phishing

Opublikowano kolejną wersję Projektu ustawy o zmianie ustawy o grach hazardowych oraz niektórych innych ustaw w wersji przekazanej do rozpatrzenia przez Komitet Rady Ministrów. Chodzi m.in. o ten Rejestr Stron i Usług Niedozwolonych (o którym ostatnio pisałem w tekście Internetowe czytanie uwag zgłoszonych MinFinowi do projektu Blokowania Stron i Usług). Nowy projekt datowany jest na siódmego grudnia. To efekt prac tych dwóch zespołów, które miały się zajmować materią projektu po przeprowadzonej dwa tygodnie temu konferencji uzgodnieniowej. Nie tylko sam "Rejestr" jest tu istotny, ale również proponowane zmiany w innych ustawach. Przy okazji zamieszania z "Rejestrem" przeprowadza się właśnie nowelizację w zakresie retencji danych telekomunikacyjnych. Pojawiły się przepisy, które mają pozwolić Policji, Straży Granicznej, Żandarmerii Wojskowej, wywiadowi skarbowemu, Agencji Wywiadu, ABW, Służbie Kontrwywiadu Wojskowego, Służbie Celnej, uzyskiwanie danych użytkowników stron internetowych. Proponuje się też możliwość ograniczania swobody świadczenia usług drogą elektroniczną... I to wszystko raczej społecznie nie będzie konsultowane...

Ponieważ w sąsiednim wątku pojawiła się kwestia możliwego powództwa o ustalenie prawa (art 189 KPC) przypomniałem relacjonowany na początku roku wyrok Sądu Najwyższego. Okazało się, że Rzeczpospolita wówczas błędnie wskazała sygnaturę tego wyroku, a czytelnicy przeprowadzili drobne "śledztwo" i uzyskali z Sądu Najwyższego treść jego uzasadnienia (Sygn. akt I CSK 332/08), niniejszym prezentuję ją poniżej:

Przyglądając się sytuacji na rynku domenowym w Polsce spodziewam się niebawem kilku interesujących doniesień na temat spraw o ochronę dóbr osobistych, w szczególności z ochroną nazwiska. W środowisku domenowym ktoś wpadł na pomysł, by hurtowo zarejestrować domeny z możliwymi, występującymi w Polsce nazwiskami. Wydaje się, że powodem, dla którego ktoś chciałby podjąć takie działania, jest łatwości z jaką dziś można rejestrować domeny i niskie koszty takiej "inwestycji" (w spamboxie mam nawet ofertę rejestracji "bez opłat"). Być może ktoś również zakłada, że osoby noszące dane nazwisko nie będą miały ochoty domagać się przed sądem jego ochrony. Takie osoby mają jednak instrumenty prawne, np. przepisy o ochronie dóbr osobistych znajdujące się w art 23 i 24 Kodeksu cywilnego. Środowisko domenowe bierze prawdopodobnie pod uwagę ewentualne działania prawne i niektórzy przygotowują się do obrony, gubiąc - jak się wydaje - tropy kontaktowe...

Ponieważ zarzucono mi, że kradnę poufne dane (por. Trafiłem na indeks? Kaspersky Anti-Virus twierdzi, że kradnę dane.) zwróciłem się z prośbą o wyjaśnienie sytuacji do spółki Kaspersky Lab Polska Sp. z o.o. Przy okazji zapytałem o stanowisko spółki w sprawie ewentualnej jej odpowiedzialności za generowanie o wydawcach internetowych witryn informacji nieprawdziwych. O ile komentarza na temat odpowiedzialności nie uzyskałem, to dostałem właśnie stanowisko "w sprawie błędu w antywirusowych bazach danych wykorzystywanych przez produkty Kaspersky Lab"...

