Gigantyczna dziura w systemach ZUS. Zarobki Polaków były dostępne dla każdego

Imię, nazwisko i numer PESEL - tyle wystarczyło, by założyć konto w jednym z najważniejszych systemów Zakładu Ubezpieczeń SpołecznychUbezpieczeń Społecznych. Po pierwszym zalogowaniu system sam uzupełniał wrażliwe dane, takie jak wysokość zarobków, opłacone składki czy historię zatrudnienia. Każdy mógł zapewnić sobie dostęp do wrażliwych informacji innych - ostrzega serwis Niebezpiecznik.pl. ZUS dopiero po dwóch miesiącach naprawił krytyczny błąd. Wygląda jednak na to, że wciąż nie wie, czy jakieś dane zostały w ten sposób przejęte.

Trzy kroki wystarczyły, by przejąć czyjeś wrażliwe dane o zarobkach lub wysyłać do ZUS wnioski w imieniu innych. Jak to możliwe? Wszystko przez lukę w systemach Zakładu Ubezpieczeń Społecznych. Kto był zagrożony? Wszyscy, którzy do tej pory nie założyli kont w ePUAP i Platformie Usług Elektronicznych ZUS.

Redaktorzy sami przetestowali możliwość złamania zabezpieczeń ZUS. Mając wyłącznie trzy dane założyli najpierw konto ePUAP podstawionej osobie - która nie miała o tym zielonego pojęcia, choć zgodziła się udostępnić dane do testów. Niczego nieświadomy miał być ktoś o imieniu Kuba. Samo niezweryfikowane konto w tym systemie nie pozwalało na przeprowadzenie jakiejkolwiek groźnej opereracji.

Każdy profil ePUAP należy potwierdzić, udając się do urzędu i przedstawiając dowód osobisty. Do tego czasu nie można na nim wiele zrobić. Jak się jednak okazuje - możliwości jest na tyle dużo, że skutecznie można wykraść niektóre dane.

Następnie z tego niezweryfikowanego konta Kuby redaktorzy wysłali zaproszenie do administrowania danymi przez inną osobę - w tym wypadku zaproszenie trafiło na potwierdzone konto osoby z redakcji. To wystarczyło, by osoba z nowymi uprawnieniami udała się na Platformę Usług Elektronicznych ZUS i założyła nowe konto innej osobie. Wszystko dlatego, że PUE ZUS opierało się na logowaniu ePUAP i umożliwiało założenie profilu innej osobie. System uznawał, że skoro ktoś może administrować danymi w ePUAP, to ma prawo założyć konto w PUE. I widać jak na dłoni, że było to bardzo mylne twierdzenie.

"Aby wykraść czyjeś dane trzeba było posiadać czyjeś imię, nazwisko i PESEL. Potem założyć na te dane konto w ePUAP. To konto nie musiało być oficjalnie potwierdzone "w okienku" urzędu (takiej wizyty wymaga założenie Profilu Zaufanego). Do ataku na PUE ZUS wystarczyło więc "nie w pełni zweryfikowane/zaufane" konto ePUAP, które każdy może założyć przez internet" - tłumaczą mechanizm działania luki redaktorzy serwisu.

W tej układance wystarczyły trzy kroki i jedno zweryfikowane konto, by mieć dostęp do danych zupełnie nieświadomych osób. Efekt? Osoba, której danych nie zweryfikował żaden urzędnik miała założone konto w PUE ZUS i ePUAP. Może i wygląda na skomplikowane, choć w rzeczywistości cały proces był wyjątkowo prosty.

Oprócz sprawdzania wynagrodzenia, historii zatrudnienia, można również wysyłać pisma w imieniu innych. I w ten właśnie sposób renta bądź emerytura mogły trafiać do zupełnie innej osoby - przynajmniej do czasu, gdy faktyczny zainteresowany nie zauważy braku pieniędzy.

Jak pisze Niebezpiecznik, o luce już dwa miesiące temu został poinformowany Zakład Ubezpieczeń Społecznych, Ministerstwo Cyfryzacji i osobiście minister Anna Streżyńska. I wtedy zaczęło się przerzucanie odpowiedzialności. Resort Streżyńskiej ustalił, że problem leży po stronie systemów Zakładu Ubezpieczeń Społecznych i to jego informatycy powinni szybko problem naprawić. ZUS zobowiązał się, że problem zostanie rozwiązany do końca września. Okazuje się jednak, że trzeba poczekać na kolejne zmiany w systemach.

Ostatecznie poprawka weszła w życie w dniu rozłączenia Profilu Zaufanego i ePUAP. "Z punktu widzenia dotychczasowych użytkowników praktycznie nic się nie zmienia. Operacja jest jednak ważnym elementem technicznym przybliżania e-państwa i elektronicznych usług administracji do obywateli" - tłumaczy resort cyfryzacji.

Co zrobić, jeżeli ktoś już założył za nas konto w PUE? Tu pojawia się pewien problem - Zakład Ubezpieczeń Społecznych nie odpowiedział na pytania Niebezpiecznika, co w takiej sytuacji należy zrobić i do kogo się zgłosić.