Dopiero podczas minionego weekendu załatano poważną lukę w systemie PUE. Wspomniane uchybienie pozwalało na założenie konta osobie, której znaliśmy jedynie imię, nazwisko oraz numer PESEL. Dzięki czemu można było poznać cudze zarobki, dane osobowe, historię zatrudnienia, a nawet wysłać pismo do ZUS-u w nie swoim imieniu.
Lukę zauważył dwa miesiące temu czytelnik portalu Niebezpiecznik.pl - w lipcu zgłosił usterkę do serwisu, który następnie sprawdził sprawę. Okazało się, że błąd był poważny, jednak ZUS zabronił informować o tym innych, dopóki nie naprawią problemu.
Milion Polaków narażonych na kradzież danych
W piątek pisaliśmy o planowanej przerwie technicznej i niedostępności portali ePUAP oraz PUE. Okazało się, że przyczyną przerwy jest naprawa błędu, która nastąpiła dopiero po dwóch miesiącach od zgłoszenia problemu.
Błąd w systemie polegał na tym, że oficjalne potwierdzenie konta PUE ZUS mogło zostać wykonane przez osobę inną niż faktyczny posiadacz konta - informuje serwis Niebezpiecznik.pl. Na potencjalny atak było narażonych 1 550 000 Polaków, którzy nie posiadali konta ani na ePUAP, ani na PUE ZUS.
Serwis badający sprawę przedstawił, jak krok po kroku mógł przebiec atak:
- Założenie konta ofierze na ePUAP
- Wysłanie zaproszenia do administrowania nowym kontem do samego siebie (na konto ePUAP posiadające Profil Zaufany),
- Przyjęcie zaproszenia
- Zalogowanie do PUE ZUS przez ePUAP i wybór tożsamości ofiary
- Założenie profilu na PUE ZUS i jego automatyczne zweryfikowanie przez konto powiązane z ePUAP posiadające Profil Zaufany
Atak na PUE - możliwe skutki
Oprócz poznania delikatnych danych Polaków, osoba z zewnątrz mogła dowiedzieć się następujących informacji:
- jakie wynagrodzenie otrzymywała dana osoba, bazując na wysokości składek opłacanych przez ZUS,
- jakie OFE zostało wskazane i ile środków zdeponowano na koncie,
- jakie zaświadczenia lekarskie zostały wystawione,
- czy dana osoba pobiera zasiłek lub rentę .
Najbardziej niebezpieczną czynnością, jaką mogła wykonać osoba trzecia, było wysłanie pism do ZUS-u w czyimś imieniu, a także kontaktowanie się z nim bezpośrednio.
Długa interwencja ZUS
Mimo że o sprawie ZUS został poinformowany już pod koniec lipca, błąd został usunięty dopiero w miniony weekend. Serwis, który odkrył lukę niejednokrotnie kontaktował się z Zakładem Ubezpieczeń Społecznych oraz bezpośrednio z minister cyfryzacji Anną Streżyńską.
ZUS regularnie obiecywał komentarz w tej sprawie, ale nie potwierdzał, że błąd został usunięty. Dopiero po interwencji minister cyfryzacji okazało się, że łatka czeka na wydzielenie Profilu Zaufanego. ZUS czekał na naprawę systemu po to, aby w tym samym momencie zsynchronizować go ze zmianami w ePUAP. O przesunięciu pierwotnego terminu nie zostało poinformowane nawet samo ministerstwo cyfryzacji.
W tej chwili oba systemy działają poprawnie.
Weronika Szkwarek
