ZUS się nie popisał. Luki w programie Płatnik. Bezpieczeństwo danych.

ZUS się nie popisał. Przez 2 lata można było pobierać dane polskich przedsiębiorców

Dzisiaj udostępniam kolejny artykuł dotyczący bezpieczeństwa. Sprawa jest o tyle dla mnie ważna ponieważ pracując ostatnio dla innej wielkiej państwowej instytucji zgłosiłem do jej organów bezpieczeństwa podatność na ataki hakerskie jej serwisów internetowych. Wykonałem raport wskazując konkretne przypadki dziur oraz ewentualnych konsekwencji prawnych i finansowych. Reakcja organizacji była zaskakująca, można by mieć wrażenie, że sam te dziury patykiem wydłubałem. Jak w rozmowie prywatnej dowiedziałem się od wysoko postawionej osoby w tej organizacji – wykazałem niekompetencję działu IT i Bezpieczeństwa, czym doprowadziłem do “irytacji” szefów tych komórek. Osoby te w dalszym ciągu zajmują swoje stanowiska. Pytanie czy i jakie podjęły działania w celu zabezpieczenia zasobów, za które odpowiadają, pozostawię bez komentarza.

Wracając do ZUS… też ktoś za to odpowiada. W odróżnieniu od organizacji, którą opisałem powyżej, w Zakładzie jest nowy członek Zarządu odpowiedzialny za informatykę, który uszczelniał inne systemy przed wyciekami informacji i pieniędzy. Trzeba wierzyć, że i tym razem uda się podnieść poziom bezpieczeństwa przetwarzanych informacji o obywatelach i przedsiębiorcach.

P.P.


Program Płatnik napisany przez podwykonawcę ZUS-u miał lukę umożliwiającą pobranie danych polskich przedsiębiorców przez dwa lata. Oba podmioty tak sprawnie lukę naprawiały, że potrzeba było czterech miesięcy i interwencji minister cyfryzacji Anny Streżyńskiej.

 Całą sprawę wykrył i nagłośnił branżowy serwis niebezpiecznik.pl, po otrzymaniu niepokojącego sygnału od czytelnika. Nagłośnił – naturalnie – dopiero po załataniu podatności.

Luki w systemie ZUSprogram Płatnik, służący do obsługi dokumentów ubezpieczeniowych i wymiany informacji z ZUS-em.

Jak pisze Marcin Maj z serwisu niebezpiecznik.pl:

Aby z Płatnika skorzystać, trzeba pobrać do niego dane płatników z centralnych serwerów ZUS-u. I tutaj właśnie występował problem, bo w Płatniku nie było skutecznych zabezpieczeń procesu synchronizacji danych.

Każde biuro rachunkowe mogło pobrać dane dowolnego przedsiębiorcy, dla którego wcale nie świadczyło żadnych usług.

ZUS się nie popisałCo można było w ten sposób zdobyć? PESEL przedsiębiorcy, jego adres i korespondencyjny, dane o biurze rachunkowym, nazwę skróconą. Żeby było zabawniej, przedsiębiorca, którego dane pobrano, nie dowiadywał się o tym. Problemem, jak pisze Marcin Maj, był mechanizm weryfikacji. Dla nowych firm wystarczyło uzupełnić publicznie dostępne dane z Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG).

W przypadku istniejących firm był trudniej, bo ciężko zgadnąć kwoty składek za dany miesiąc. Chyba że mówimy o firmie jednoosobowej lub takiej, która nie ma jeszcze pracowników. Wtedy są tylko cztery możliwe kwoty, jakie taka firma może opłacać.

W obu przypadkach należało to potwierdzić podpisem elektronicznym, by zdobyć dane. Podpisem, dodajmy, który można założyć na słupa.

Zachęcam do przeczytania źródłowego opisu tej sprawy. Jest napisana przystępnym językiem, w kilku miejscach można się za głowę złapać, ciekawe są też tłumaczenia ZUS-u.

Dość powiedzieć, że redaktorzy serwisu, nie mogąc wymóc na ZUS naprawy tej luki, poinformowali o sprawie minister Annę Streżyńską, która mocą swojego autorytetu ponagliła instytucję.

Przypomnijmy, w zeszłym roku niebezpiecznik.pl wykrył inną lukę w ZUS. Chodziło o podatność umożliwiającą wgląd do danych obywateli w platformie PUE ZUS.

Udostępnij przez:

Średnia ocen
0 z 0 głosów.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.