Reklama.
Jak donosi niebezpiecznik.pl – już w lipcu zgłosił Zakładowi Ubezpieczeń Społecznych poważną lukę w systemie internetowym ZUS. Znając imię, nazwisko i PESEL można było założyć konto i zdobyć mnóstwo danych o ofierze, a nawet przekierować przyznane jej świadczenia na swoje konto. Dopiero po dwóch miesiącach od zgłoszenia, zabezpieczenia zostały poprawione.
Na czym polegało niebezpieczeństwo?
Na internetowej platformie ZUS swoje konta założyło ok. 1,5 mln Polaków. W imieniu pozostałych trzydziestuparu milionów taki profil mógł założyć każdy. Wystarczyło mieć swoje, zweryfikowane konto ePUAP oraz znać imię, nazwisko i numer PESEL innej osoby. Na te dane można było założyć konto w ePUAP. Nie musiało być ono oficjalnie potwierdzone. Następnie dzięki oferowanej w systemie opcji można było przydzielić uprawnienia administracyjne swojemu zaufanemu profilowi. To pozwalało zalogować się do systemu PUE ZUS na tożsamość ofiary i założyć profil, który był uzupełniony przez system danymi ofiary.
W ten sposób można było poznać m.in. numer dowodu osobistego, wysokość odprowadzanych składek, poznać historię pracy, ale to nie wszystko. W ten sposób można było wysłać w czyimś imieniu pisma do ZUS i poprosić np. o przekierowanie świadczenia na inne konto. Luka była na tyle poważna, że poproszona o pomoc w załatwieniu sprawy, minister cyfryzacji, Anna Streżyńska, odpisywała zgłaszającym z urlopu i w godzinach pozaurzędowych.
14 września 2016 roku luka została załatana. Od chwili zgłoszenia, państwowy urząd potrzebował niemal dwóch miesięcy, by usunąć niezwykle niebezpieczną usterkę. Zagrożony w tym czasie był każdy, kto nie założył sobie konta w PUE ZUS.
Źródło: niebezpiecznik.pl
Źródło: niebezpiecznik.pl
Napisz do autora: tomasz.staskiewicz@innpoland.pl