Odebrałem dziś spersonalizowaną kartę ZTM z nadrukiem fundacji Panoptykon "Mam cię - bo muszę". "ZTM zbiera jedynie niezbędne dane osobowe. PESEL umożliwia bezbłędną identyfikację właściciela karty. Jest to ważne np. w sytuacji gdy pasażer utraci kartę i będzie chciał przekodować niewykorzystaną część biletu na nowy nośnik" - tłumaczy warszawski Zarząd Transportu Miejskiego. O zamieszaniu związanym z gromadzeniem przez ZTM danych osobowych pisałem w tekście Po decyzji GIODO w sprawie ZTM i Warszawskiej Karty Miejskiej. Ostatnie doniesienia stwierdzały, że "prawnicy ZTM analizują treść decyzji GIODO". Tymczasem Fundacja Panoptykon zaproponowała swój własny wkład w akcję personalizacji.

Dwudziestoletni mężczyzna, Matthias L., który - jak twierdzą media i niemiecka policja - pobrał ("zassał", "zgrabował", nie ma polskiego słowa?) dane użytkowników serwisów StudiVZ i SchülerVZ (ponoć to serwis, który przypomina trochę serwis Nasza-klasa.pl, chociaż znajomości klasowe były raczej pielęgnowane w drugim), po zatrzymaniu i będąc w areszcie - popełnił samobójstwo. Niektóre media nazywają mężczyznę hackerem. Jednak stawiane są również pytania o rolę wydawcy serwisu internetowego, do którego danych mężczyzna potrafił i mógł się dostać. Dlaczego? Dlatego, że - chociaż mężczyzna "uzyskał dostęp" do danych kilku milionów osób - były to tylko "publiczne profile" użytkowników, zaś sam mężczyzna - jak sugerują komentarze - nigdzie się nie włamywał. Padają również pytania o system wymiaru sprawiedliwości i działanie organów ścigania.

"W związku z pojawiającymi się informacjami w mediach dotyczącymi działalności serwisu WykręćNumer.pl i postawionymi przez ABW zarzutami, że serwis jest zagrożeniem dla bezpieczeństwa Państwa Polskiego, informujemy, że od dnia 6 listopada 2009 nastąpi zmiana dotychczasowego właściciela serwisu - firmy INTER GROUP zarejestrowanej w Polsce, na nowego - InterCom Telecommunications Ltd. zarejestrowaną w Wielkiej Brytanii". Taki komunikat pojawił się w serwisie wykrecnumer.pl. Ciekawe podejście, ale nie przypuszczam, by coś pomogło mieszkańcowi Nysy, który - jak wynika z doniesień mediów - postanowił uruchomic ten serwis. Zobaczymy, co będzie dalej.

Kilka dni temu Komisja Europejska znów wezwała kraje członkowskie do "zdwojenia starań mających na celu zwalczanie zagrożeń dla prywatności obywateli w Internecie". Chodzi o spam, ale również o "malware" i inne zjawiska. Wezwanie zaś jest efektem opublikowania wyników badania "Study on activities undertaken to address threats that undermine confidence in the Information Society, such as spam, spyware and malicious software".

Sytuacja robi się coraz bardziej interesująca. Serwis Nasza-klasa.pl (prowadzony przez spółkę Nasza Klasa Sp. z o.o.) postanowił zmienić (zresetować) niektórym użytkownikom hasło dostępu do swoich usług. Stało się to - jak wynika z maila rozesłanego do tych użytkowników - na podstawie danych udostępnionych Naszej-klasie przez spółkę Wykop sp. z o.o., co zaś nastąpiło w wyniku "porozumienia" między tymi dwoma podmiotami... Rozumiem, że na tak małym rynku wszyscy prowadzący serwisy internetowe znają się i lubią, ale zastanawiam się, jak do tej sytuacji odniesie się Generalny Inspektor Ochrony Danych Osobowych, który został o sprawie poinformowany przez Wykop. Warto dowiedzieć się od strażnika danych osobowych, jak ocenia tego typu praktyki.

Policja zatrzymała ludzi, którzy - jej zdaniem - są odpowiedzialni za wydobycie danych użytkowników serwisu Wykop.pl (por. Warto mieć różne hasła w różnych serwisach (społecznościowych) czyli wyciek danych z Wykop.pl). Policja twierdzi również, że "odzyskano wszystkie skradzione kopie bazy danych". W opisie działań sprawcy komunikat policji wspomina o "pokonaniu zabezpieczeń".
Aktualizacja: dodałem komentarz p. Michała Białka z serwisu Wykop.pl, którego zapytałem o kilka spraw.