wybory mobywatel mc coi
potrzebujesz 5 minut na przeczytanie

Dokonano złych wyborów

W nadchodzących wyborach prezydenckich zdecydowano się dopuścić mObywatela jako dokument potwierdzający tożsamość wyborców. Dokonano jednak złych decyzji i procedura jest nieszczelna. Wyciekły kluczowe informacje, których tajność miała zapewnić bezpieczeństwo procesu.
Dokonano złych wyborów
potwierdzanie tożsamości mObywatelem podczas wyborów, źródło: pexels/Element5 Digital + Depositphotos/mindea

Spis treści

  1. Przepychanka przedwyborcza
  2. Kod QR, odwrotnie
  3. Wyciek materiałów
  4. Jak doszło do wycieku?
  5. Masowe fałszowanie wyborów
  6. Czy mObywatel jest bezpieczny?

Sprawę nagłaśniamy, ponieważ dyskusja na temat opisywanych poniżej zagadnień przetacza się obecnie przez społeczności przestępcze. Jeżeli przestępcy posiadają taką wiedzę, zwykli obywatele również powinni nią dysponować.

W przestrzeni publicznej od wielu miesięcy omawiany jest mObywatel. To trudne dziecko, które żeby nie sprawiało problemów, wymaga poświęcania mu dużej uwagi. Pomimo posiadania sprawdzonego mechanizmu kryptograficznego opartego o kody QR, Ministerstwo Cyfryzacji w oficjalnych komunikatach proponowało weryfikację dowodu osobistego wyświetlanego w aplikacji wizualnie - na oko. Dodatkowo, na czarnym rynku w cenie kilkudziesięciu złotych można nabyć fałszywą aplikację mObywatel, pozwalającą wprowadzić dowolne dane w dowodzie. Wykorzystują to m.in. młodzi ludzie w celu zakupu alkoholu i wyrobów tytoniowych.

Ale my nie o tym - doczytaj proszę do końca

reklama fałszywego mObywatela reklama fałszywego mObywatela, źródło: demagog.org.pl

Przepychanka przedwyborcza

Czy zamiast plastikowego dowodu można używać mObywatela podczas wyborów prezydenckich? Chociaż temat nie jest oczywisty, bardzo dobrze streścił go demagog.

W skrócie: podczas poprzednich wyborów komisje wyborcze sprawdzały autentyczność aplikacji mObywatel, weryfikując jedynie jej wizualne zabezpieczenia, takie jak falująca flaga i aktualna godzina. Jednak te są niewystarczające - “fakeObywatel” dokładnie je odwzorowuje. W tym roku minister cyfryzacji wprowadził nową metodę - wyborca miał wyświetlać dokument w aplikacji po zeskanowaniu kodu QR otrzymanego od członka komisji. Pełnomocnik komitetu Marka Jakubiaka zaskarżył te wytyczne, wskazując, że procedura z kodem QR nie jest przewidziana w prawie i jest nieprzejrzysta. PKW odrzuciła zarzuty, podkreślając, że potwierdzanie tożsamości przez mObywatela jest zgodne z ustawą i nie ma obowiązku użycia kodu QR - komisje mogą nadal korzystać z wizualnych zabezpieczeń. Sąd Najwyższy uznał, że korzystanie z mObywatela jest dopuszczalne, ale wytyczne powinny być jaśniejsze, i zalecił PKW ich uzupełnienie o szczegółowe instrukcje. W odpowiedzi PKW zaktualizowała wytyczne: komisje mogą potwierdzać tożsamość na podstawie aplikacji mObywatel, a przy weryfikacji kodem QR członek komisji musi dodatkowo sprawdzić wizualne zabezpieczenia, jak zgodność godziny.

Kod QR, odwrotnie

Podczas nadchodzących wyborów prezydenckich zastosowana więc będzie następująca opcjonalna metoda weryfikacji wyborcy: musi on zeskanować wydrukowany przez komisję, stały dla danej placówki, kod QR. Następnie na jego telefonie wyświetlą się jego dane osobowe, które wizualnie zostaną zweryfikowane przez członka komisji. Problem z tym rozwiązaniem był wielokrotnie krytykowany przez m.in. specjalistów z branży bezpieczeństwa, w tym Mateusza Chroboka

Czyli pewnie niemożliwe jest że ktoś pójdzie rano, nagra ekran. Potem zbuduje apkę która wygląda dokładnie tak samo po zeskanowaniu dowolnego qr jak prawdziwa apka mobywatel co poskutkuje oszustwem. Mam nadzieje że to moje daleko posunięte czarnowidztwo które wzmacniane jest przez wprowadzanie tajemnicy. Nie tak sie buduje bezpieczne rozwiązania. Transparentność pomaga budować zaufanie do metody a tym samym do weryfikacji tożsamości i wyborów.
x.com/Mateusz Chrobok


Jest to sytuacja hipotetyczna, ciężka do wykonania na dużą skalę. Szanse na zły rozwój wydarzeń wzrosłyby w przypadku wycieku wzoru planszy z danymi osobowymi jeszcze przed wyborami, co powoliłoby przygotować aktualizację fałszywego mObywatela, dopasowaną do oczekiwań komisji wyborczej. A informacje te faktycznie wyciekły.

