ZUS naraził płatników na ujawnienie wrażliwych danych

Dopiero podczas minionego weekendu załatano poważną lukę w systemie PUE. Wspomniane uchybienie pozwalało na założenie konta osobie, której znaliśmy jedynie imię, nazwisko oraz numer PESEL. Dzięki czemu można było poznać cudze zarobki, dane osobowe, historię zatrudnienia, a nawet wysłać pismo do ZUS-u w nie swoim imieniu. 

(pue.zus.pl)

Lukę zauważył dwa miesiące temu czytelnik portalu Niebezpiecznik.pl - w lipcu zgłosił usterkę do serwisu, który następnie sprawdził sprawę. Okazało się, że błąd był poważny, jednak ZUS zabronił informować o tym innych, dopóki nie naprawią problemu. 

Milion Polaków narażonych na kradzież danych

W piątek pisaliśmy o planowanej przerwie technicznej i niedostępności portali ePUAP oraz PUE. Okazało się, że przyczyną przerwy jest naprawa błędu, która nastąpiła dopiero po dwóch miesiącach od zgłoszenia problemu.

Błąd w systemie polegał na tym, że oficjalne potwierdzenie konta PUE ZUS mogło zostać wykonane przez osobę inną niż faktyczny posiadacz konta - informuje serwis Niebezpiecznik.pl. Na potencjalny atak było narażonych 1 550 000 Polaków, którzy nie posiadali konta ani na ePUAP, ani na PUE ZUS. 

Serwis badający sprawę przedstawił, jak krok po kroku mógł przebiec atak:

  1. Założenie konta ofierze na ePUAP
  2. Wysłanie zaproszenia do administrowania nowym kontem do samego siebie (na konto ePUAP posiadające Profil Zaufany),
  3. Przyjęcie zaproszenia 
  4. Zalogowanie do PUE ZUS przez ePUAP i wybór tożsamości ofiary
  5. Założenie profilu na PUE ZUS i jego automatyczne zweryfikowanie przez konto powiązane z ePUAP posiadające Profil Zaufany  

Atak na PUE - możliwe skutki 

Oprócz poznania delikatnych danych Polaków, osoba z zewnątrz mogła dowiedzieć się następujących informacji: 

  • jakie wynagrodzenie otrzymywała dana osoba, bazując na wysokości składek opłacanych przez ZUS,
  • jakie OFE zostało wskazane i ile środków zdeponowano na koncie,
  • jakie zaświadczenia lekarskie zostały wystawione,
  • czy dana osoba pobiera zasiłek lub rentę .

Najbardziej niebezpieczną czynnością, jaką mogła wykonać osoba trzecia, było wysłanie pism do ZUS-u w czyimś imieniu, a także kontaktowanie się z nim bezpośrednio.

Długa interwencja ZUS

Mimo że o sprawie ZUS został poinformowany już pod koniec lipca, błąd został usunięty dopiero w miniony weekend. Serwis, który odkrył lukę niejednokrotnie kontaktował się z Zakładem Ubezpieczeń Społecznych oraz bezpośrednio z minister cyfryzacji Anną Streżyńską. 

ZUS regularnie obiecywał komentarz w tej sprawie, ale nie potwierdzał, że błąd został usunięty. Dopiero po interwencji minister cyfryzacji okazało się, że łatka czeka na wydzielenie Profilu Zaufanego. ZUS czekał na naprawę systemu po to, aby w tym samym momencie zsynchronizować go ze zmianami w ePUAP. O przesunięciu pierwotnego terminu nie zostało poinformowane nawet samo ministerstwo cyfryzacji. 

W tej chwili oba systemy działają poprawnie. 

Weronika Szkwarek

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
0 22 ~on

i na taka partaninę idą miliony pln z naszych podatków???

zus wydaje milion na informatyzacje i takie efekty? paranoja!!!

! Odpowiedz
0 21 ~oni

Miliony? W tej chwili koszt informatyzacji ZUS idzie już chyba w miliardy.

! Odpowiedz
0 23 ~lajk

Czyli tak jak zawsze od zawsze: dla Polaków najniebezpieczniejsze są polskie instytucje rządowe

! Odpowiedz
5 21 ~DKJ

W normalnym kraju ktos by za to poteznie beknal w POlszy wsio ok...

! Odpowiedz
6 9 ~pispisss

w PISkomunie nie ma fachowców więc takie luki będą coraz cześciej. Wyznawcy Kaczorka tylko mówią ale nic nie potrafią zrobić no może poza jednym, że z Dobrej Zmiany zrobili Dojną Zmianę

! Odpowiedz
0 7 ~endi

Domagam się likwidacji ZUS i KRUS i wypłacanie Polakom emerytury obywatelskiej z zachowaniem dotychczasowych składek i uprawnień . Te miliardy na utrzymanie urzędników szły by na emerytury

! Odpowiedz
0 0 ~Fan

To nie ZUS, to konkretna osoba podjela decyzje o opoznieniu poprawki. Prosze podac do publicznej wiadomosci Imie i Nazwisko osoby do ktorej nalezy kierowac roszczenia w przypadku kradziezy swoich danych.

! Odpowiedz
1 3 ~nn

ZUS płaci rocznie za systemy 800 mln zł. Skala marnotrastwa przeraża. Tyle płacą miesięcznie WSZYSCY polscy przedsiębiorcy...

! Odpowiedz
1 1 ~kakaka

Do DKJ

Nie wiem czy nie zauważyłeś, ale teraz rządzi pis. Po swoje spieprzylo, ale jak teraz masz coś obwiniać, to obwiniaj władze która aktualnie rządzi.

! Odpowiedz
1 5 ~hmm

Kolejna medialna manipulacja, szkoda że ww. „wpisowicze” od razu wpadają w kłótnię typu PO – PIS.
Jak wół napisane jest, że żeby „skorzystać z luki” należy zalogować się przez profil zaufany, a dopiero później kojarzyć swoje konto z nową tożsamością, czyli nie ma tu szansy na wyciek danych milionów Polaków, tylko ew. na pojedyncze incydenty „zorientowanych dzieciaków”, których można łatwo namierzyć.

Pokaż cały komentarz ! Odpowiedz
Polecane
Najnowsze
Popularne

Kalendarium przedsiębiorcy

Brak wydarzeń

Kalkulator odsetek

Aby obliczyć wartość odsetek, podaj kwotę zaległości oraz zakres dat.

? Odsetki ustawowe nalicza się od dnia, gdy zobowiązanie staje się wymagalne. Jeżeli spłata miała nastąpić 10-tego, to odsetki naliczane są od 11-tego.
? Data kiedy zobowiązanie będzie regulowane. Jeżeli przypada na dzień ustawowo wolny od pracy, to należy wpisać datę pierwszego kolejnego dnia roboczego.
? Stawkę obniżoną do wysokości 75% stawki podstawowej stosuje się tylko do zaległości powstałych po 1 stycznia 2009 roku. Odsetki w obniżonej stawce pobiera się, gdy podatnik złoży korektę zeznania i w ciągu 7 dni od niej wpłaci zaległość.