Interaktywny Płatnik Plus przez dwa lata pozwalał wykradać dane przedsiębiorców

Strona główna Aktualności

O autorze

Niebezpiecznik donosi dzisiaj o interesującej luce w programie Płatnik. Wynikający z bezmyślności architektów oprogramowania błąd pozwał na nieupoważniony dostęp do danych przedsiębiorców zmuszonych do korzystania z usług Zakładu Ubezpieczeń Społecznych. Usunięcie luki od jej zgłoszenia zajęło ponad 4 miesiące, po drodze ujawniając, jak decydenci tej instytucji wyobrażają sobie polityki bezpieczeństwa. Ciekawa sprawa – szczególnie w świetle rychłego wejścia w życie rozporządzenia RODO.

W czym tkwił problem? Jak wiadomo, Płatnik jest klientem usługi ZUS, pobierającym dane z centralnych serwerów tej instytucji. I to jakie dane… Jak odkrył jeden z czytelników Niebezpiecznika, można było uzyskać dostęp do informacji o dowolnym przedsiębiorcy, nawet takim, z którym się nie miało nic wspólnego. Był wśród nich PESEL, nazwa skrócona, nr telefonu, e-mail, adres zamieszkania, adres korespondencyjny oraz dane o biurze rachunkowym.

By pozyskać te dane w wypadku nowych firm, wystarczyło zdobyć kilka informacji, dostępnych na wyciągnięcie ręki. W Płatniku dodawało się nowego przedsiębiorcę, podając NIP, REGON, imię, nazwisko i siedzibę – informacje dostępne w ewidencji CEIDG. Potem należało kliknąć funkcję Pobierz aktualizacje, przejść trywialne pytanie kontrolne o datę powstania zobowiązania opłacania składek (znów wystarczy zajrzeć do CEIDG), a następnie podpisać się podpisem elektronicznym, mającym wg instytucji publicznych identyfikować osobę odpowiedzialną za uzyskanie dostępu… czyli np. mieszkającego na ulicy kloszarda.

Jeśli chciało się pozyskać dane firmy już istniejącej, istniało jeszcze jedno „zabezpieczenie”. Należało podać zapłaconą składkę na ubezpieczenie społeczne – informację bardzo łatwą do zgadnięcia w wypadku firm jednoosobowych, istnieją tu bowiem tylko cztery możliwości, wynikające z kombinacji mały ZUS/duży ZUS, z chorobowym, bez chorobowego. W wypadku firm większych było to już oczywiście trudniejsze.

Pobranie w ten sposób danych nie wywoływało żadnej reakcji – ofiara nie dostawała żadnego powiadomienia, że ktoś uzyskał dostęp do wrażliwych o niej informacji, mimo twierdzeń ZUS-u, że logi systemu sprawdzane są pod kątem nadużyć. Zdaniem odkrywcy tej podatności, problem istniał od wprowadzenia Interaktywnego Płatnika Plus jakieś 2 lata temu, który umożliwił synchronizację z serwerami ZUS.

Problem został zgłoszony przez redaktorów Niebezpiecznika ZUS-owi w maju. Odpowiedź była długa i nijaka. Zapewniono o bezpieczeństwie stosowanego rozwiązania, wyjaśniono, że moduł udostępniania danych płatnikom wymaga uwierzytelnienia przy wykorzystaniu kwalifikowanego podpisu elektronicznego, a system autoryzacji dostępu jest oparty na oświadczeniu osoby o prawie do komunikacji z ZUS w imieniu danego płatnika oraz porównania danych podanych w Płatniku z danymi na serwerach ZUS. Podkreślono też fakt logowania operacji i ich monitorowania pod kątem sytuacji nietypowych i błędnych, oraz przypomniano o srogich karach za nieupoważniony dostęp, wynikających z ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej.

Najwyraźniej urzędnicy ZUS-u nie rozumieli, że użycie samo e-podpisu w żaden sposób nie oznacza posiadania prawa do pozyskania danych, nie rozumie też, że dane wykorzystywane do autoryzacji nie są ani ukryte, ani unikatowe, ani nieprzewidywalne. Dopiero po kolejnej interwencji Niebezpiecznika w nobliwej instytucji zaczęto rozumieć, że coś jest nie tak, tym bardziej, że blog przeprowadził eksperyment z pomocą znajomego doradcy podatkowego – bez żadnego problemu za drugą próbą pozyskał on przez Płatnika wszystkie dane jednego z redaktorów, prowadzącego jednoosobową działalność.

Poprawianie systemu autoryzacji trwało i trwało, i pewnie by trwało dalej, gdyby nie zdecydowano się o sprawie poinformować minister Anny Streżyńskiej. To (być może) sprawę przyspieszyło: po wielu e-mailach z zapewnieniami o prowadzeniu prac, w końcu łatkę wprowadzono 19 września. Poprawka polega na dodaniu w procesie uwierzytelnienia pytań o dane osoby upoważnionej lub o dane ze złożonych wcześniej dokumentów. Też pięknie.

Zainteresowanych szczegółami sprawy, zapraszamy do Niebezpiecznika.

© dobreprogramy

Komentarze