Nie trzeba było nic hakować, luka w platformie ZUS‑u pozwalała poznać zarobki milionów ubezpieczonych
Niebezpiecznik.pl opublikował dziś interesujący tekst o pewnejluce w internetowej platformie ZUS-u, która otwierała napastnikomdrogę do zapoznania się ze sporą ilością wrażliwych danychmilionów ubezpieczonych, włącznie z ich zarobkami. Co najbardziejw tym wszystkim smutne, nie wymagało to żadnych wyrafinowanychtechnik hakerskich. Ot po prostu architekci systemu informatycznegowykazali się niesamowitą krótkowzrocznością.
14.09.2016 | aktual.: 15.09.2016 09:50
Luka była naprawdę dziwna. Otóż w normalnym trybie konto naplatformie elektronicznej ZUS-u założyć można byłó za pomocąePUAP-u oraz Profilu Zaufanego. Kto jednak konta w tych usługach ma?Według Ministerstwa Cyfryzacji konto na ePUAP zarejestrowało dotądnieco ponad 1,5 mln obywateli, garstka spośród milionówubezpieczonych. Wymyślone przez państwowe instytucje mechanizmyuwierzytelniania są po prostu niewygodne i nieprzemyślane, do dziśustępują w tej kwestii rozwiązaniom oferowanym choćby przez banki.
Tak więc ZUS wprowadził też uproszczoną procedurę zakładaniakonta na swojej platformie PUE. Bardzo dobrze, tyle że sposób, wjaki to zrobiono pozwolił na wykradnięcie wrażliwych danych przezkażdego, kto posiadał imię, nazwisko i nr PESEL ofiary. Posiadającte dane można było założyć przez Internet na dane ofiaryniezweryfikowane konto ePUAP (bez fizycznej weryfikacji „przyokienku”).
Po zalogowaniu się na nowe konto w ePUAP, należało skorzystaćz opcji przyznawania uprawnień do konta (Zarządzanie kontem >Uprawnienia), pozwalające administrować kontem przez innegoużytkownika ePUAP – napastnika mającego potwierdzone konto zProfilem Zaufanym. Napastnik logował się następnie na platformęZUS swoim kontem ePUAP, by zobaczyć okno dialogowe z pytaniem, jakokto chce się zalogować – czy jako on, czy jako ofiara, dla którejmiał uprawnienia administrowania kontem.
W tym momencie PUE ZUS, widząc, że nie ma jeszcze takiego kontaw systemie, oferował możliwość założenia ofierze profilu. Wformularzu było już imię, nazwisko i PESEL, wystarczyło jedynieustawić hasło dostępowe i podać jakiś adres e-mailowy. Innymisłowy, ZUS pozwalał na swojej platformie założyć kontoubezpieczonemu bez profilu zaufanego przez osobę trzecią.
Mając dostęp do takiego konta na PUE ZUS, napastnikautomatycznie otrzymywał sporo wrażliwych danych ofiary, w tym daneadresowe, numer dowodu osobistego, wysokość odprowadzanych składek,czy informacje o wystawionych zaświadczeniach lekarskich,przyznanych rentach i pobieranych zasiłkach.
Dzięki upartości odkrywców, po zmaganiach z urzędnicząinercją ZUS-u, lukę załatano – ale dopiero po dwóch miesiącachod jej zgłoszenia. Zainteresowanych zapoznaniem się z całąhistorią zapraszamy oczywiście do wpisuna Niebezpieczniku. A wszystkich zapraszamy do krótkiejrefleksji na temat ilości informacji, jaką gromadzi aparatpaństwowy o swoich obywatelach – i o tym, jak tą informacjązarządza. W świetle proponowanych ostatnio zmian w prawie, mającychpozwolić ZUS-owi i Ministerstwu Finansów wymieniać sięposiadanymi o nas informacjami możemy być raczej pewni, że nicdobrego dla nas z tej wymiany nie wyniknie.