Wyciek ponad 3000 skanów paszportów Polaków starających się o wizę

16 Sty

Wyciek ponad 3000 skanów paszportów Polaków starających się o wizę

Ponad 3 000 paszportów, konkretnie ich skanów z pełnymi danymi osobowymi posiadacza i zdjęciami, udostępniła, w sposób niezamierzony, firma pośredniczącą w uzyskiwaniu wiz. Problem dotyczy osób, które starały się o wizę do Wietnamu od kwietnia 2015 roku.

“Myślałem, że się skan nie wysłał…”

Nasz Czytelnik — nazwijmy go Władek — leci niebawem do Wietnamu. Chciał zdobyć wizę, a znajomy polecił mu w tym celu usługi serwisu Wietnamwiza.com.

Możliwość uzyskania wizy online jest bardzo wygodna, ale Władka trochę zmroziło, gdy strona poprosiła o skan paszportu. Jego znajomy uspokajał, że sam skan już przesłał i zapewniał, że wszystko będzie w porządku. Niestety nie było.

Zrobiłem skan, przesłałem go w formularzu i [zostałem przekierowany na] stronę z potwierdzeniem. Na wspomnianej stronie widnieje rubryka ze zdjęciem paszportu i w niej była ikonka “nieistniejącego obrazka”. Pomyślałem, że skan się nie wysłał i kliknąłem w tę ikonę. Moim oczom ukazał się mój skan dowodu pod publicznym adresem URL.

Jeszcze bardziej zaskakujące było to, że usuwając nazwę pliku, można było dostać się do katalogu nadrzędnego, a tam było ponad 3000 plików ze skanami dowodów.

Głębokie ukrycie 3000 paszportów

Naliczyliśmy 3491 skanów. Najstarsze pliki zostały dodane do katalogu w kwietniu 2015 roku. Były to nie tylko skany dokumentów pojedynczych osób, ale wręcz całych rodzin (co nie dziwi — ludzie podróżują rodzinami).

Dane widoczne na skanach obejmują:

obraz własnoręcznego podpisu.

Dodatkowo ze skanów można było wyciągać wnioski o pokrewieństwie różnych osób gdyż — jak wspomnieliśmy — skany całych rodzin były podobnie opisane.

POLVIET: “Mieliśmy ataki na stronę”

Strona Wietnamwiza.com jest prowadzona przez biuro POLVIET. Skontaktowaliśmy się z nim wczoraj rano. Bardzo szybko udało nam się porozmawiać z dyrektorem Maciejem Ryczko i dostęp do katalogu ze skanami został wkrótce zablokowany.

Już w czasie pierwszej rozmowy pan Maciej podkreślił, że POLVIET to firma wietnamska i działa według wietnamskiego prawa. Niemniej przyznał, że te skany nie powinny być ot tak dostępne.

Nieco później otrzymaliśmy niepodpisaną z nazwiska wiadomość e-mail z informacją, iż…

Całość była zabezpieczona skomplikowanym hasłem – natomiast mieliśmy w 3 i 4 kwartale 2018 ataki na stronę (raczej nie celowe, a przypadkowe) i kilkukrotnie musieliśmy ja od nowa stawiać.

3… 2… 1… wychodzimy z szoku i tę wypowiedź skomentujemy znanym, starym wietnamskim przysłowiem:

Co ma piernik do wiatraka?

Administrator danych podkreśla, że jest firmą wietnamską i działa na podstawie prawa wietnamskiego, ale po przeprowadzeniu analizy logów firma ma zamiar poinformować o wycieku osoby, których dane wyciekły, a więc chyba wszystkich swoich klientów od 2015 roku, którzy wgrali skan przez formularz na stronie. Nie wiemy, czy wyciek zostanie zgłoszony do polskiego UODO.

RODO dotyczy nie tylko firm z UE

Rzeczywiście POLVIET jest firmą wietnamską, ale w tym miejscu należałoby przypomnieć, że RODO może obejmować nie tylko firmy z UE. Art. 3 ust. 2 rozporządzenia mówi, że “rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii (…) jeżeli czynności przetwarzania wiążą się z a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii”.

Strona Wietnamwiza.com jest niewątpliwie skierowana do Polaków, co potwierdzają również ujawnione skany paszportów. POLVIET ma też swoje polskie biuro w Stalowej Woli. W tej sytuacji nie do końca przekonujące wydaje się tłumaczenie, że firma jest wietnamska.

RODO może dotyczyć także firm spoza UE jeśli te firmy współpracują z firmami z UE, oferują produkty dla konsumentów z UE lub opierają swoja działalność na przetwarzaniu danych europejczyków.

W każdym razie — jeśli wysłaliście POLVIET-owi skan swojego paszportu, dajcie znać, czy otrzymacie od nich komunikat o tym, że Wasze dane osobowe były publicznie dostępne w internecie.

Źródło: niebezpiecznik.pl