/ Urząd Transportu Kolejowego

Gdy z prywatnej skrzynki e-mailowej wycieka korespondencja najważniejszych osób w państwie, nie jesteśmy już tak bardzo zdziwieni. Gorzej, jeśli w niepowołane ręce wpadają dane zgromadzone na serwerach rządowych, teoretycznie lepiej zabezpieczonych. Niestety z taką właśnie sytuacją mieliśmy do czynienia pod koniec września, gdy ofiarą ataku padł portal Rzecznik Praw Pasażera Kolei (pasazer.gov.pl).

Głównym zadaniem Rzecznika Praw Pasażera Kolei jest pozasądowe rozstrzyganie sporów między podróżnymi a przewoźnikami, zarządcami infrastruktury kolejowej czy właścicielami dworców. Do instytucji można się zwrócić dopiero po wyczerpaniu ścieżki reklamacyjnej i nieuznaniu naszego żądania.

Wśród spraw kierowanych do RPPK najczęściej przewijają się te dotyczące strat finansowych poniesionych z powodu opóźnienia lub odwołania pociągu, a także utraty czy zniszczenia bagażu. Postępowania polubowne procedury zwrotu środków za niewykorzystany bilet czy odwołań od wezwań do zapłaty.

RPPK powołano do życia w 2017 r. decyzją szefa Urzędu Transportu Kolejowego. Funkcję tę pełni Joanna Marcinkowska.

Do niedawna o pomoc rzecznika można było wystąpić, wypełniając interaktywny formularz na stronie pasazer.gov.pl. Obecnie ta opcja jest już niedostępna – pasażerom pozostaje przesłanie wniosku e-mailem lub tradycyjną pocztą. Ba, nie działa zresztą cała witryna pasazer.gov.pl – po wpisaniu jej do wyszukiwarki jesteśmy kierowani na stronę UTK. Skąd ta zmiana?

Z informacji Bankier.pl wynika, że pod koniec września doszło do wycieku danych osobowych zgromadzonych na serwerze obsługującym stronę RPPK. W wyniku nieuprawnionego działania z bazy wyprowadzono imiona i nazwiska podróżnych, a także ich adresy, numery telefonu i adresy e-mail. Jedno z naruszeń, o których wiemy, dotyczy wniosku skierowanego do RPPK w maju 2022 r. – mowa tu więc o naprawdę sporej rozpiętości czasowej.

Dane osobowe 700 osób wyciekły z serwera RPPK. Mamy komentarz rzecznika

Sygnały o możliwym wycieku danych potwierdziliśmy u źródła. Przedstawiciele UTK przyznali w rozmowie z nami, że 28 września 2022 r. miał miejsce „nieuprawniony dostęp do CMS [system zarządzania treścią – red.], w oparciu o który prowadzona jest strona pasazer.gov.pl”.

„Zdarzenie mogło dotyczyć około 700 osób. Zakres danych w każdym przypadku może być inny i jest zależny od pól wypełnionych przy kontakcie z Rzecznikiem Praw Pasażera Kolei. Do każdej osoby niezwłocznie przesłano odpowiednią informację dotyczącą naruszenia” – wyjaśnia Tomasz Frankowski, Naczelnik Wydziału Komunikacji Społecznej UTK.

Jak dodał, zdarzenie zgłoszono już do Prezesa Urzędu Ochrony Danych Osobowych i innych właściwych służb. UTK dokonał też dodatkowego przeglądu systemów w celu weryfikacji ich bezpieczeństwa, tak by w przyszłości nie doszło do podobnego incydentu.

„Portal pasazer.gov.pl został zabezpieczony i umieszczony na innym serwerze. Strona w dotychczasowym kształcie zostanie uruchomiana po pełnym audycie zabezpieczeń” – przekazał nam Frankowski.

To kolejny w ostatnim czasie incydent, gdy ofiarą hakerów pada witryna prowadzona przez instytucje państwowe. We wrześniu doszło do dwukrotnego zhakowania serwisu eFaktura.gov.pl, na którym zaroiło się od mocno kontrowersyjnych treści. Resort finansów zapewnił wówczas, że mechanizmy zabezpieczające dane zadziałały i do żadnej kradzieży nie doszło.