Rządowy serwis do sprawdzania zwrotu podatku ujawnia dane użytkowników

Pierwszy kwartał roku wszystkim ludziom pracy w Polsce kojarzyć może się ze składaniem zeznań podatkowych. Czynność ta z reguły ma swoje następstwa - z dnia na dzień na szczyt najczęściej zadawanych wyszukiwarkom pytań wybija się kwestia zwrotu nadpłaconego podatku. Usługę umożliwiającą sprawdzenie statusu zwrotu udostępnia na swoich stronach Ministerstwo Finansów. Niestety, udostępnia także dane użytkowników.

O niebezpieczeństwie, jakie wynikać może z korzystania z rządowego serwisu donosi Niebezpiecznik. Strona Ministerstwa Finansów może ujawniać o użytkownikach serwisu takie informacje, jak PESEL, NIP, obsługujący płatnika Urząd Skarbowy, a nawet przychód z poprzedniego roku. Co zrobić, aby uzyskać takie informacje o podatnikach? Wystarczy przejść do serwisu Zwrot nadpłaty PIT i kilkukrotnie odświeżyć stronę.

Nam co prawda nie udało się odtworzyć scenariusza opisywanego przez Niebezpiecznik, nie znaczy to jednak, że problem należy bagatelizować. Dane pobierane do formularza pochodzą najpewniej od innych, wcześniejszych użytkowników strony. Wskazuje to nie tylko na błędy w zarządzaniu sesją, ale na zacznie większy problem prowadzonego przez Ministerstwo Finansów serwisu – dane przesyłane za pośrednictwem formularza najwidoczniej nie są szyfrowane.

Dobrą wiadomością jest to, że informacje, do których można uzyskać dostęp nie są szczególnie wrażliwe, choć część podatników może za takie uważać wysokość przychodu. W tej chwili jedynym, co możemy zalecić jest całkowita rezygnacja z utrzymywanego przez Ministerstwo Finansów serwisu.