Luka w ZUS-ie. Od miesięcy można było łatwo sprawdzić, ile zarabiasz

Dwa miesiące temu czytelnicy serwisu niebezpiecznik.pl zgłosili lukę, którą wykryli w Platformie Usług Elektronicznych Zakładu Ubezpieczeń Społecznych. Znając imię, nazwisko i numer PESEL danej osoby, można było założyć jej konto i uzyskać dostęp do danych osobowych, historii zatrudnienia, informacji o zarobkach, pobieranych rentach i płaconych składkach, składkach OFE czy o wystawionych zaświadczeniach lekarskich.

Chronione były tyko te osoby, które wcześniej założyły sobie konto w ePUAP. Ministerstwo Cyfryzacji podaje, że takie konta ma tylko 1,55 mln osób.

W miniony weekend Profil Zaufany w ZUS wydzielono z platformy ePUAP. I dopiero wówczas luka została załatana.

"Wiedzieliśmy o tej luce od dawna i niestety nie mogliśmy o niej napisać zanim nie została usunięta (...). O luce dowiedzieliśmy się pod koniec lipca. Napisał nam o niej Czytelnik, który był zaniepokojony możliwością wysyłania do ZUS-u pism w czyimś imieniu. W trakcie weryfikowania jego doniesień okazało się, że problem jest o wiele poważniejszy niż tylko wysyłanie pism pod fałszywymi danymi" - czytamy na niebezpiecznik.pl.

Z informacji otrzymanych przez tvn24bis.pl od rzecznika ZUS Wojciecha Andrusiewicza wynika, że nie doszło do kradzieży żadnych danych.

"Problem, po jego wykryciu niezwłocznie został zgłoszony do wykonawcy obsługującego PUE na zlecenie ZUS, który podjął działania w celu szybkiego usunięcia błędu. Równolegle do tych prac trwała integracja systemu PUE ZUS z Profilem Zaufanym ePUAP. Aby zapewnić spójność rozwiązania i funkcjonalności, które są ze sobą ściśle powiązane podjęto decyzję o wspólnym wdrożeniu zmian. Zapewniam, że Platforma Usług Elektronicznych była i jest cały czas monitorowana pod kątem bezpieczeństwa danych. Zapewniam, że w czasie gdy występował wskazany błąd konta klientów ZUS na PUE były bezpieczne" - informuje rzecznik.

Przez co najmniej dwa miesiące każdy mógł założyć konto, podszywając się pod kogoś innego. Dane potrzebne do tego celu można łatwo pozyskać, spisując je np. z dowodu osobistego, który wiele osób nadal zostawia, wypożyczając kajaki czy inny sprzęt sportowy. Często także sprzedawcy zachęcają klientów do wstąpienia do klubów lojalnościowych, wymagając podania tych danych.

"Kategorycznie stwierdzam jednak, że nie doszło do żadnego włamania na jakiekolwiek konto klienta ZUS na PUE oraz kradzieży jakichkolwiek danych. W czasie kiedy wykonawca na zlecenie ZUS przygotowywał poprawkę uszczelniającą system wszelkie logowania do PUE były ściśle monitorowane. Zapewniam każdego klienta ZUS o bezpieczeństwie jego danych w Zakładzie" - podał rzecznik.

Andrusiewicz dodał, że monitoring PUE, wraz z logowaniami, jest prowadzony przez cały czas.

"Z tego co można przeczytać, dziennikarze niebezpiecznika.pl logowali się na konta swoich znajomych, od których mieli PESEL, którego posiadanie było niezbędne do założenia konta na ePUAPie. Poza tym podobnego przypadku, w którym zaproszony do administrowania czyimś kontem na ePUAPie rejestrował profil na PUE nie odnotowaliśmy" - wyjaśnia rzecznik. I dodaje: Jednak jeżeli ktokolwiek ma wątpliwości to dla własnego spokoju, zawsze może sprawdzić wszelkie informacje na swój temat w placówce ZUS.

Ministerstwo Cyfryzacji potwierdza, że serwis niebezpiecznik.pl poinformował resort o zaistniałej sytuacji.

- Operacja była możliwa przy wykorzystaniu Profilu Zaufanego. Błyskawicznie sprawdziliśmy i poinformowaliśmy Centralny Ośrodek Informatyki. Okazało się, że problem leży nie po stronie Profilu Zaufanego, którym administruje COI, tylko platformy PUE ZUS - wyjaśnia Karol Manys, rzecznik Ministerstwa Cyfryzacji. Potwierdza, że odpowiedzialność za błąd systemu ponosi właśnie ZUS.

Sadowski: ZUS działa jak piramida finansowa

Autor: pmb//km / Źródło: Niebezpiecznik.pl, tvn24bis.pl,