Wyciekły dane tysięcy osób korzystających z porad prawnych online. Bardzo wrażliwe dane.

Z serwisu Adwokat.com wyciekła korespondencja osób, które starały się uzyskać poradę prawną online. Zawiera ona bardzo wrażliwe informacje na temat wielu spraw ponad 2 tysięcy osób i dotyczy wiadomości z ostatnich 3 lat. Tajemnica adwokacka najwyraźniej nie ochroniła informacji przed błędami programistycznymi i crawlerami Google. A co gorsza, administrator serwisu od 2 miesięcy nie zareagował na nasze e-maile w tej sprawie…

Adwokat.com to serwis oferujący porady prawne online, którzy rzekomo oferuje dostęp do  ponad 1450 prawników z 33 państw. Niestety z jakiegoś powodu na liście tych 33 państw jest tylko jedno.

Na pierwszy rzut oka serwis wygląda na profesjonalny i działający. Dostępna jest rejestracja kancelarii, różne wiadomości z branży, dział “Praca” itd. Jeśli zaczniemy bardziej uparcie klikać po stronie to przekonamy się, że nie wszystko działa (np. ogłoszeń o pracę tak naprawdę nie ma, newsy są przestarzałe).

Porady prawnicze online

Kluczową częścią serwisu jest jednak formularz zamawiania porad online.

Niestety jeśli zamówimy poradę możemy nigdy nie dostać odpowiedzi. A przecież ta prośba, często zawierająca “wrażliwe” szczegóły i tak gdzieś zostanie wysłana. I będzie przechowywana. I może wyciec. A w zasadzie, to część zapytań i danych klientów już wyciekła…

Wyciek korespondencji z Adwokat.com

Niestety, z serwisu Adwokat.com wyciekła korespondencja wraz z danymi osobowymi klientów. Problem dotyczy osób korzystających z serwisu w okresie od listopada 2015 do sierpnia 2018.

Ujawnione informacje obejmują:

• adresy e-mail,
• treści setek pytań kierowanych do prawników, a w nich: nazwiska, adresy, informacje o zatrudnieniu i powiązaniach z innymi osobami, historie rozwodowe, informacje o stanie zdrowia, informacje o toczących się postępowaniach… słowem wszystko co ludzie mogą ujawniać oczekując porady prawnika. Czyli dużo bardzo niewygodnych dla niektórych osób danych.

Informacje były dostępne w ogólnodostępnym pliku HTML, w formie tabeli, w której było 2288 pozycji. Część wiadomości jest jednak zdublowana, a część zawiera rzeczy nieistotne (np. spam, jak widać nawet boty szukają czasem porad prawnych ;).

O sprawie dowiedzieliśmy się w sierpniu i od sierpnia kilkakrotnie próbowaliśmy kontaktować się z administratorem serwisu Adwokat.com. Niestety na wiadomości e-mail nikt nie odpowiada, a numeru telefonu nie ma. Pozostaje kontakt pocztowy z adresem…

Adwokat.com
342 Tennyson Dr.
Oakville, Ontario
Canada
L6L 3Y9

Szczerze powiedziawszy nawet gdyby nie było tego wycieku, moglibyśmy odradzać wam korzystanie z serwisu Adwokat.com. Zagraniczny adres i brak innych realnych możliwości kontaktu to wystarczający powód, aby nie ufać sklepowi lub dostawcy usługi (por. Jak rozpoznać fałszywy sklep internetowy? Na ciekawym przykładzie…).

Adwokaci nie pamiętają tych spraw

Nie mogąc wiele zrobić z tą sprawą postanowiliśmy skontaktować się z prawnikami, do których były kierowane wiadomości ujawnione w wycieku. Adwokaci z którymi rozmawialiśmy twierdzili, że nie znają spraw ani ludzi przedstawionych w korespondencji, czyli wiadomości najwyraźniej do nich nie dotarły. Jedna prawniczka wprost zasugerowała nam, że dane adwokatów mogły być dodane do Adwokat.com bez ich wiedzy.

W najlepszym wypadku Adwokat.com to po prostu serwis-trup, którym ktoś przestał się opiekować. Domena Adwokat.com została utworzona już w 1997 roku, więc tradycję ma długą. Whois wskazuje jako abonenta pana Jacka Zielińskiego, z którym również próbowaliśmy się skontaktować. Jak dotąd bez skutku.

Reakcja UODO i zamknięcie strony

Ostatnią rzeczą jaką mogliśmy zrobić było zgłoszenie sprawy do Urzędu Ochrony Danych Osobowych. Rzeczniczka urzędy – Agnieszka Świątek-Druś – przyznała, że wcześniej nikt nie zgłaszał tej sprawy. Po naszym zgłoszeniu UODO zajął się sprawą, ale również nie miał łatwo.

Sytuacja jest poważna, gdyż za pośrednictwem tego serwisu osoby nieuprawnione mogą zapoznać się z danymi osobowymi osób chcących skorzystać z porad prawników, w tym  z informacjami objętymi tajemnicą radcowską i adwokacką. Z tego względu Prezes Urzędu Ochrony Danych Osobowych zajął się tą sprawą z urzędu i podjął już pierwsze działania. W celu doprowadzenia do stanu zgodnego z prawem będzie wykorzystywał wszelkie dostępne instrumenty.

