ZUS naraził płatników na ujawnienie wrażliwych danych

2016-09-14 09:50
publikacja
2016-09-14 09:50
materiały dla mediów

Dopiero podczas minionego weekendu załatano poważną lukę w systemie PUE. Wspomniane uchybienie pozwalało na założenie konta osobie, której znaliśmy jedynie imię, nazwisko oraz numer PESEL. Dzięki czemu można było poznać cudze zarobki, dane osobowe, historię zatrudnienia, a nawet wysłać pismo do ZUS-u w nie swoim imieniu. 

/ pue.zus.pl

Lukę zauważył dwa miesiące temu czytelnik portalu Niebezpiecznik.pl - w lipcu zgłosił usterkę do serwisu, który następnie sprawdził sprawę. Okazało się, że błąd był poważny, jednak ZUS zabronił informować o tym innych, dopóki nie naprawią problemu. 

Milion Polaków narażonych na kradzież danych

W piątek pisaliśmy o planowanej przerwie technicznej i niedostępności portali ePUAP oraz PUE. Okazało się, że przyczyną przerwy jest naprawa błędu, która nastąpiła dopiero po dwóch miesiącach od zgłoszenia problemu.

Błąd w systemie polegał na tym, że oficjalne potwierdzenie konta PUE ZUS mogło zostać wykonane przez osobę inną niż faktyczny posiadacz konta - informuje serwis Niebezpiecznik.pl. Na potencjalny atak było narażonych 1 550 000 Polaków, którzy nie posiadali konta ani na ePUAP, ani na PUE ZUS. 

Serwis badający sprawę przedstawił, jak krok po kroku mógł przebiec atak:

  1. Założenie konta ofierze na ePUAP
  2. Wysłanie zaproszenia do administrowania nowym kontem do samego siebie (na konto ePUAP posiadające Profil Zaufany),
  3. Przyjęcie zaproszenia 
  4. Zalogowanie do PUE ZUS przez ePUAP i wybór tożsamości ofiary
  5. Założenie profilu na PUE ZUS i jego automatyczne zweryfikowanie przez konto powiązane z ePUAP posiadające Profil Zaufany  

Atak na PUE - możliwe skutki 

Oprócz poznania delikatnych danych Polaków, osoba z zewnątrz mogła dowiedzieć się następujących informacji: 

  • jakie wynagrodzenie otrzymywała dana osoba, bazując na wysokości składek opłacanych przez ZUS,
  • jakie OFE zostało wskazane i ile środków zdeponowano na koncie,
  • jakie zaświadczenia lekarskie zostały wystawione,
  • czy dana osoba pobiera zasiłek lub rentę .

Najbardziej niebezpieczną czynnością, jaką mogła wykonać osoba trzecia, było wysłanie pism do ZUS-u w czyimś imieniu, a także kontaktowanie się z nim bezpośrednio.

Długa interwencja ZUS

Mimo że o sprawie ZUS został poinformowany już pod koniec lipca, błąd został usunięty dopiero w miniony weekend. Serwis, który odkrył lukę niejednokrotnie kontaktował się z Zakładem Ubezpieczeń Społecznych oraz bezpośrednio z minister cyfryzacji Anną Streżyńską. 

ZUS regularnie obiecywał komentarz w tej sprawie, ale nie potwierdzał, że błąd został usunięty. Dopiero po interwencji minister cyfryzacji okazało się, że łatka czeka na wydzielenie Profilu Zaufanego. ZUS czekał na naprawę systemu po to, aby w tym samym momencie zsynchronizować go ze zmianami w ePUAP. O przesunięciu pierwotnego terminu nie zostało poinformowane nawet samo ministerstwo cyfryzacji. 

W tej chwili oba systemy działają poprawnie. 

Weronika Szkwarek

Źródło:
Tematy
Konto osobiste Banku Millennium 360° i 360° Junior w promocji z premią do 290 zł!

Konto osobiste Banku Millennium 360° i 360° Junior w promocji z premią do 290 zł!

Komentarze (25)

dodaj komentarz
~Haker
Przynajmniej niektóre projekty zus były tworzone przez podwykonawców zatrudniających pracowników na umowę o dzieło za śmieszne stawki. Sporo kasy szło na pośredników. Fachowiec w tym momencie nie będzie chciał robić takiego systemu, więc fuszerki mnie nie dziwią.
~miro
POkłosie działaności żolnierza ryżego mafioza, ryże nie bez przczyczyny ukrył raport NIK-u o bandyckiej działaności derdziuka
~Klamka667
DRAMAT!!! Tyle milionów na systemy informatyczne. Wszystko z naszych podatków. W kanał.
~ws
nie w kanał tylko do rodziny
~Marek
W innym kraju minister cyfryzacji podałby się do dymisji za coś takiego.
~cde
w ilu jeszcze koloniach istnieją takie fajne ministerstwa?
~lech
wszystkie urzedy panstwowe do likwidacji zus i krus itp pelna informatyzacja pieniadz cyfrowy jedno konto plus karta bezplatnie w banku jeden podatek rozliczany przez system bankowy
~polskigupek
zus = PATOLOGIA ! ! !

zus do likwidacji ! natychmiast i nieodwołalnie !! dla dobra Polski i Polaków !!!

ponad 46 000 nierobów ( specjaliści ) kosztuje nas rocznie ok.3 ,6 MILIARDA złotych ,

ja im mówię : dosyć okradania polskiego społeczeństwa !
~zez
Koszt utrzymania ZUS to kilka procent jego budżetu. Poza tym tacy jak ty gdy przychodzi starość pierwsi krzyczą, żeby państwo dało im godną emeryturę.
~szkoda_słów odpowiada ~zez
Raczej oddaje tylko w części i to z łachą a jak umrzesz przed określonym wiekiem to zostawiają sobie wszystko w prezencie.

Powiązane

Polecane

Najnowsze

Popularne

Ważne linki