Luka w programie ZUS-u pozwalała wykraść ważne dane. Usuwali ją ponad 4 miesiące

ZUS przez 4 miesiące usuwał lukę, która pozwalała dostać się do bazy newralgicznych danych. Numery PESEL czy adresy zamieszkania wielu przedsiębiorców były na wyciągnięcie ręki.

O sprawie poinformował zajmujący się tematyką cyber-zagrożeń portal Niebezpiecznik. Serwis został zaalarmowany przez jednego ze swoich czytelników, który odkrył lukę w programie "Płatnik". To aplikacja służąca do przesyłania dokumentów elektronicznych do ZUS-u, z którego korzysta bardzo wielu przedsiębiorców.

Okazuje się, że dostęp do wrażliwych danych mógł uzyskać praktycznie każdy. Program wymagał bowiem synchronizacji danych z bazą zapisaną na serwerach ZUS-u, do której dostęp nie był najlepiej zabezpieczony.

Niemal każdy mógł pobrać najważniejsze dane o dowolnym przedsiębiorcy znajdującym się w bazie. Jak podaje Niebezpiecznik, można było uzyskać dostęp do numeru PESEL, skróconej nazwy, adresu e-mail i numeru telefonu oraz adresu korespondencyjnego i zamieszkania.

Można było dowiedzieć się także jakie biuro rachunkowe obsługuje danego przedsiębiorcę, a o udostępnieniu takich danych przez ZUS on sam nie wiedział.

Problemem był proces autoryzacji, który wymagał łatwych do zdobycia danych: wystarczyło podać NIP, Regon, imię, nazwisko i siedzibę. Nie byłoby w tym nic dziwnego, gdyby nie fakt, że takie informacje można sprawdzić w bazie CEIDG (Centralnej Ewidencji i Informacji o Działalności Gospodarczej).

W celu uzyskania dostępu do danych przedsiębiorcy wystarczyło zaktualizować dane i przejść jeszcze jeden proces autoryzacji, który różnił się w zależności od firmy. 

W przypadku nowych przedsiębiorstw wystarczyła data rozpoczęcia działalności znajdująca się w CEIDG. Dla firm już działających trzeba było podać wpłaconą kwotę składki na ubezpieczenie społeczne.

Takie dane są bardzo łatwe do odgadnięcia w przypadku firm jednoosobowych. Do wyboru są zaledwie cztery różne kwoty. Na koniec pozostało złożyć podpis elektroniczny, który z założenia ma identyfikować osobę ściągającą dane. 

Proces autoryzacji w programie Płatnik fot. dzięki uprzejmości serwisu Niebezpiecznik.pl

Redaktorzy Niebezpiecznika zgłosili problem urzędnikom ZUS-u jeszcze w maju. W odpowiedzi zostali zapewnieni, że dotychczasowy proces autoryzacji jest wystarczający. Pełną odpowiedź instytucji zacytowali we własnym artykule na ten temat.

W tym samym tekście opisali także eksperyment, który pozwolił im zdobyć newralgiczne dane jednego ze znajomych przedsiębiorców już przy drugiej próbie.

Rozwiązywanie problemu przez ZUS trwało jednak bardzo długo i nabrało tempa dopiero, gdy serwis powiadomił minister Annę Streżyńską.

Poprawki zostały wprowadzone 19 września. Teraz uzyskanie dostępu do wrażliwych informacji jest możliwe po podaniu dodatkowych danych. Baza jest więc bezpieczniejsza.

Warto przypomnieć, że we wrześniu zeszłego roku redaktorzy Niebezpiecznika wykryli w ZUS lukę pozwalając poznać wysokość zarobków milionów Polaków.