ZUS naraził płatników na ujawnienie wrażliwych danych

Dopiero podczas minionego weekendu załatano poważną lukę w systemie PUE. Wspomniane uchybienie pozwalało na założenie konta osobie, której znaliśmy jedynie imię, nazwisko oraz numer PESEL. Dzięki czemu można było poznać cudze zarobki, dane osobowe, historię zatrudnienia, a nawet wysłać pismo do ZUS-u w nie swoim imieniu. 

(pue.zus.pl)

Lukę zauważył dwa miesiące temu czytelnik portalu Niebezpiecznik.pl - w lipcu zgłosił usterkę do serwisu, który następnie sprawdził sprawę. Okazało się, że błąd był poważny, jednak ZUS zabronił informować o tym innych, dopóki nie naprawią problemu. 

Milion Polaków narażonych na kradzież danych

W piątek pisaliśmy o planowanej przerwie technicznej i niedostępności portali ePUAP oraz PUE. Okazało się, że przyczyną przerwy jest naprawa błędu, która nastąpiła dopiero po dwóch miesiącach od zgłoszenia problemu.

Błąd w systemie polegał na tym, że oficjalne potwierdzenie konta PUE ZUS mogło zostać wykonane przez osobę inną niż faktyczny posiadacz konta - informuje serwis Niebezpiecznik.pl. Na potencjalny atak było narażonych 1 550 000 Polaków, którzy nie posiadali konta ani na ePUAP, ani na PUE ZUS. 

Serwis badający sprawę przedstawił, jak krok po kroku mógł przebiec atak:

  1. Założenie konta ofierze na ePUAP
  2. Wysłanie zaproszenia do administrowania nowym kontem do samego siebie (na konto ePUAP posiadające Profil Zaufany),
  3. Przyjęcie zaproszenia 
  4. Zalogowanie do PUE ZUS przez ePUAP i wybór tożsamości ofiary
  5. Założenie profilu na PUE ZUS i jego automatyczne zweryfikowanie przez konto powiązane z ePUAP posiadające Profil Zaufany  

Atak na PUE - możliwe skutki 

Oprócz poznania delikatnych danych Polaków, osoba z zewnątrz mogła dowiedzieć się następujących informacji: 

  • jakie wynagrodzenie otrzymywała dana osoba, bazując na wysokości składek opłacanych przez ZUS,
  • jakie OFE zostało wskazane i ile środków zdeponowano na koncie,
  • jakie zaświadczenia lekarskie zostały wystawione,
  • czy dana osoba pobiera zasiłek lub rentę .

Najbardziej niebezpieczną czynnością, jaką mogła wykonać osoba trzecia, było wysłanie pism do ZUS-u w czyimś imieniu, a także kontaktowanie się z nim bezpośrednio.

Długa interwencja ZUS

Mimo że o sprawie ZUS został poinformowany już pod koniec lipca, błąd został usunięty dopiero w miniony weekend. Serwis, który odkrył lukę niejednokrotnie kontaktował się z Zakładem Ubezpieczeń Społecznych oraz bezpośrednio z minister cyfryzacji Anną Streżyńską. 

ZUS regularnie obiecywał komentarz w tej sprawie, ale nie potwierdzał, że błąd został usunięty. Dopiero po interwencji minister cyfryzacji okazało się, że łatka czeka na wydzielenie Profilu Zaufanego. ZUS czekał na naprawę systemu po to, aby w tym samym momencie zsynchronizować go ze zmianami w ePUAP. O przesunięciu pierwotnego terminu nie zostało poinformowane nawet samo ministerstwo cyfryzacji. 

W tej chwili oba systemy działają poprawnie. 

Weronika Szkwarek

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
0 0 ~Haker

Przynajmniej niektóre projekty zus były tworzone przez podwykonawców zatrudniających pracowników na umowę o dzieło za śmieszne stawki. Sporo kasy szło na pośredników. Fachowiec w tym momencie nie będzie chciał robić takiego systemu, więc fuszerki mnie nie dziwią.

! Odpowiedz
0 0 ~miro

POkłosie działaności żolnierza ryżego mafioza, ryże nie bez przczyczyny ukrył raport NIK-u o bandyckiej działaności derdziuka

! Odpowiedz
0 0 ~Klamka667

DRAMAT!!! Tyle milionów na systemy informatyczne. Wszystko z naszych podatków. W kanał.

! Odpowiedz
0 0 ~ws

nie w kanał tylko do rodziny

! Odpowiedz
1 4 ~Marek

W innym kraju minister cyfryzacji podałby się do dymisji za coś takiego.

! Odpowiedz
0 0 ~cde

w ilu jeszcze koloniach istnieją takie fajne ministerstwa?

! Odpowiedz
5 5 ~lech

wszystkie urzedy panstwowe do likwidacji zus i krus itp pelna informatyzacja pieniadz cyfrowy jedno konto plus karta bezplatnie w banku jeden podatek rozliczany przez system bankowy

! Odpowiedz
1 11 ~polskigupek

zus = PATOLOGIA ! ! !

zus do likwidacji ! natychmiast i nieodwołalnie !! dla dobra Polski i Polaków !!!

ponad 46 000 nierobów ( specjaliści ) kosztuje nas rocznie ok.3 ,6 MILIARDA złotych ,

ja im mówię : dosyć okradania polskiego społeczeństwa !

! Odpowiedz
6 1 ~zez

Koszt utrzymania ZUS to kilka procent jego budżetu. Poza tym tacy jak ty gdy przychodzi starość pierwsi krzyczą, żeby państwo dało im godną emeryturę.

! Odpowiedz
0 4 ~szkoda_słów odpowiada ~zez

Raczej oddaje tylko w części i to z łachą a jak umrzesz przed określonym wiekiem to zostawiają sobie wszystko w prezencie.

