r   e   k   l   a   m   a
r   e   k   l   a   m   a

Interaktywny Płatnik Plus przez dwa lata pozwalał wykradać dane przedsiębiorców

Strona główna AktualnościBEZPIECZEŃSTWO

Niebezpiecznik donosi dzisiaj o interesującej luce w programie Płatnik. Wynikający z bezmyślności architektów oprogramowania błąd pozwał na nieupoważniony dostęp do danych przedsiębiorców zmuszonych do korzystania z usług Zakładu Ubezpieczeń Społecznych. Usunięcie luki od jej zgłoszenia zajęło ponad 4 miesiące, po drodze ujawniając, jak decydenci tej instytucji wyobrażają sobie polityki bezpieczeństwa. Ciekawa sprawa – szczególnie w świetle rychłego wejścia w życie rozporządzenia RODO.

W czym tkwił problem? Jak wiadomo, Płatnik jest klientem usługi ZUS, pobierającym dane z centralnych serwerów tej instytucji. I to jakie dane… Jak odkrył jeden z czytelników Niebezpiecznika, można było uzyskać dostęp do informacji o dowolnym przedsiębiorcy, nawet takim, z którym się nie miało nic wspólnego. Był wśród nich PESEL, nazwa skrócona, nr telefonu, e-mail, adres zamieszkania, adres korespondencyjny oraz dane o biurze rachunkowym.

By pozyskać te dane w wypadku nowych firm, wystarczyło zdobyć kilka informacji, dostępnych na wyciągnięcie ręki. W Płatniku dodawało się nowego przedsiębiorcę, podając NIP, REGON, imię, nazwisko i siedzibę – informacje dostępne w ewidencji CEIDG. Potem należało kliknąć funkcję Pobierz aktualizacje, przejść trywialne pytanie kontrolne o datę powstania zobowiązania opłacania składek (znów wystarczy zajrzeć do CEIDG), a następnie podpisać się podpisem elektronicznym, mającym wg instytucji publicznych identyfikować osobę odpowiedzialną za uzyskanie dostępu… czyli np. mieszkającego na ulicy kloszarda.

r   e   k   l   a   m   a

Jeśli chciało się pozyskać dane firmy już istniejącej, istniało jeszcze jedno „zabezpieczenie”. Należało podać zapłaconą składkę na ubezpieczenie społeczne – informację bardzo łatwą do zgadnięcia w wypadku firm jednoosobowych, istnieją tu bowiem tylko cztery możliwości, wynikające z kombinacji mały ZUS/duży ZUS, z chorobowym, bez chorobowego. W wypadku firm większych było to już oczywiście trudniejsze.

Pobranie w ten sposób danych nie wywoływało żadnej reakcji – ofiara nie dostawała żadnego powiadomienia, że ktoś uzyskał dostęp do wrażliwych o niej informacji, mimo twierdzeń ZUS-u, że logi systemu sprawdzane są pod kątem nadużyć. Zdaniem odkrywcy tej podatności, problem istniał od wprowadzenia Interaktywnego Płatnika Plus jakieś 2 lata temu, który umożliwił synchronizację z serwerami ZUS.

Problem został zgłoszony przez redaktorów Niebezpiecznika ZUS-owi w maju. Odpowiedź była długa i nijaka. Zapewniono o bezpieczeństwie stosowanego rozwiązania, wyjaśniono, że moduł udostępniania danych płatnikom wymaga uwierzytelnienia przy wykorzystaniu kwalifikowanego podpisu elektronicznego, a system autoryzacji dostępu jest oparty na oświadczeniu osoby o prawie do komunikacji z ZUS w imieniu danego płatnika oraz porównania danych podanych w Płatniku z danymi na serwerach ZUS. Podkreślono też fakt logowania operacji i ich monitorowania pod kątem sytuacji nietypowych i błędnych, oraz przypomniano o srogich karach za nieupoważniony dostęp, wynikających z ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej.

Najwyraźniej urzędnicy ZUS-u nie rozumieli, że użycie samo e-podpisu w żaden sposób nie oznacza posiadania prawa do pozyskania danych, nie rozumie też, że dane wykorzystywane do autoryzacji nie są ani ukryte, ani unikatowe, ani nieprzewidywalne. Dopiero po kolejnej interwencji Niebezpiecznika w nobliwej instytucji zaczęto rozumieć, że coś jest nie tak, tym bardziej, że blog przeprowadził eksperyment z pomocą znajomego doradcy podatkowego – bez żadnego problemu za drugą próbą pozyskał on przez Płatnika wszystkie dane jednego z redaktorów, prowadzącego jednoosobową działalność.

Poprawianie systemu autoryzacji trwało i trwało, i pewnie by trwało dalej, gdyby nie zdecydowano się o sprawie poinformować minister Anny Streżyńskiej. To (być może) sprawę przyspieszyło: po wielu e-mailach z zapewnieniami o prowadzeniu prac, w końcu łatkę wprowadzono 19 września. Poprawka polega na dodaniu w procesie uwierzytelnienia pytań o dane osoby upoważnionej lub o dane ze złożonych wcześniej dokumentów. Też pięknie.

Zainteresowanych szczegółami sprawy, zapraszamy do Niebezpiecznika.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.