System ZUS przez dwa lata pozwalał wykradać dane użytkowników

2017-09-21 17:44 GS
ZUS, Zakład Ubezpieczeń Społecznych
Autor: Adam Nocoń Zakład Ubezpieczeń Społecznych

Luka w systemie Zakładu Ubezpieczeń Społecznych – Płatnik Plus pozwalała na nieuprawniony dostęp do danych przedsiębiorców. Problem istniał od momentu wprowadzenia narzędzia ok. dwa lata temu, zaś do ZUS został zgłoszony w maju br. Jego rozwiązanie zajęło ponad cztery miesiące – podał serwis niebezpiecznik.pl.

Interaktywny Program Płatnik, służy do przesyłania dokumentów elektronicznych do ZUS. Korzysta z niego wielu przedsiębiorców, a także biura rachunkowe, które ich obsługują. Jeden z czytelników Niebezpiecznika odkrył, że przez lukę w systemie niepowołane osoby mogły uzyskać dostęp do danych biznesmenów, które gromadzi, takich jak: PESEL, nazwa skrócona, nr telefonu, e-mail, adres zamieszkania, adres korespondencyjny czy dane o biurze rachunkowym.

Jak dochodziło do wycieku?
Do zdobycia wymienionych wcześniej danych nowego przedsiębiorcy, potrzebne było kilka łatwo dostępnych informacji, takich jak: NIP, REGON, imię, nazwisko i adres siedziby firmy. Można je znaleźć chociażby w ewidencji CEIDG. Po ich wpisaniu, udzieleniu odpowiedzi na proste pytanie kontrolne (o datę powstania zobowiązania opłacania składek, co również można sprawdzić w CEIDG) i podpisaniu się podpisem elektronicznym dowolnej osoby np. bezdomnego, można było bez problemu pobrać aktualizację zawierającą nie jawne dane osobowe.
Aby zdobyć dane firmy już istniejącej, należało zaś dodatkowo podać informację o rodzaju składki płaconej na ubezpieczenie zdrowotne. W przypadku jednoosobowej działalności haker miał więc do wyboru cztery opcje, które wynikają z kombinacji: mały ZUS lub duży ZUS, z chorobowym lub bez chorobowego. Odpowiedź na pytanie była bardziej skomplikowana w przypadku dużych firm.
Jak informuje Niebezpiecznik, ofiara kradzieży danych nie otrzymywała żadnego powiadomienia, że ktoś właśnie uzyskał dostęp do wrażliwych informacji na jej temat.

Dwa lata bezkarnej kradzieży danych
Według czytelnika serwisu, który odkrył opisywaną lukę, istniała ona w systemie Płatnik Plus od momentu jego wprowadzenia ok. dwa lata temu. Problem został zgłoszony przez redaktorów Niebezpiecznika w maju br., jednak został rozwiązany dopiero 19 września, po interwencji minister Anny Streżyńskiej.

Sprawdź także: ZUS do firm: musicie mieć najnowszego "Płatnika"

Czytaj też: Jak dochodzi do wycieków danych osobowych?

Zobacz również: Chcesz zniknąć z baz danych osobowych? Sprawdź, jak to zrobić

Źródło: niebezpiecznik.pl