Dziura w ZUSie. Tym razem nie finansowa...

To właśnie niebezpiecznik.pl zgłosił ZUSowi istnienie tego zagrożenia na początku maja br., co wcześniej sygnalizował jeden z czytelników serwisu. W odpowiedzi zgłaszający zostali zapewnieni, że dotychczasowy proces autoryzacji jest wystarczająco bezpieczny(!)

Luka dotyczyła programu Płatnik służącego do przesyłania dokumentów elektronicznych do zakładu. Z tego programu korzysta wielu przedsiębiorców oraz biura rachunkowe obsługujące przedsiębiorców. Program przetwarzał dane płatników pobierane z centralnych serwerów ZUS. Proces synchronizacji danych nie był wystarczająco dobrze zabezpieczony i praktycznie każde biuro rachunkowe mogło pobrać dane dowolnego przedsiębiorcy, dla którego wcale nie świadczyło żadnych usług.

Wśród dostępnych danych znajdowały się: PESEL przedsiębiorcy, jego nazwa skrócona, telefon i email, adres zamieszkania, adres do korespondencji oraz dane o biurze rachunkowym, które go obsługuje. Przedsiębiorca, którego dane bezprawnie pozyskano w żaden sposób nie był o tym informowany, więc nie mógł tego zgłosić.

Serwis niebezpiecznik.pl przeprowadził eksperyment, w którym pobrał dane z systemu ZUS. Mimo zapewnień zakładu, że logi dostępu są monitorowane – nikt z jego strony na to nie zareagował. Uzyskanie dostępu do systemu polegało na wykorzystaniu do autoryzacji ogólnodostępnych danych, pochodzących na przykład z CEIDG.

Rozwiązywanie problemu przez ZUS trwało jednak wyjątkowo długo, a zakład zaczął traktować sprawę poważniej dopiero po powiadomieniu przez serwis minister Anny Streżyńskiej. Poprawki zostały wprowadzone 19 września. W tej chwili uzyskanie dostępu do wrażliwych informacji jest możliwe po podaniu dodatkowych danych.