REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Czy mObywatel nas śledzi i transmituje potajemnie obraz z kamery telefonu? Eksperci: Ministerstwo Cyfryzacji nie zachowuje się transparentnie

Czy mObywatel ma funkcję śledzenia albo potajemnej transmisji obrazu z kamery? Eksperci ds. cyberbezpieczeństwa: Ministerstwo Cyfryzacji nie zachowało się transparentnie
Czy mObywatel ma funkcję śledzenia albo potajemnej transmisji obrazu z kamery? Eksperci ds. cyberbezpieczeństwa: Ministerstwo Cyfryzacji nie zachowało się transparentnie
Shutterstock

REKLAMA

REKLAMA

Z opublikowanych przez Ministerstwo Cyfryzacji (MC) fragmentów kodu źródłowego mObywatela nie dowiemy się, czy aplikacja nie ma np. funkcji śledzenia, resort nie zachował się transparentnie - ocenili dla PAP eksperci cyberbezpieczeństwa Adam Haertle, Tomasz Zieliński, Beata Zalewa i Łukasz Olejnik.

Ministerstwo Cyfryzacji ma obowiązek opublikować kod źródłowy aplikacji mObywatel. Opublikowało tylko kilka procent tego kodu

W dniu 29 grudnia 2025 r. resort cyfryzacji poinformował, iż udostępnił „kod źródłowy aplikacji mObywatel”. Fragmenty kodu znalazły się w biuletynie informacji publicznej MC. Aby je zobaczyć, trzeba było najpierw potwierdzić swoją tożsamość m.in. przez Profil Zaufany, aplikację mObywatel lub bankowość elektroniczną.

Do publikacji kodu źródłowego resort był zobowiązany ustawą o aplikacji mObywatel z 2023 r. Publikacja była zgodna z opiniami eksperckimi w tej sprawie, które przedstawiły kluczowe instytucje krajowego systemu cyberbezpieczeństwa: CSIRT GOV, CSIRT MON i CSIRT NASK.

Ministerstwo Cyfryzacji opublikowało zaledwie kilka procent kodu źródłowego aplikacji mObywatel, wybierając elementy odpowiadające za wygląd aplikacji” - ocenił dla PAP Adam Haertle, założyciel eksperckiego portalu dot. cyberbezpieczeństwa Zaufana Trzecia Strona. Resort opublikował wygląd przycisków, pól tekstowych i innych elementów wizualnych - doprecyzował niezależny konsultant i badacz z Department of War Studies, King's College London Łukasz Olejnik, który - jak podkreślił - uważa, że publikacja tego kodu „nie jest niezbędna”.

REKLAMA

Brak transparentności. Czy mObywatel ma funkcje śledzenia?

Mimo tego - w jego ocenie, podobnie jak i innych ekspertów komentujących sprawę dla PAP - resort nie zachował się transparentnie publikując wymienione fragmenty. Nie można się z nich dowiedzieć, jak aplikacja działa, czy jak zabezpiecza nasze dane - zauważył Haertle. „Z punktu widzenia bezpieczeństwa nic się nie zmieniło” - ocenił i dodał, że opublikowane elementy kody można wcześniej odtworzyć, np. przez pobieranie aplikacji i analizę jej treści.

Właściwie nie opublikowano źródeł mObywatela (...). Opublikowano element formy, a nie tego, jak działa aplikacja. To tak, jakby ujawnić kolor maski samochodu bez jej otwierania z zapowiedzią inspekcji silnika” - ocenił Olejnik.

Z kolei specjalista cyberbezpieczeństa i twórca bloga Informatyk Zakładowy, Tomasz Zieliński wskazał, że mObywatel to bardzo użyteczne narzędzie, jednak część użytkowników może mieć obawy, czy nie ma ono niepożądanych funkcji, np. śledzenia lokalizacji albo potajemnej transmisji obrazu z kamery telefonu. „Dostęp do kodu źródłowego aplikacji pozwoliłby niezależnym ekspertom na potwierdzenie, że nic takiego nie ma miejsca. Byłoby to też działaniem zwiększającym przejrzystość działań administracji rządowej” - podkreślił Zieliński.

