ZUS naraził płatników na ujawnienie wrażliwych danych

Dopiero podczas minionego weekendu załatano poważną lukę w systemie PUE. Wspomniane uchybienie pozwalało na założenie konta osobie, której znaliśmy jedynie imię, nazwisko oraz numer PESEL. Dzięki czemu można było poznać cudze zarobki, dane osobowe, historię zatrudnienia, a nawet wysłać pismo do ZUS-u w nie swoim imieniu. 

(pue.zus.pl)

Lukę zauważył dwa miesiące temu czytelnik portalu Niebezpiecznik.pl - w lipcu zgłosił usterkę do serwisu, który następnie sprawdził sprawę. Okazało się, że błąd był poważny, jednak ZUS zabronił informować o tym innych, dopóki nie naprawią problemu. 

Milion Polaków narażonych na kradzież danych

W piątek pisaliśmy o planowanej przerwie technicznej i niedostępności portali ePUAP oraz PUE. Okazało się, że przyczyną przerwy jest naprawa błędu, która nastąpiła dopiero po dwóch miesiącach od zgłoszenia problemu.

Błąd w systemie polegał na tym, że oficjalne potwierdzenie konta PUE ZUS mogło zostać wykonane przez osobę inną niż faktyczny posiadacz konta - informuje serwis Niebezpiecznik.pl. Na potencjalny atak było narażonych 1 550 000 Polaków, którzy nie posiadali konta ani na ePUAP, ani na PUE ZUS. 

Serwis badający sprawę przedstawił, jak krok po kroku mógł przebiec atak:

  1. Założenie konta ofierze na ePUAP
  2. Wysłanie zaproszenia do administrowania nowym kontem do samego siebie (na konto ePUAP posiadające Profil Zaufany),
  3. Przyjęcie zaproszenia 
  4. Zalogowanie do PUE ZUS przez ePUAP i wybór tożsamości ofiary
  5. Założenie profilu na PUE ZUS i jego automatyczne zweryfikowanie przez konto powiązane z ePUAP posiadające Profil Zaufany  

Atak na PUE - możliwe skutki 

Oprócz poznania delikatnych danych Polaków, osoba z zewnątrz mogła dowiedzieć się następujących informacji: 

  • jakie wynagrodzenie otrzymywała dana osoba, bazując na wysokości składek opłacanych przez ZUS,
  • jakie OFE zostało wskazane i ile środków zdeponowano na koncie,
  • jakie zaświadczenia lekarskie zostały wystawione,
  • czy dana osoba pobiera zasiłek lub rentę .

Najbardziej niebezpieczną czynnością, jaką mogła wykonać osoba trzecia, było wysłanie pism do ZUS-u w czyimś imieniu, a także kontaktowanie się z nim bezpośrednio.

Długa interwencja ZUS

Mimo że o sprawie ZUS został poinformowany już pod koniec lipca, błąd został usunięty dopiero w miniony weekend. Serwis, który odkrył lukę niejednokrotnie kontaktował się z Zakładem Ubezpieczeń Społecznych oraz bezpośrednio z minister cyfryzacji Anną Streżyńską. 

ZUS regularnie obiecywał komentarz w tej sprawie, ale nie potwierdzał, że błąd został usunięty. Dopiero po interwencji minister cyfryzacji okazało się, że łatka czeka na wydzielenie Profilu Zaufanego. ZUS czekał na naprawę systemu po to, aby w tym samym momencie zsynchronizować go ze zmianami w ePUAP. O przesunięciu pierwotnego terminu nie zostało poinformowane nawet samo ministerstwo cyfryzacji. 

W tej chwili oba systemy działają poprawnie. 

Weronika Szkwarek

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
0 0 ~Haker

Przynajmniej niektóre projekty zus były tworzone przez podwykonawców zatrudniających pracowników na umowę o dzieło za śmieszne stawki. Sporo kasy szło na pośredników. Fachowiec w tym momencie nie będzie chciał robić takiego systemu, więc fuszerki mnie nie dziwią.

! Odpowiedz
0 0 ~miro

POkłosie działaności żolnierza ryżego mafioza, ryże nie bez przczyczyny ukrył raport NIK-u o bandyckiej działaności derdziuka

! Odpowiedz
0 0 ~Klamka667

DRAMAT!!! Tyle milionów na systemy informatyczne. Wszystko z naszych podatków. W kanał.

! Odpowiedz
0 0 ~ws

nie w kanał tylko do rodziny

! Odpowiedz
1 4 ~Marek

W innym kraju minister cyfryzacji podałby się do dymisji za coś takiego.

! Odpowiedz
0 0 ~cde

w ilu jeszcze koloniach istnieją takie fajne ministerstwa?

! Odpowiedz
5 5 ~lech

wszystkie urzedy panstwowe do likwidacji zus i krus itp pelna informatyzacja pieniadz cyfrowy jedno konto plus karta bezplatnie w banku jeden podatek rozliczany przez system bankowy

! Odpowiedz
1 11 ~polskigupek

zus = PATOLOGIA ! ! !

zus do likwidacji ! natychmiast i nieodwołalnie !! dla dobra Polski i Polaków !!!

ponad 46 000 nierobów ( specjaliści ) kosztuje nas rocznie ok.3 ,6 MILIARDA złotych ,

ja im mówię : dosyć okradania polskiego społeczeństwa !

! Odpowiedz
6 1 ~zez

Koszt utrzymania ZUS to kilka procent jego budżetu. Poza tym tacy jak ty gdy przychodzi starość pierwsi krzyczą, żeby państwo dało im godną emeryturę.

! Odpowiedz
0 4 ~szkoda_słów odpowiada ~zez

Raczej oddaje tylko w części i to z łachą a jak umrzesz przed określonym wiekiem to zostawiają sobie wszystko w prezencie.

! Odpowiedz

Kalendarium przedsiębiorcy

  • Rozliczenie podatku od towarów i usług za poprzedni miesiąc - VAT 7.

    Podatnicy podatku akcyzowego rozliczają akcyzę.

Kalkulator odsetek

Aby obliczyć wartość odsetek, podaj kwotę zaległości oraz zakres dat.

? Odsetki ustawowe nalicza się od dnia, gdy zobowiązanie staje się wymagalne. Jeżeli spłata miała nastąpić 10-tego, to odsetki naliczane są od 11-tego.
? Data kiedy zobowiązanie będzie regulowane. Jeżeli przypada na dzień ustawowo wolny od pracy, to należy wpisać datę pierwszego kolejnego dnia roboczego.
? Stawkę obniżoną do wysokości 75% stawki podstawowej stosuje się tylko do zaległości powstałych po 1 stycznia 2009 roku. Odsetki w obniżonej stawce pobiera się, gdy podatnik złoży korektę zeznania i w ciągu 7 dni od niej wpłaci zaległość.