Przypadek jest skomplikowany, m.in. dlatego, że serwer, na którym dostępny jest serwis, znajduje się w Kanadzie. Dlatego UODO chce m.in. wykorzystać fakt, że jest członkiem Światowej Sieci Egzekwowania Przepisów o Ochronie Prywatności (Global Privacy Enforcement Network – GPEN) i nawiązać współpracę ze swoim odpowiednikiem w Kanadzie.

16 października zauważyliśmy, że strona Adwokat.com została wyłączona i pojawił się na niej taki komunikat:

Korzystałem z Adwokat.com — co robić? Jak żyć?

Jeśli korzystałeś z serwisu Adwokat.com w okresie od listopada 2015 do sierpnia 2018 to znaczy, że do sieci mogły wyciec Twoje dane kontaktowe oraz pełen opis Twojego problemu. Niestety musisz zacząć traktować te informacje jako publicznie dostępne, także dla “przeciwników” Twojego sporu prawnego.

Ale nie tylko przegrana w sądzie powinna być teraz Twoim zmartwieniem. Te same dane mogą wykorzystane do różnego rodzaju oszustw oraz bardzo wiarygodnego szantażu — niektórzy w poradach mogli przyznać się do popełnienia “pewnych błędów” a nawet przestępstw.

Jeśli zaś korzystasz z innych serwisów do porad prawnych online to możemy Ci poradzić jedną rzecz — opisuj swoje problemy jak najbardziej ogólnie, bez podawania zbędnych szczegółów — dąż do kontaktu telefonicznego. W sprawach szczególnie skomplikowanych prawdopodobnie i tak będziesz potrzebował czegoś więcej niż porady online. Zachęcamy do spotkań z adwokatami. Wbrew powszechnej opinii to nie są drogie usługi (zwłaszcza po uwolnieniu zawodu ;). Przypominamy też, że na część najbardziej interesujących internautów spraw odpowiedzieliśmy w cyklu Poniedziałek z Prawnikiem (dowiesz się z niego m.in. czy pobieranie mp3 i filmów przez torrenta jest legalne, jak ścigać spamerów i serwisy które bez Twojej zgody przetwarzają Twoje dane osobowe oraz jak przygotować się na przeszukanie i co grozi Ci za “nieautoryzowane testy penetracyjne”).

W kontaktach przez e-mail z prawnikami zalecamy, aby ZAWSZE szyfrować swoją korespondencję. Ataki na kancelarie prawne się zdarzają i dane z kancelarii wyciekają i są za darmo albo za opłatą oferowane na sprzedaż (były już takie przypadki w Polsce). Niestety, niewielu prawników potrafi posługiwać się GPG, więc zip na hasło (i przesłanie hasła SMS-em, nie e-mailem!) to bardziej “zjadliwe” rozwiązanie. No chyba, że znajdziecie takiego prawnika, który potrafi obsługiwać Signala (tacy też istnieją, wiemy to).

W zasadzie, to rada dotycząca bezpiecznej komunikacji, w dzisiejszym świecie nie powinna dotyczyć tylko kontaktów z prawnikami, ale z każdym usługodawcą (no może poza kominiarzem, czy szklarzem). Poza prawnikami, Twoje dane, które mogą być cenne dla przestępców przetwarzają księgowi, lekarze i notariusze. Jeśli chcesz wiedzieć jak bezpiecznie komunikować się w internecie i dbać o swoją prywatność, to wpadnij na nasz wykład do Warszawy, Krakowa, Katowic lub Wrocławia.

Jestem prawnikiem (księgową, lekarzem) — jak chronić się przed wyciekiem danych moich klientów?

Jeśli jesteś przedstawicielem któregoś z powyższych zawodów (Księgowi, Prawnicy, Notariusze, Lekarze) i chciałbyś aby ktoś doradził Ci jak zabezpieczyć się przed wyciekami danych z Twojej praktyki i podpowiedział jak w prosty i tani sposób zwiększyć bezpieczeństwo firmowego sprzętu i sieci, to daj nam znać pisząc e-maila na stopwyciekom@niebezpiecznik.pl.

Aktualizacja 18.10.2018 g. 11:28

Pan Jacek Zieliński (właściciel serwisu Adwokat.com) skontaktował się z nami telefonicznie. Przyznał, że miał utrudniony dostęp do poczty oraz do serwisu, co mogło spowodować niefortunne opóźnienie w reakcji i w udzieleniu nam odpowiedzi.

Dowiedzieliśmy się, że serwis Adwokat.com w dotychczasowej formie nie był typową usługą komercyjną, a raczej serwisem hobbystycznym, który miał pomagać osobom zza granicy w znalezieniu prawników znających język polski. Strona została utworzona dość dawno temu i dostawca hostingu zaczął mieć zastrzeżenia do oprogramowania, którego użyto do stworzenia strony. Możliwe, że doszło także do włamania na serwer.

Pan Jacek Zieliński pracował już nad nowszą i bezpieczniejszą wersją serwisu. Niestety w tym czasie wynikły problemy ze starą.