Prawdziwa transparentność to dla mnie możliwość audytu realnej logiki działania, a nie tylko oglądanie efektu wizualnego. Bez całości kodu nie da się w 100 proc. stwierdzić, czy aplikacja jest napisana z zachowaniem najwyższych standardów” - zaznaczyła ekspertka cyberbezpieczeństwa Beata Zalewa. „Skoro aplikacja powstała za publiczne pieniądze, chciałabym móc samodzielnie zweryfikować jej mechanizmy, by mieć pewność, że moje dane są bezpieczne i system nie zawiera ukrytych funkcji śledzących” - dodała.

Wskazała, że Ministerstwo Cyfryzacji „ogłosiło sukces”, deklarując na platformie X „Publikujemy kod źródłowy mObywatela”, a kilka linijek dalej w tym samym wpisie poinformowało, że „opublikowana została część kodu źródłowego aplikacji mObywatel w zakresie wynikającym z rekomendacji CSIRT-ów”. Opublikowano - jej zdaniem - „nieistotne elementy” kodu, które można było już wcześniej odtworzyć przy użyciu darmowych narzędzi.

„Tak jakby ktoś zakładał, że wśród obywateli nie ma osób, które pamiętają o tym, co było obiecane, ocenią to, co zostało dostarczone i połączą kropki ze sobą. I którzy będą głośno mówić o tym, że nie taka była umowa. Uważam, że lepiej byłoby uczciwie przyznać, że pełna publikacja kodu jest niemożliwa, niż serwować kod w takim formacie” - oceniła Zalewa.

Ponad 90 proc. kodu mObywatela zostało utajnionych

Łukasz Olejnik zauważył, że żeby przejrzeć fragmenty kodu trzeba było się najpierw uwierzytelnić, a samo przeglądanie - ocenił - było wysoce utrudnione. „Trudno zrozumieć, po co to zrobiono. Jeśli po to, by utrudnić przeglądanie i ściągnięcie kodu, to na niewiele się to zdało. Kod w ciągu paru godzin trafił na GitHub (platforma dla programistów - PAP)” - powiedział ekspert. Zdaniem Adama Haertle, pobranie opublikowanych fragmentów kodu źródłowego „było utrudnione”, prawdopodobnie ze względu na „dość absurdalną opinię CSIRT MON”.

Jak zauważył Tomasz Zieliński, ponad 90 proc. kodu zostało utajnionych na podstawie opinii krajowych CSIRT-ów, których treść także w większości była tajna. „Opinia CSIRT MON, która jako jedyna z trzech opinii jest jawna, potwierdza, że otworzenie kodu źródłowego może przynieść społeczne korzyści” - zaznaczył Zieliński. Jak tłumaczył, autorzy opinii podkreślili, że proces taki wymaga przygotowania na poziomie organizacyjnym, np. zadbania, by w komentarzach w kodzie źródłowym nie znalazły się nadmiarowe informacje. Zdaniem Zielińskiego część zaleceń MON, np. postulat, aby ograniczyć grono odbiorców jedynie do obywateli RP, była dla ekspertów niezrozumiała.

„Informatyk Zakładowy” podkreślił również, że tylko część elementów kodu mObywatela ma krytyczne znaczenie dla bezpieczeństwa państwa, resort mógłby więc wyłączyć z publikacji jedynie te fragmenty. „Nic nie stoi na przeszkodzie, by ujawnić szablon ekranu wyświetlającego dane mDowodu albo procedurę obsługi przycisków dostępnych na tym ekranie” - ocenił.

Zdaniem Łukasza Olejnika publikacja fragmentów kodu źródłowego mObywatela 29 grudnia, to „ciekawy performens umilający przerwę świąteczną”. Jak dodał „bardziej serio”, publikacja fragmentów kodu w omówionym formacie „paradoksalnie może obniżyć zaufanie do państwa”.

Udawanie otwartości i kpina z obywateli

Beata Zalewa oceniła formę publikacji fragmentów kodu źródłowego mObywatela, jako „działanie fasadowe, mające jedynie udawać otwartość” (tzw. open-washing), a Adam Heartle - jako „teatr bezpieczeństwa”.

Tomasz Zieliński zauważył, że resort cyfryzacji i Centralny Ośrodek Informatyki, który odpowiada za stronę techniczną mObywatela, miały 2,5 roku na przygotowanie się do publikacji kodu. „Biorąc to pod uwagę, działanie resortu jest kpiną z obywateli a Minister Cyfryzacji zwyczajnie zignorował ciążący na nim obowiązek” - ocenił ekspert.

