, że w resorcie nie zdawali sobie sprawy z zagrożeń płynących z luki w systemie bezpieczeństwa.
"Przedstawiona ścieżka logowania pozwala jedynie na umówienie wizyty na szczepienia w cyklu podstawowym (jeżeli wcześniej było ono nieumówione). Nie daje natomiast możliwości umówienia się na szczepienie dawką uzupełniającą lub przypominającą. Liczba logowań jest ograniczona, tj. na jeden numer telefonu można umówić trzy osoby (trzy różne numery PESEL). Każdy numer telefonu jest zarejestrowany i przypisany do osoby, więc daje możliwość identyfikacji. Dodatkowo potencjalne ryzyko enumerowania numerów PESEL zostało ograniczone przez zastosowanie reCAPTCHA" - przekazała nam Agnieszka Pochrzęst-Motyczyńska z biura prasowego Ministerstwa Zdrowia.
Sęk w tym, że z jednego telefonu można było się logować nieskończenie wiele razy, o ile chciało się tylko sprawdzić dane konkretnej osoby, a nie umówić na szczepienie.
Dalej Pochrzęst-Motyczyńska informowała nas, że "ryzyko związane potencjalnymi naruszeniami zostało przeanalizowane i w świetle zastosowań powyższych działań oceniono, że ryzyko niedostępności Internetowego Konta Pacjenta (w przypadku dużej liczby użytkowników) jest zdecydowanie wyższe. Ocenę ryzyka potwierdził Inspektor Ochrony Danych MZ i pełnomocnik rządu ds. cyberbezpieczeństwa minister Marek Zagórski.
Innymi słowy rząd wiedział, że uproszczony sposób logowania nie chroni we właściwy sposób naszych danych, ale zdecydował się pozostawić taką ścieżkę dostępu do szczepień, żeby zwiększyć ich dostępność.
Dlaczego Ministerstwo Zdrowia wprost wskazało Marka Zagórskiego jako odpowiedzialnego za lukę bezpieczeństwa? Zagórski był ministrem cyfryzacji w rządzie Mateusza Morawieckiego, a później pełnomocnikiem rządu do spraw cyberbezpieczeństwa. Do rządu wszedł z poparciem Jarosława Gowina. Gdy Gowin odszedł z koalicji rządowej, z posadą, a zarazem poparciem Morawieckiego, musiał się pożegnać Zagórski.
Zapytaliśmy następcę Zagórskiego, czyli Janusza Cieszyńskiego, osobę odpowiedzialną za cyberbezpieczeństwo w rządzie, jak ocenia sytuację, w której niepowołane osoby mogły sprawdzać, czy ktoś jest zaszczepiony na COVID-19 i w określonych okolicznościach poznać jej orientacyjne miejsce zamieszkania?
"Przekazaliśmy do Ministerstwa Zdrowia rekomendację zamknięcia uproszczonej metody rejestracji na tym etapie realizacji Narodowego Programu Szczepień. Według mojej wiedzy została ona już wdrożona" - odpisał nam we wtorek wieczorem Cieszyński.
I rzeczywiście. We wtorek o godz. 16 uproszczona ścieżka rejestracji została wyłączona. Osoby nieuprawnione nie mogą już sprawdzić, kto szczepił się na COVID-19.
Szymon Jadczak