Wyciek materiałów

W zeszły czwartek (08.05.2025) w biuletynie informacji publicznej urzędu jednego z miast pojawiły się dwa zaskakujące dokumenty. Jeden z nich to pismo z PKW skierowane do przewodniczących Okręgowych Komisji Wyborczych, wyjaśniające podstawy prawne i skrócone instrukcje weryfikacji wyborców za pomocą mObywatela.

Drugi dokument to dłuższa broszura informacyjna skierowana do członków komisji. W tym dokumencie zapisano następujące instrukcje:

klauzula zakazująca rozpowszechniania informacji poza KBW klauzula zakazująca rozpowszechniania informacji poza komisje wyborcze

W dokumencie tym zapisane zostały dokładne instrukcje dla członków komisji wyborczych, wyjaśniające procedurę potwierdzania tożsamości.

wygląd planszy z danymi osobowymi nieocenzurowany widok planszy z danymi osobowymi

Informacje te, przed naszą cenzurą, są wystarczające do stworzenia fałszywej planszy. W dokumencie również znajdują się dokładne instrukcje opisujące na co członek komisji powinien zwrócić uwagę podczas weryfikacji.

Jak doszło do wycieku?

Kulisy publikacji tych dokumentów nie są nam znane, jednak wiemy, kto i kiedy wrzucił je na BIP.

data publikacji i nazwiska autorów publikacji data publikacji i nazwiska autorów publikacji

Masowe fałszowanie wyborów

Niezależnie od wyników wyborów, ponad połowa obywateli Polski będzie z nich niezadowolona. Z pewnością zostaną podniesione głosy, że zostały one sfałszowane. Jednak użycie opisywanego wyżej scenariusza (fałszywy mObywatel wystawiony na cudze dane) do przeprowadzenia masowych fałszerstw jest niezwykle trudny do zrealizowania i bardzo mało realny.

Dodatkowo, osoba podejmująca się przeprowadzenia takiej operacji, musiałaby pozyskać dane osobowe wielu Polaków wraz z informacją w jakiej komisji wyborczej jest zarejestrowana. Przychodzi nam do głowy kilka źródeł, skąd dowolna osoba może pozyskać takie dane, jednak temat ten wykracza poza zakres niniejszego artykułu.

Czy mObywatel jest bezpieczny?

Pierwsza wersja mObywatela była owocem pracy czterech studentów, weekendowym przedsięwzięciem. Później jednak do rozwoju aplikacji włączono poważne środki i w tej chwili jest ona dojrzałym i poprawnie wykonanym projektem. Aplikacja ta rozwija się od 2016 roku.

ogłoszenie dotyczące wyników konkursu weekendowego (hakaton), zwyciężył mObywatel pierwsza wersja dzisiejszego mObywatela

W obecnej wersji aplikacji zaimplementowany jest kod QR, służący do kryptograficznej weryfikacji autentyczności dokumentów cyfrowych takich jak mDowód osobisty. Proces wygląda następująco:

  • Osoba, której tożsamość ma zostać potwierdzona, wybiera w aplikacji opcję „Potwierdź swoje dane” i generuje kod QR lub sześciocyfrowy kod liczbowy.
  • Osoba weryfikująca (np. urzędnik, sprzedawca) skanuje ten kod QR swoim urządzeniem (może to być smartfon z aplikacją mObywatel lub komputer z przeglądarką na stronie weryfikator.mobywatel.gov.pl).
  • Po zeskanowaniu kodu osoba okazująca dokument widzi, jakie dane mają być przekazane i musi je zatwierdzić.
  • Dane wyświetlają się na urządzeniu weryfikującym tylko przez chwilę i nie są na nim zapisywane.

Cały proces opiera się na połączeniu z oficjalnym rejestrem państwowym. Dzięki temu osoba sprawdzająca ma gwarancję, że dane są prawdziwe i pochodzą z zaufanego źródła, a sam dokument nie jest podrobiony. Kod QR nie zawiera wszystkich danych, ale jest kluczem do ich pobrania w czasie rzeczywistym z rejestru. Jest to sposób prosty, skuteczny i bezpieczny - opiera się o uznane standardy kryptograficzne.

Jednak wielu ludzi jest leniwych i weryfikuje dane jedynie wizualnie. Ministerstwa Cyfryzacji, które dopuszcza taką procedurę i uznaje ją za skuteczną oraz bezpieczną, nie pomaga. Choć moglibyśmy z mObywatela pozbyć się zupełnie funkcji wyświetlania danych osobowych, zostawiając jedynie kod QR, ludzie i tak będą chodzić swoimi ścieżkami.

ograniczenie dla rowerów na chodniku, wydeptana ścieżka wokół niego banalne obejście zabezpieczeń, źródło: reddit.com

Powiązane

Zobacz inne wpisy oznaczone jako wybory