r   e   k   l   a   m   a
r   e   k   l   a   m   a

Nie trzeba było nic hakować, luka w platformie ZUS-u pozwalała poznać zarobki milionów ubezpieczonych

Strona główna AktualnościBEZPIECZEŃSTWO

Niebezpiecznik.pl opublikował dziś interesujący tekst o pewnej luce w internetowej platformie ZUS-u, która otwierała napastnikom drogę do zapoznania się ze sporą ilością wrażliwych danych milionów ubezpieczonych, włącznie z ich zarobkami. Co najbardziej w tym wszystkim smutne, nie wymagało to żadnych wyrafinowanych technik hakerskich. Ot po prostu architekci systemu informatycznego wykazali się niesamowitą krótkowzrocznością.

Luka była naprawdę dziwna. Otóż w normalnym trybie konto na platformie elektronicznej ZUS-u założyć można byłó za pomocą ePUAP-u oraz Profilu Zaufanego. Kto jednak konta w tych usługach ma? Według Ministerstwa Cyfryzacji konto na ePUAP zarejestrowało dotąd nieco ponad 1,5 mln obywateli, garstka spośród milionów ubezpieczonych. Wymyślone przez państwowe instytucje mechanizmy uwierzytelniania są po prostu niewygodne i nieprzemyślane, do dziś ustępują w tej kwestii rozwiązaniom oferowanym choćby przez banki.

Tak więc ZUS wprowadził też uproszczoną procedurę zakładania konta na swojej platformie PUE. Bardzo dobrze, tyle że sposób, w jaki to zrobiono pozwolił na wykradnięcie wrażliwych danych przez każdego, kto posiadał imię, nazwisko i nr PESEL ofiary. Posiadając te dane można było założyć przez Internet na dane ofiary niezweryfikowane konto ePUAP (bez fizycznej weryfikacji „przy okienku”).

r   e   k   l   a   m   a

Po zalogowaniu się na nowe konto w ePUAP, należało skorzystać z opcji przyznawania uprawnień do konta (Zarządzanie kontem > Uprawnienia), pozwalające administrować kontem przez innego użytkownika ePUAP – napastnika mającego potwierdzone konto z Profilem Zaufanym. Napastnik logował się następnie na platformę ZUS swoim kontem ePUAP, by zobaczyć okno dialogowe z pytaniem, jako kto chce się zalogować – czy jako on, czy jako ofiara, dla której miał uprawnienia administrowania kontem.

W tym momencie PUE ZUS, widząc, że nie ma jeszcze takiego konta w systemie, oferował możliwość założenia ofierze profilu. W formularzu było już imię, nazwisko i PESEL, wystarczyło jedynie ustawić hasło dostępowe i podać jakiś adres e-mailowy. Innymi słowy, ZUS pozwalał na swojej platformie założyć konto ubezpieczonemu bez profilu zaufanego przez osobę trzecią.

Mając dostęp do takiego konta na PUE ZUS, napastnik automatycznie otrzymywał sporo wrażliwych danych ofiary, w tym dane adresowe, numer dowodu osobistego, wysokość odprowadzanych składek, czy informacje o wystawionych zaświadczeniach lekarskich, przyznanych rentach i pobieranych zasiłkach.

Dzięki upartości odkrywców, po zmaganiach z urzędniczą inercją ZUS-u, lukę załatano – ale dopiero po dwóch miesiącach od jej zgłoszenia. Zainteresowanych zapoznaniem się z całą historią zapraszamy oczywiście do wpisu na Niebezpieczniku. A wszystkich zapraszamy do krótkiej refleksji na temat ilości informacji, jaką gromadzi aparat państwowy o swoich obywatelach – i o tym, jak tą informacją zarządza. W świetle proponowanych ostatnio zmian w prawie, mających pozwolić ZUS-owi i Ministerstwu Finansów wymieniać się posiadanymi o nas informacjami możemy być raczej pewni, że nic dobrego dla nas z tej wymiany nie wyniknie.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.