Przeglądając dziś zasoby witryny UM Legionowo (legionowo.pl) natrafiłem na zakładkę „e-urząd”. Jako, że staram się załatwiać większość spraw poprzez Internet (ach te e-usługi 
, postanowiłem czym prędzej skorzystać z nowej e-oferty UM.
Po kliknięciu w e-urząd ujrzałem stronę pytająca czy mam certyfikat kwalifikowany, zgodnie z prawdą odpowiedziałem, że tak (poprzez kliknięcie rzecz jasna . W tym momencie przeglądarka ucieka do jakiejś przypadkowej domeny (portal.madkom.pl – co to u licha jest).
Po ochłonięciu klikam w „Załatw sprawę”. Ukazuje mi się strona stwierdzająca, że muszę przejść do „Cyfrowego Urzędu” (to gdzie u licha do tej pory byłem). Więc jeśli mam przejść to przechodzę do tego urzędu. Ukazuje mi się nowa strona w kolejnej dziwnej domenie „culegionowo.madkom.pl” – i kolejny szok – rzeczona strona ma dziwny certyfikat!
Taki błąd zakrawa już o głupotę administratorów ponieważ certyfikat nie zawiera nazwy instytucji, na która został wystawiony, więc nie sposób sprawdzić, kto faktycznie widzi nasze dane!!! Drugie zaskoczenie – wystawcą certyfikatu jest GoDaddy – certyfikaty tej firmy może kupić sobie każdy, na każde dane, mogą być wykorzystywane do ochrony małych e-sklepów, ale przenigdy do serwisów typu e-urząd. W tego usługach należny bezwzględnie wykorzystywać certyfikaty, przy których centrum certyfikujące kilku stopniowo weryfikuje instytucję, na która certyfikat jest wystawiony.
Kolejną gigantyczną wtopą legionowskiego e-urzędu jest złamanie przepisów ustawy o ochronie danych osobowych. Witryna wymaga podania szczegółowych danych, wymaga wyrażenia zgody na ich przetwarzanie. Dodatkowo, niby przypadkiem, wymusza wyrażenie zgody na wykorzystanie tychże danych do celów marketingowych, bądź odstąpienie do ich innemu administratorowi danych. Natomiast strona w żaden sposób nie informuje, kto jest administratorem danych osobowych. Nie wiadomo, czy danymi administruje UM, czy tez firma, która w kuriozalny sposób hostuje usługę.
Więc e-urząd Legionowo zawiera następujące błędy:
- nie wiadomo, kto prowadzi usługę (domeny)
- błędny certyfikat strony!
- brak określenia kto jest administratorem danych osobowych.
Cóż wygląda na to, że Urząd Miasta Legionowo zaś zafundował mieszkańcom e-urząd zrobiony za grube pieniądze w sposób nadający się dla phisherów! (internetowych złodziei tożsamości).
Rysunek pokazuje, że na stronie zapomniano podać kto administruje danymi osobowymi.
[...] Przy dokładniejszej analizie wyniku dodawania numeru telefonu do usługi SMS okazuje się, że po raz kolejny miasto przekazuje nasze dane przypadkowym osobom, w ogóle nas to tym nie informując – otóż dane naszych telefonów trafiają do p. Barana z Parkowej w Legionowie. (pierwszy raz problem z bezprawnym przekazywaniem danych opisywaliśmy tutaj: Mega wpadka z e-urzędem). [...]