REKLAMA

Dalszy ciąg materiału pod wideo

Pierwotnie do publikacji kodu miało dojść w ciągu roku od wejścia w życie ustawy, czyli w połowie lipca 2024 r. Jednak na początku lipca ub.r. weszła w życie ustawa o pomocy obywatelom Ukrainy, która zmieniła niektóre przepisy ustawy o mObywatelu.

W ustawie o pomocy obywatelom Ukrainy wskazano, że do publikacji kodu może dojść po uzyskaniu przez resort cyfryzacji opinii CSIRT GOV, który jest nadzorowany przez ABW; CSIRT MON i CSIRT NASK, „w zakresie niezagrażającym bezpieczeństwu tej aplikacji oraz jej użytkowników lub systemu mObywatel”.

„Zgodnie z ustawą o aplikacji mObywatel, po otrzymaniu opinii od CSIRT MON, CSIRT ABW i CSIRT NASK, w Biuletynie Informacji Publicznej Ministerstwa Cyfryzacji opublikowana została część kodu źródłowego aplikacji mObywatel w zakresie wynikającym z rekomendacji CSIRTów” - przekazał resort w serwisie X 29 grudania ub.r.

Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego

W Polsce działają trzy krajowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (z ang. Computer Security Incident Response Team): CSIRT NASK, CSIRT GOV oraz CSIRT MON. Ustanowiła je ustawa o Krajowym Systemie Cyberbezpieczeństwa z 2018 r. Każdy z CSIRT-ów odpowiedzialny jest za koordynację incydentów zgłaszanych przez przyporządkowane zgodnie z ustawą podmioty. Do ich zadań należy też rozpoznawanie, zapobieganie i wykrywanie zagrożeń godzących w bezpieczeństwo.

Monika Blandyna Lewkowicz (PAP)
mbl/ drag/

Źródło: PAP

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Infor.pl
Szkoły dostaną nowe wyposażenie. 200 mln zł trafi do gmin

200 mln zł z budżetu państwa trafi do gmin na wyposażenie i doposażenie pracowni przyrodniczych oraz praktyczno-technicznych w szkołach podstawowych w latach 2026-29. Środki trafią też do publicznych placówek doskonalenia nauczycieli. Weszło w życie rozporządzenie ws. programu „Pracownie Kompas Jutra”.

Do 2028 r. od PFRON za darmo 4000 jednostek. Także dla stopnia umiarkowanego. Reaktywacja wypożyczalni [Projekt]

10 czerwca 2026 r. została reaktywowana przez PFRON wypożyczalnia sprzętu dla osób niepełnosprawnych. Jest to reaktywacja likwidacyjna. Chodzi o to, aby osoby niepełnosprawne pożyczyły sprzęt z wypożyczalni, którą PFRON likwiduje, a sprzęt zalega w magazynie (i generuje koszty przechowania). W międzyczasie Sejm uchwali przepisy pozwalające na przejęcie na własność 4000 jednostek sprzętu przez te osoby niepełnosprawne, które go pożyczą po 10 czerwca (+ wcześniej wypożyczony sprzęt szacowany na około 1700 - 1770 jednostek).

Rewolucja w szkolnych stołówkach. Nowe zasady żywienia już od września

Od 1 września w szkołach i przedszkolach zaczną obowiązywać nowe standardy żywienia. Przewidują obowiązek serwowania co najmniej jednej w pełni roślinnej potrawy w tygodniu przygotowanej na bazie nasion roślin strączkowych. W takim daniu nie mogą znajdować się produkty odzwierzęce - informuje piątkowa „Gazeta Wyborcza”.

Nie tylko szpitale. Każdy z nas produkuje odpady medyczne. Problem zaczyna się, gdy nie wiemy, co z nimi zrobić [Gość INFOR.PL]

Większość z nas nawet się nad tym nie zastanawia. Wacik po pobraniu krwi, zużyta igła po domowym zastrzyku, strzykawka po podaniu leku czy przeterminowane tabletki najczęściej trafiają do kosza na śmieci lub zalegają w domowej apteczce. Tymczasem są to odpady medyczne, które mogą stanowić zagrożenie dla ludzi i środowiska. O tym, dlaczego ich właściwa utylizacja jest tak ważna oraz jak nowoczesne technologie pozwalają odzyskiwać z nich energię, opowiada Krzysztof Rdest, prezes zarządu EMKA.

