mObywatel wygląda bezpiecznie… ale tego jednego NIE wolno robić
mObywatel wygląda bezpiecznie… ale tego jednego NIE wolno robić
Aplikacja mObywatel w Polsce jest wygodnym cyfrowym odpowiednikiem dowodu osobistego. Wygląda bezpiecznie, jest szyfrowana, chroniona hasłem i biometrią. Jednak wielu użytkowników popełnia jedną podstawową i niebezpieczną gafę, która może prowadzić do przejęcia danych osobowych lub podszycia się pod użytkownika.
Nie chodzi o lukę w aplikacji ani atak hakerski — chodzi o ludzkie nawyki i socjotechnikę.
Co jest najbardziej ryzykowne?
1. Udostępnianie QR kodu
Każdy dokument w mObywatelu ma unikalny QR kod, który zawiera:
- imię i nazwisko,
- numer PESEL,
- serię i numer dokumentu,
- datę ważności i inne dane weryfikacyjne.
📌 Problem: QR można zeskanować i odtworzyć informacje, a przy odpowiedniej manipulacji użyć w fałszywych procesach weryfikacji.
Przykład socjotechniki: ktoś prosi o „szybką weryfikację wideo” i prosi o pokazanie QR. Użytkownik wysyła screen → atakujący ma pełne dane do podszycia się w systemach, które nie weryfikują aktywnie dokumentu w aplikacji.
2. Robienie screenshotów dokumentów
- Zdjęcie lub screen z telefonu łatwo może wyciec przez chmurę, kopię zapasową, komunikatory, media społecznościowe.
- Nawet jeśli telefon jest chroniony hasłem, screen staje się zwykłym plikiem.
- Użytkownik traci kontrolę nad tym, kto i jak wykorzysta te dane.
Jak używać mObywatela bez ryzyka
✅ Nigdy nie udostępniaj QR kodu
- Nie pokazuj kodu wideo rozmowach, na zrzutach ekranu ani w mediach społecznościowych.
- Sprawdzaj, czy odbiorca jest autoryzowaną instytucją.
✅ Weryfikacja „na żywo”
- Jeśli musisz potwierdzić dokument, użyj mechanizmu weryfikacji w aplikacji, a nie screenów.
- Aplikacja pozwala pokazywać QR w czasie rzeczywistym — tylko wtedy jest bezpiecznie.
✅ Ogranicz przechowywanie kopii
- Nie rób backupów dokumentów w chmurze ani nie wysyłaj ich do maila.
- Jeśli musisz, używaj szyfrowanych kont i folderów lokalnych.
Dlaczego to nie jest zwykły QR
- QR z mObywatela nie wymaga autoryzacji przy skanowaniu,
- każdy skaner odczyta dane,
- bezpieczeństwo polega na kontroli nad tym, kto widzi kod, a nie na jego szyfrowaniu.
Przykłady potencjalnego nadużycia
- Osoba prosi o screen QR do „weryfikacji w pracy” → wykorzystuje dane do fałszywego podpisu dokumentu.
- Screen trafia na forum / grupę → ktoś generuje fałszywy dowód z Twoimi danymi.
- Utrata telefonu + backup cloud → screen QR w chmurze = łatwy dostęp do danych.
Podsumowanie
mObywatel jest bezpieczny jeśli używasz go poprawnie.
Jedna rzecz może zniweczyć bezpieczeństwo całego systemu:
Nie rób screenów i nie udostępniaj QR kodów nikomu, nawet znajomym czy instytucjom, które tego nie wymagają.
Twoja cyfrowa tożsamość jest cenna, a najczęstsze ryzyko to ludzki błąd, nie system.
Jak przygotować stary komputer z Linuxem jako bezpieczny komputer edukacyjny dla dziecka Stary komputer, który od dawna stoi nieużywany w Czytaj dalej
Granice zaufania w systemie operacyjnym – gdzie kończy się bezpieczeństwo użytkownika Nowy byt semantyczny: trust boundaries OS Bezpieczeństwo systemu operacyjnego Czytaj dalej
