20

Niebezpiecznik wykrył poważną lukę w systemie ZUS. To przerażające, jak łatwo było wykraść dane

Niebezpiecznik odznaczył się genialną postawą obywatelską, a przy okazji przedstawił nam, jak bardzo dużo jest do zrobienia pod kątem bezpieczeństwa państwowych systemów informatycznych. Okazało się, że w Platformie Usług Elektronicznych odnaleziono bardzo poważny błąd, który mógł spowodować ogromny wyciek danych. Na szczęście, nie ma żadnych dowodów na to, że ktokolwiek posłużył się tym sposobem na wyciągnięcie newralgicznych informacji z systemu.

Metoda ataku zaprezentowana przez serwis Niebezpiecznik pozwalała na uzyskanie dostępu do szczegółowych danych osobowych, historii zatrudnienia, zarobków, składek oraz świadczeń. Błąd wykryto 2 miesiące temu i niezwłocznie poinformowano o tym urząd. Polegał on na tym, że przy minimum danych o płatniku w ZUS, można było założyć konto bez wiedzy osoby, której właściwie ono dotyczy. Blog wskazuje na to, że mimo wysłanego sygnału, łatanie dziury trwało bardzo długo, co narażało podatników na możliwy wyciek.

ZUS

Niebezpiecznik w osobnej publikacji na temat porady, jak uniknąć otrzymywania pism od ZUS z newralgicznymi danymi zwykłą korespondencją. Wtedy też polecono założyć konto właśnie w platformie PUE ZUS – to zaś skutecznie uniemożliwiało wykorzystanie luki przez osobę trzecią. Utworzenie konta w PUE ZUS wymaga potwierdzenia w ePUAP za pomocą Profilu Zaufanego, jednak wynikła luka pozwalała na weryfikacji przez osobę do tego nieuprawnioną. Dodatkowo, fakt niskiej popularności ePUAP powoduje, że wiele osób było narażonych na przejęcie ich danych.

Kiedy już „założono” konto w ePUAP danej osobie, wystarczyło wysłać zaproszenie do administrowania nim osobie, która posiadała Profil Zaufany. Potem można było swobodnie zalogować się do PUE ZUS i mieć dostęp do danych.

Wpis na Niebezpieczniku dotyczy jednak również korespondencji z urzędem na temat tej luki i jak już się dowiedzieliście, jej łatanie bardzo przeciągnęło się w czasie. Wydaje się, że sprawa tuż po jej zgłoszeniu – mimo zrozumienia urzedników – nie uzyskała wystarczająco wysokiego priorytetu i przez 2 miesiące od jej ujawnienia ryzykowano, że dane obywateli wyfruną. To zaś w bardzo przykry sposób ujawnia nam prawdę o tym, jak dobrze zabezpieczone są nasze dane. Posiadanie dostępu do takich danych pozwalało nie tylko na dalsze ich użycie, ale także na spreparowanie przez osoby nieuprawnione korespondencję z ZUS, co jednak i przez Niebezpiecznik zostało uznane za mało prawdopodobne z powodu wysokiego ryzyka wykrycia procederu. Jednak, fakt istnienia luki, a także opieszałość urzędu we wdrożeniu poprawki wskazuje nam jasno, że systemami państwowymi jest naprawdę coś nie tak, a sprawa z PESEL-ami mogła być poważniejsza, niż nam się wydaje i niż to później doprecyzowano. Sytuację genialnie wyczuł Maciej, który napisał tekst o tym, że nie warto brać za pewnik oświadczeń o tym, że „nic się nie stało”.

Grafika: 1, 2