Gigantyczna dziura w ZUS-ie. KAŻDY mógł sprawdzić ile zarabiasz

Robert Kędzierski
Wykryto bardzo poważną lukę w Platformie Usług Elektronicznych ZUS. Pozwalała na sprawdzenie wysokość zarobków dowolnej, obcej osoby. Jak to możliwe?

Imię, nazwisko oraz numer PESEL. Tyle wystarczyło jeszcze do wczoraj, aby za pośrednictwem Platformy Usług Elektronicznych ZUS sprawdzić zarobki praktycznie każdej osoby. Dziurę w oprogramowaniu ZUS-u odkrył serwis Niebezpiecznik, który specjalizuje się w zagadnieniach cyberbezpieczeństwa.

Czytaj też: Wyciek z bazy PESEL. Zamieszanie wywołane przez nieporozumienie?

Zakładasz konto, ZUS sam wypełnia dane

W jaki sposób możliwe było "podglądanie" tak istotnych danych, jak nasze zarobki? Wystarczyło za pośrednictwem platformy założyć konto dowolnej osobie, wpisując w formularzu rejestracyjnym jej imię, nazwisko oraz PESEL. Po pierwszym logowaniu ZUS uzupełniał to konto dodatkowymi informacjami, takimi jak historia zatrudnienia i pobierane świadczenia. W systemie znalazły się też dane dotyczące odprowadzanych składek do ZUS. A z ich wysokości łatwo jest wyliczyć wynagrodzenie.

Jeśli jakaś osoba miała już konto na ePUAP albo konto na PUE ZUS, wykorzystanie omawianej luki nie było możliwe. Gorzej jeśli ktoś [...] nie miał konta ani na ePUAP ani na PUE ZUS. Takich osób jest w Polsce bardzo dużo, a w zasadzie to chyba większość Polaków. Są to zwłaszcza osoby starsze, choć również wielu młodych i świadomych cyfrowo obywateli wciąż woli iść do urzędu niż męczyć się z ePUAP-em. Według Ministerstwa Cyfryzacji, konto na ePUAP posiada jedynie 1 550 000 z ok. 39 000 000 Polaków.

- wyjaśnia Niebezpiecznik.

Luka w ZUS umożliwiała sprawdzenie zarobków niemal każdego PolakaLuka w ZUS umożliwiała sprawdzenie zarobków niemal każdego Polaka Fot. Niebezpiecznik.pl

ZUS łata lukę

Niebezpiecznik poinformował o wykrytym błędzie Ministerstwo Cyfryzacji... w lipcu. Lukę załatano dopiero kilka dni temu, dlatego serwis zdecydował się na upublicznienie swojego odkrycia. Trudno stwierdzić czy luka została przez kogoś wykorzystana, ale prywatność milionów Polaków mogła zostać narażona w kuriozalny sposób.

Więcej o: