Interaktywny Płatnik Plus przez dwa lata pozwalał wykradać dane przedsiębiorców

W czym tkwił problem? Jak wiadomo, Płatnik jest klientem usługiZUS, pobierającym dane z centralnych serwerów tej instytucji. I tojakie dane… Jak odkrył jeden z czytelników Niebezpiecznika, możnabyło uzyskać dostęp do informacji o dowolnym przedsiębiorcy,nawet takim, z którym się nie miało nic wspólnego. Był wśródnich PESEL, nazwa skrócona, nr telefonu, e-mail, adres zamieszkania,adres korespondencyjny oraz dane o biurze rachunkowym.

By pozyskać te dane w wypadku nowych firm, wystarczyło zdobyćkilka informacji, dostępnych na wyciągnięcie ręki. W Płatnikudodawało się nowego przedsiębiorcę, podając NIP, REGON, imię,nazwisko i siedzibę – informacje dostępne w ewidencji CEIDG.Potem należało kliknąć funkcję Pobierz aktualizacje, przejśćtrywialne pytanie kontrolne o datę powstania zobowiązania opłacaniaskładek (znów wystarczy zajrzeć do CEIDG), a następnie podpisaćsię podpisem elektronicznym, mającym wg instytucji publicznychidentyfikować osobę odpowiedzialną za uzyskanie dostępu… czylinp. mieszkającego na ulicy kloszarda.

Jeśli chciało się pozyskać dane firmy już istniejącej,istniało jeszcze jedno „zabezpieczenie”. Należało podaćzapłaconą składkę na ubezpieczenie społeczne – informacjębardzo łatwą do zgadnięcia w wypadku firm jednoosobowych, istniejątu bowiem tylko cztery możliwości, wynikające z kombinacji małyZUS/duży ZUS, z chorobowym, bez chorobowego. W wypadku firmwiększych było to już oczywiście trudniejsze.

Pobranie w ten sposób danych nie wywoływało żadnej reakcji –ofiara nie dostawała żadnego powiadomienia, że ktoś uzyskałdostęp do wrażliwych o niej informacji, mimo twierdzeń ZUS-u, żelogi systemu sprawdzane są pod kątem nadużyć. Zdaniem odkrywcytej podatności, problem istniał od wprowadzenia InteraktywnegoPłatnika Plus jakieś 2 lata temu, który umożliwił synchronizacjęz serwerami ZUS.

Problem został zgłoszony przez redaktorów NiebezpiecznikaZUS-owi w maju. Odpowiedź była długa i nijaka. Zapewniono obezpieczeństwie stosowanego rozwiązania, wyjaśniono, że modułudostępniania danych płatnikom wymaga uwierzytelnienia przywykorzystaniu kwalifikowanego podpisu elektronicznego, a systemautoryzacji dostępu jest oparty na oświadczeniu osoby o prawie dokomunikacji z ZUS w imieniu danego płatnika oraz porównania danychpodanych w Płatniku z danymi na serwerach ZUS. Podkreślono teżfakt logowania operacji i ich monitorowania pod kątem sytuacjinietypowych i błędnych, oraz przypomniano o srogich karach zanieupoważniony dostęp, wynikających z ustawy z dnia 5 września2016 r. o usługach zaufania oraz identyfikacji elektronicznej.

Najwyraźniej urzędnicy ZUS-u nie rozumieli, że użycie samoe-podpisu w żaden sposób nie oznacza posiadania prawa do pozyskaniadanych, nie rozumie też, że dane wykorzystywane do autoryzacji niesą ani ukryte, ani unikatowe, ani nieprzewidywalne. Dopiero pokolejnej interwencji Niebezpiecznika w nobliwej instytucji zaczętorozumieć, że coś jest nie tak, tym bardziej, że blogprzeprowadził eksperyment z pomocą znajomego doradcy podatkowego –bez żadnego problemu za drugą próbą pozyskał on przez Płatnikawszystkie dane jednego z redaktorów, prowadzącego jednoosobowądziałalność.

Poprawianie systemu autoryzacji trwało i trwało, i pewnie bytrwało dalej, gdyby nie zdecydowano się o sprawie poinformowaćminister Anny Streżyńskiej. To (być może) sprawę przyspieszyło:po wielu e-mailach z zapewnieniami o prowadzeniu prac, w końcu łatkęwprowadzono 19 września. Poprawka polega na dodaniu w procesieuwierzytelnienia pytań o dane osoby upoważnionej lub o dane zezłożonych wcześniej dokumentów. Też pięknie.

Zainteresowanych szczegółami sprawy, zapraszamy doNiebezpiecznika.