[Czuwaj] Ewidencja

[Karol]

Ponieważ trochę zajmowałem się bezpieczeństwem w informatyce to odpowiem.

Ostatnio popularnym oszustwem jest kradzież tożsamości. Umowę o konto można
założyć przez internet, na ksero dowodu (łatwo podrobić). Na takie konto
można brać pożyczki w serwisach para-bankowych, które nawet ostatnio w
telewizji reklamują. Można też podpisać umowę na abonament (ostatnio
podpisywałem, dowodu nie pokazałem). Kluczowym etapem jest pozyskanie
imienia, nazwiska + PESELu (oczywiście przydają się dodatkowe dane np.
numer telefonu, ale tu już google, facebook i socjotechnika wystarczą). W
internecie trochę o tym jest:
https://www.google.com/search?q=kredyt+na+pesel&ie=utf-8&oe=utf-8

A co do banków - nie, przeciętny pracownik nie ma dostępu do danych
wszystkich klientów. Większość ma dostęp tylko do obsługiwanych przez
siebie, a odczytywanie danych innych jest przynajmniej logowane, odbywa się
z sieci wewnętrznej z monitorowanego komputera służbowego. U nas wystarczy,
że odgadnie hasło jednego drużynowego i ma pełną bazę. Wystarczy, że w jego
imieniu zaprosi wszystkich do drużyny (a raczej nie mamy żadnego IDSa,
który by coś takiego w środku nocy wykrył).

Karol

wt., 5.04.2016 o 21:59 użytkownik Darek Brzuska <brzuska w mp.pl> napisał:

> Cześć.
>
> Numer ewidencyjny (ID albo EID) to tylko ostatnie sześć cyfr tego, co jest
> na karcie członkowskiej. Jest unikalny i stały dla konkretnej osoby.
> Jeżeli zmienisz sobie hufiec / chorągiew, to za każdą zmianą w ewidencji
> zmienią się początkowe cyfry w przypadku generowania nowej karty
> członkowskiej, natomiast ID pozostaje stały. Jako drużynowy mogę wyszukać
> dowolną osobę zapisaną w ewidencji znając pesel lub ID. Poza imieniem,
> nazwiskiem, przydziałem służbowym lub informacją że jest "były" niczego
> się nie dowiem.
>
> Oczywiście mogę kombinować i np. przyjąć takiego typa do własnej
> jednostki, wtedy mam dostęp do jego danych, ale jest to czynność, która
> jest możliwa do wykonania ale niedozwolona gdyż poświadczyłbym nieprawdę.
> A system rejestruje wszelkie takie czynności i admin ewidencji będzie
> wiedział kto, kiedy, z jakiego komputera wywinął taki numer i weźmie mnie
> za łeb. Sytuacja niczym nie różni się od sytuacji, w której pracownik
> banku ma dostęp do danych osobowych, mojego adresu, historii operacji
> itp., ale nie wolno mu ich wykorzystywać do celów innych niż
> usprawiedliwione cele banku - inaczej popełniłby przestępstwo.
>
> Szukanie w ewidencji po numerze PESEL ma swoje zalety, natomiast zgadzam
> się, że wewnątrz ZHP ID powinno wystarczyć.
>
> Natomiast z tym braniem chwilówek na PESEL to trochę wątpię. Chyba jeszcze
> trochę danych potrzeba. Jakiś dokument tożsamości, te rzeczy?
>
> Ciekawe ile lat potrzeba, by pula sześciocyfrowych ID wyczerpała się?
> Obecnie najnowsze ID zaczynają się koło dwustu kilkunastu tysięcy, więc
> przy trochę ponad stutysięcznym ZHP blisko połowa rekordów dotyczy byłych
> członków. Za kilka lat będą to dwie trzecie, potem trzy czwarte itp.
>
> Czuwaj!
>
> Darek
>
> Dnia 05-04-2016 o 17:49:30 Karol <karol.gro w gmail.com> napisał:
>
> > Jeszcze rok temu dostępny był pełen numer ewidencyjny - trzeba jednak
> > szukać nie przez opcję "Szukaj", a listę transferową. Zresztą początek
> > jest
> > do przewidzenia, bo zależy bodajże od hufca. A mając numer ewidencyjny,
> > imię i nazwisko moglibyśmy w Twojej propozycji odczytać pesel i tak.
> >
> > Problem tak naprawdę leży gdzie indziej:
> >
> > *> Na kursach często chcą PESEL i numer Ewidencyjny*
> > No właśnie ten PESEL wtedy jest zupełnie niepotrzebny. Wewnątrz
> > organizacji
> > numer ewidencyjny powinien wystarczyć i ewidencja nie powinna udostępniać
> > PESELu przez opcję *Szukaj*. Na numer ewidencyjny nikt nie weźmie
> > chwilówki.
> >
> > A komu zwrócić na to uwagę? Pewnie ABI GK, ale z tego co wiem, to cały
> > czas
> > trwają dyskusje nad stworzeniem systemu ewidencji od nowa, więc dużych
> > zmian w obecnej bym się nie spodziewał.
> >
> > Karol Grodzicki
> >
> >
> > wt., 5.04.2016 o 00:43 użytkownik Przemek Bartecki <ciemniak w gmail.com>
> > napisał:
> >
> >> Hej
> >>
> >> Mam pytanie, z kim trzeba porozmawiać na temat ewidencji ZHP, a raczej
> >> tego jak PESEL jest łatwo dostępny, za łatwo.
> >>
> >> Na kursach często chcą PESEL i numer Ewidencyjny. Jak ktoś jest z poza
> >> Hufca to chyba nie da się sprawdzić czy podany nr jest dobry, znaczy da
> >> się
> >> sprawdzić końcówkę, ale nie cały. Przy okazji wyświetla się PESEL, wiec
> >> po co w zgłoszeniu.
> >>
> >> Osoby które odeszła z ZHP, ich pesel też jest widoczny.
> >>
> >> Da się zrobić tak ze po wpisaniu w wyszukwiarkę nr PESEL wyswietla się
> >> osoba i nr ewidencyjny oraz odwrotnie gdy Wpisze IMIĘ i NAZWISKO + nr
> >> EWIDENCYJNY dopiero pojawi się PESEL.
> >> lub
> >> zeby chociaż osób ktre odeszły z ZHP ich pesel był wbazie do
> >> przywracania ale nie był widoczny.
> >>
> >> pozdrawiam
> >>
> >> --
> >> Przemek Bartecki
>
>
>
> --
> I'm a scout. No cigarettes, no alcohol, no Facebook!
>
> Używam programu pocztowego Opery: http://www.opera.com/mail/
> --
> _______________________________________________
> Grupa dyskusyjna Czuwaj
> Czuwaj w listy.czuwaj.net
> http://listy.czuwaj.net/mailman/listinfo/czuwaj
> -----------------------------------------------
> Aby zrezygnowac z subskrybcji wyslij list na adres
> Czuwaj-request w listy.czuwaj.net o temacie unsubscribe
>