Karol Nawrocki, kandydat Prawa i Sprawiedliwości na urząd Prezydenta Rzeczypospolitej, opublikował w mediach społecznościowych wyniki swojego testu narkotykowego, chcąc rozwiać wszelkie wątpliwości dotyczące swojej osoby. Choć intencje mogły być dobre, sposób, w jaki to zrobił, wywołał lawinę kontrowersji i obnażył potencjalne zagrożenia związane z publikacją danych osobowych w Internecie.
Ujawnione dane – pozornie zamazane, faktycznie dostępne
Na opublikowanym zdjęciu Nawrocki zamazał część danych – w tym numer PESEL i adres zamieszkania – ale pozostawił inne, równie istotne informacje, takie jak numer badania oraz datę urodzenia. Wydawać by się mogło, że to wystarczające zabezpieczenie. Jednak – jak się okazało – nie dla wszystkich.
Wcześniej, podczas konferencji dotyczącej kontrowersji wokół przejęcia przez Nawrockiego kawalerki od schorowanego emeryta, politycy PiS nieumyślnie ujawnili jego pełny numer PESEL. W połączeniu z nowymi danymi opublikowanymi przez samego kandydata, uzyskanie dostępu do jego konta w serwisie Diagnostyka.pl stało się… banalnie proste.
Ekspert bije na alarm: „To było bardzo nierozsądne”
O potencjalnych zagrożeniach wynikających z tej sytuacji ostrzega ekspert ds. cyberbezpieczeństwa, Adam Haertle. W rozmowie z dziennikarzem tłumaczył, jak pozornie niewinne działanie może prowadzić do poważnych konsekwencji.
– W przypadku pana Nawrockiego to zapoznanie się z wynikami badań, które i tak opublikował, ale być może dostęp do jego konta w innym serwisie diagnostycznym pokazałby wcześniejsze wyniki badań i całą historię danych medycznych. Więc to było bardzo nierozsądne – wyjaśnił ekspert.
Haertle nie krył zaniepokojenia – i słusznie. Historia zna wiele przypadków, w których niefrasobliwość użytkowników internetu kończyła się poważnymi stratami.
Publiczne dane to publiczne zagrożenie
Jak zauważa Haertle, pokazywanie jakiegokolwiek dokumentu w sieci niesie ze sobą ryzyko. Przykład? Zdjęcie biletu lotniczego opublikowane przed podróżą.
– Mieliśmy przypadki, że ktoś znany publikował podekscytowany przed podróżą zdjęcie swoich biletów lotniczych na przykład i tam, mając numer rezerwacji i nazwisko osoby, można wejść na taką rezerwację linii lotniczej i na przykład anulować ten bilet albo go przełożyć. I takie przypadki już w historii gdzieś się pojawiały, więc pokazywanie jakiegokolwiek dokumentu jest zawsze obarczone ryzykiem – dodał Haertle.
Dotyczy to zwłaszcza osób publicznych, które z racji pełnionych funkcji są szczególnie narażone na ataki hakerskie czy próby wyłudzenia informacji.
To nie tylko teoria – to rzeczywistość
Jak tłumaczy ekspert, informacje takie jak numer PESEL można łatwo zdobyć z publicznych źródeł. A jeśli dołożymy do tego datę urodzenia, numer badania czy inne dane osobowe – otrzymujemy pełny zestaw umożliwiający nieautoryzowany dostęp do kont w różnych systemach.
– Dane takie jak PESEL często można znaleźć w publicznych rejestrach. Połączenie ich z informacjami z innych źródeł może umożliwić nieautoryzowany dostęp do systemów. Łączenie takich informacji może mieć bardzo przykre konsekwencje – podkreśla Haertle.
Ekspert przypomina także, że niebezpieczne może być nawet publikowanie zdjęć kluczy do mieszkania.
– Niektórzy robią tak, gdy ich dziecko zgubi klucz. Fotografują swój klucz i na sąsiedzką grupę wrzucają prośbę o pomoc w znalezieniu podobnego klucza. Na podstawie fotografii złodziej może… dorobić klucze do mieszkania i okraść je – przestrzega Haertle.
Internauci ruszyli do akcji. Serwis zareagował blokadą
Po nagłośnieniu sprawy przez serwis Niebezpiecznik.pl, konto Karola Nawrockiego w serwisie Diagnostyka.pl zostało zablokowane. Najprawdopodobniej stało się to w wyniku wzmożonego zainteresowania ze strony internautów, którzy – mając komplet danych – próbowali zalogować się na konto polityka.
– Nie wiem, jakie są limity w serwisie Diagnostyki, natomiast na ich miejscu pewnie po trzech nieudanych czy też dziwnych próbach logowania z trzech różnych miejsc Polski w ciągu 5 minut też bym takie konto na wszelki wypadek blokował. Albo sami obserwują i sami zobaczyli ten wynik i podjęli taką decyzję, żeby ograniczyć ryzyko jakichś przykrych skutków dla pana Nawrockiego. To konto ręcznie zablokowali – ocenił Haertle.
Nie rekomendujemy pokazywania wyników swoich badań bez cenzury kodu zlecenia. W niektórych laboratoriach dzięki niemu (i łatwej do ustalenia dodatkowe danej) może być możliwe pobranie pełnych wyników badań pacjenta
Nie sprawdzaliśmy czy działa. Wy też nie sprawdzajcie, bo to… pic.twitter.com/XFU4gS99Ht
— Niebezpiecznik (@niebezpiecznik) May 27, 2025Refleksja na koniec: Czym płacimy za cyfrową transparentność?
Sprawa Karola Nawrockiego pokazuje, jak cienka jest granica między otwartością a narażeniem się na poważne zagrożenia. W dobie cyfryzacji każda publikacja danych osobowych – nawet niepełnych – może zostać wykorzystana przez osoby trzecie.
Publikując jakiekolwiek dokumenty, wyniki badań czy dane osobowe w mediach społecznościowych, warto pamiętać: internet nie zapomina, a pozorna przezroczystość może kosztować więcej, niż nam się wydaje.
Piszemy niezależnie dzięki Państwa wsparciu.
Jeżeli uważasz naszą pracę za wartościową — postaw nam kawę.