REKLAMA

Świadczenie "Za życiem" w 2026 roku. Jak odebrać 4000 zł i kto ma prawo do rządowego wsparcia?

Świadczenie "Za życiem" to jednorazowe wsparcie finansowe w wysokości 4000 zł przyznawane rodzinom bez względu na ich dochód. Pieniądze te przysługują z tytułu urodzenia żywego dziecka, u którego zdiagnozowano ciężkie i nieodwracalne upośledzenie albo nieuleczalną chorobę zagrażającą życiu, powstałe w prenatalnym okresie rozwoju lub w czasie porodu.

PPWR w praktyce. Największa zmiana w pakowaniu od dekad i 4 zasady, które warto wdrożyć

Już za niecały miesiąc, 12 sierpnia 2026 roku rozpocznie się szerokie stosowanie kluczowych przepisów unijnego rozporządzenia PPWR (Packagingand Packaging Waste Regulation) w sprawie opakowań i odpadów opakowaniowych. Dla e-commerce, handlu, logistyki, producentów i importerów nie będzie to kosmetyczna korekta przepisów. PPWR zmieni sposób, w jaki firmy powinny myśleć o całym procesie pakowania: od zakupu materiałów, przez magazynowanie, kompletację zamówień i transport, aż po recykling, oznakowanie oraz dokumentowanie zgodności.

Maksymalna stawka godzinowa lekarzy 240 zł brutto. Pomysł spotkał się z poruszeniem w branży

Czy maksymalna stawka godzinowa lekarzy na poziomie 240 zł brutto to dobry pomysł? Rozwiązanie Minister Zdrowia Jolanty Sobierańskiej-Grendy wywołał poruszenie w branży.

Nowe osiedla kontra upały. Gdzie szukać chłodu? Czy można kupić nowe mieszkanie z klimatyzacją?

Kupujący mieszkania zmieniają swoje priorytety. Dziś liczy się już nie tylko cena i lokalizacja, ale także komfort codziennego życia, możliwość pracy z domu, dostęp do zieleni oraz rozwiązania, które pomagają przetrwać coraz częstsze upały. Jak na te oczekiwania odpowiadają deweloperzy i jakie trendy będą kształtować nowe osiedla? Opowiada Jakub Sobczyński, Dyrektor Zarządzający Grupy Deweloperskiej Megapolis.

REKLAMA

MOPS będą świadczyły usługi opiekuńcze od 6.00 do 21.00. Wyjątkowo także w święta. W nocy nie, chyba że gmina podejmie uchwałę

Zmiany wprowadza nowy standard usług opiekuńczych. Ma formę rozporządzenia i wchodzi w życie 31 sierpnia 2026 r. W MOPS 7 rodzajów usług opiekuńcze mogą być świadczone na rzecz osób ich potrzebujących w różnych porach dnia i adekwatnie do występujących potrzeb przez 7 dni w tygodniu, w godzinach od 6:00 do 21:00, z wyłączeniem dni świątecznych. Nie ma opieki nocnej w ofercie typowego MOPS (gmina może wprowadzić to w indywidualnej ofercie). Ale w uzasadnionych przypadkach standard dopuszcza świadczenie usług w dni świąteczne. Jest więc na zasadzie wyjątku możliwe otrzymanie pomocy z MOPS w takie święta jak Wielkanoc.

Stacje kontroli pojazdów znowu w tarapatach - podwyżki cen przeglądów nie pomogły zadłużeniu

Podwyżka cen przeglądu technicznego do 149 zł miała uratować stacje kontroli pojazdów – ale wystarczyło kilka miesięcy, by długi branży znów poszły w górę. Na koniec kwietnia 2026 roku zaległe zadłużenie SKP wyniosło ponad 90,3 mln zł – o 2,2% więcej niż rok wcześniej. Z terminową spłatą zobowiązań ma problem 341 stacji w całym kraju. Co ten kryzys oznacza dla naszych portfeli?

Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA