Dziwna afera z numerem PESEL
Główny Urząd Statystyczny ma jakoś pod górkę z usługami cyfrowymi. Całkiem niedawno wybuchła afera na temat sposobu logowania się do aplikacji samospisu. Sprawdziłem i faktycznie – da się zalogować za pomocą numeru PESEL i nazwiska rodowego matki. To jest dość niefortunny sposób, bo takie informacje są stosunkowo łatwe do zdobycia. Bawią mnie za to komentarze na temat tego zagrożenia. I nie dotyczy to faktu, że ktoś może się za mnie spisać, bo to faktyczne ryzyko, chociaż nie mam pojęcia po co ktoś miałby to robić. Interesujące są dla mnie dywagacje na temat numeru PESEL.
Numer PESEL nie wymaga zdobywania. Można go sobie wygenerować, choćby za pomocą tego narzędzia. Bo numer PESEL nie jest losowym ciągiem 11 cyfr, lecz zakodowaną informacją o konkretnej osobie.
- Pierwsze 6 cyfr to data urodzenia. Dwie pierwsze to dwie ostatnie cyfry roku urodzenia, dwie kolejne to miesiąc, a ostatnia para to dzień. Przy czym parę cyfr miesiąca modyfikuje się dodając pewną liczbę, w zależności od stulecia. Ja jestem stary, więc u mnie jest to 03 (XX wiek), a moja córka ma 22 (XXI wiek). Ja się urodziłem w marcu, a Maja w lutym.
- kolejne 4 cyfry numeru PESEL to numery kolejne, z tym że ostatnia cyfra oznacza rolę społeczną nadaną przez położnika przy urodzeniu. Cyfra nieparzysta to mężczyzna (u mnie 5), a parzysta to kobieta (u mojej żony 6).
- Ostatnia cyfra służy do sprawdzania poprawności 10 poprzedzających.
Zarówno struktura numeru PESEL, jak i algorytm wyliczania jedenastej cyfry są opisane w przepisach. Właśnie dlatego przygotowanie generatora PESEL jest możliwe, a przy tym stosunkowo łatwe. Kiedyś do testowania wniosku na 500+ potrzebowałem lipny PESEL, a znając strukturę wymyśliłem pierwsze 10 cyfr i kłopot miałem tylko z ostatnią. Kilka prób i trafiłem. Jak widać – poznanie dowolnego numeru PESEL jest banalnie proste i nie wymaga wykradania go.
Co więcej – znając datę urodzenia i płeć, możemy pokusić się o wygenerowanie listy numerów PESEL i sprawdzać je po kolei. W końcu trafimy. Korzystając z bramki do systemu PESEL możemy od razu je sprawdzać i odrzucać i to jest dość efektywny algorytm. W Polsce rodzi się ok. 1000 dzieci dziennie. Z grubsza połowa to chłopcy i druga połowa to dziewczynki. Z grubsza, bo chłopców rodzi się statystycznie więcej. Wystarczy zatem wziąć konkretną datę i zakodować na pierwszych 6 miejscach, a potem sprawdzać kolejne numery z dodaną cyfrą kontrolną. Jak wchodzi, znaczy istnieje. Jak nie wchodzi – znaczy że można odpuścić dalsze szukanie.
No dobrze, a co z tym nazwiskiem panieńskim matki? Na to też jest sposób, chociaż mniej efektywny. Można pobrać bazę żeńskich nazwisk i wybrać kilkanaście najczęściej występujących. Mając już odsiane numery PESEL możemy próbować dopasowywać nazwiska do numerów i z dość dużym prawdopodobieństwem trafić. Znając datę urodzenia i nazwisko panieńskie matki można trafiać nawet w konkretnych ludzi. A dane takie są dostępne, przynajmniej jeżeli chodzi o polityków i szeroko pojętych celebrytów. Często można je wyciągnąć także z Facebooka.
Czy zatem ta bramka GUS jest niebezpieczna? To zależy. Jeżeli jest zabezpieczona przed wielokrotnymi próbami logowania się, to raczej nie. Jest niebezpieczna tylko dla osób, które beztrosko podają swoje dane publicznie, jak ja:) Jeżeli zaś bramka nie jest odpowiednio zabezpieczona, to już o wiele gorzej. Może się bowiem stać narzędziem do zestawiania danych z różnych źródeł i tworzenia zasobu częściowo pochodzącego z rejestru PESEL. A może to już się dzieje i za jakiś czas eksploduje bomba...