! Odpowiedz
1 3 ~Piotr

Cały ZUS. Może współpraca z Polską Akademią Nauk wyjdzie mu na dobre?
http://bezkompleksow.com.pl/2016/09/06/zus-i-pan-beda-prowadzic-wspolne-prace-badawczo-naukowe-chca-tez-ksztalcic-w-zakresie-ubezpieczen-spolecznych/

! Odpowiedz
1 5 ~hmm

Kolejna medialna manipulacja, szkoda że ww. „wpisowicze” od razu wpadają w kłótnię typu PO – PIS.
Jak wół napisane jest, że żeby „skorzystać z luki” należy zalogować się przez profil zaufany, a dopiero później kojarzyć swoje konto z nową tożsamością, czyli nie ma tu szansy na wyciek danych milionów Polaków, tylko ew. na pojedyncze incydenty „zorientowanych dzieciaków”, których można łatwo namierzyć.

Pokaż cały komentarz ! Odpowiedz
0 4 ~noe

Zgadzam się. Jak zakładałem konto na ePUAP, to musiałem potwierdzić swoją tożsamość osobiście w Urzędzie Skarbowym.

! Odpowiedz
0 2 ~GGG

To faktycznie wszystko zmienia;-) System kosztujący miliardy złotych jest niezabezpieczony na wypadek "zorientowanych dzieciaków", które można łatwo namierzyć. Mówimy o niewyobrażalnych kwotach oraz niewyobrażalnej niekompetencji. Sam fakt, że nie potrzeba podpisu kwalifikowanego jest wg mnie kosmiczny, ale brak zabezpieczenia przy uzyskaniu podpisu "zaufanego" to już Bareja. Pewnie podczas wypełniania wniosku o przyznanie tego podpisu należało oświadczyć, że "ja to ja" pod groźbą wielu sankcji;-) Ciekawe co by mówiło GIODO gdyby jakiś przedsiębiorca tak zabezpieczył informacje klientów - pewnie kara "do 10prc przychodów z zeszłego roku".

Pokaż cały komentarz ! Odpowiedz
0 1 ~GGG odpowiada ~noe

US i ZUS to dwie różne instytucje działające samodzielnie. Jak złożysz coś w US to dotyczy US. Do ZUSu nie szedłeś bo nie trzeba.

! Odpowiedz
0 0 ~noe odpowiada ~GGG

Ja piszę o koncie na ePUAP, które jest potrzebne do zalogowania do ZUSu. Jeśli nie potwierdzisz swojej tożsamości, to nie założą konta. Poza tym nie pisałem, że konto ePUAP jest do US. Tam po prostu miałem się zgłosić z dowodem, żeby sprawdzili, że ja to ja. e PUAP jest ogólnie do instytucji różnego rodzaju.

! Odpowiedz
1 1 ~kakaka

Do DKJ

Nie wiem czy nie zauważyłeś, ale teraz rządzi pis. Po swoje spieprzylo, ale jak teraz masz coś obwiniać, to obwiniaj władze która aktualnie rządzi.

! Odpowiedz
1 3 ~nn

ZUS płaci rocznie za systemy 800 mln zł. Skala marnotrastwa przeraża. Tyle płacą miesięcznie WSZYSCY polscy przedsiębiorcy...

! Odpowiedz
0 0 ~Fan

To nie ZUS, to konkretna osoba podjela decyzje o opoznieniu poprawki. Prosze podac do publicznej wiadomosci Imie i Nazwisko osoby do ktorej nalezy kierowac roszczenia w przypadku kradziezy swoich danych.

! Odpowiedz
0 7 ~endi

Domagam się likwidacji ZUS i KRUS i wypłacanie Polakom emerytury obywatelskiej z zachowaniem dotychczasowych składek i uprawnień . Te miliardy na utrzymanie urzędników szły by na emerytury

! Odpowiedz
5 21 ~DKJ

W normalnym kraju ktos by za to poteznie beknal w POlszy wsio ok...

! Odpowiedz
6 9 ~pispisss

w PISkomunie nie ma fachowców więc takie luki będą coraz cześciej. Wyznawcy Kaczorka tylko mówią ale nic nie potrafią zrobić no może poza jednym, że z Dobrej Zmiany zrobili Dojną Zmianę

! Odpowiedz
0 23 ~lajk

Czyli tak jak zawsze od zawsze: dla Polaków najniebezpieczniejsze są polskie instytucje rządowe

! Odpowiedz
0 22 ~on

i na taka partaninę idą miliony pln z naszych podatków???

zus wydaje milion na informatyzacje i takie efekty? paranoja!!!

! Odpowiedz
0 21 ~oni

Miliony? W tej chwili koszt informatyzacji ZUS idzie już chyba w miliardy.

! Odpowiedz
Polecane
Najnowsze
Popularne

Kalendarium przedsiębiorcy

Brak wydarzeń

Kalkulator odsetek

Aby obliczyć wartość odsetek, podaj kwotę zaległości oraz zakres dat.

? Odsetki ustawowe nalicza się od dnia, gdy zobowiązanie staje się wymagalne. Jeżeli spłata miała nastąpić 10-tego, to odsetki naliczane są od 11-tego.
? Data kiedy zobowiązanie będzie regulowane. Jeżeli przypada na dzień ustawowo wolny od pracy, to należy wpisać datę pierwszego kolejnego dnia roboczego.
? Stawkę obniżoną do wysokości 75% stawki podstawowej stosuje się tylko do zaległości powstałych po 1 stycznia 2009 roku. Odsetki w obniżonej stawce pobiera się, gdy podatnik złoży korektę zeznania i w ciągu 7 dni od niej wpłaci zaległość.