Portal bezpiecznego e-biznesu

Dziura w ZUSie. Tym razem nie finansowa...

 Dziura w ZUSie. Tym razem nie finansowa...

Lexlab Bezpieczne regulaminy sklepów i serwisów internetowych Wycena usługi
Jak donosi serwis niebezpiecznik.pl aż 4 miesiące i 11 dni trwało, zanim ZUS załatał poważną dziurę w bezpieczeństwie własnego systemu informatycznego.
Dziura w ZUSie. Tym razem nie finansowa...

To właśnie niebezpiecznik.pl zgłosił ZUSowi istnienie tego zagrożenia na początku maja br., co wcześniej sygnalizował jeden z czytelników serwisu. W odpowiedzi zgłaszający zostali zapewnieni, że dotychczasowy proces autoryzacji jest wystarczająco bezpieczny(!)

Luka dotyczyła programu Płatnik służącego do przesyłania dokumentów elektronicznych do zakładu. Z tego programu korzysta wielu przedsiębiorców oraz biura rachunkowe obsługujące przedsiębiorców. Program przetwarzał dane płatników pobierane z centralnych serwerów ZUS. Proces synchronizacji danych nie był wystarczająco dobrze zabezpieczony i praktycznie każde biuro rachunkowe mogło pobrać dane dowolnego przedsiębiorcy, dla którego wcale nie świadczyło żadnych usług.

Wśród dostępnych danych znajdowały się: PESEL przedsiębiorcy, jego nazwa skrócona, telefon i email, adres zamieszkania, adres do korespondencji oraz dane o biurze rachunkowym, które go obsługuje. Przedsiębiorca, którego dane bezprawnie pozyskano w żaden sposób nie był o tym informowany, więc nie mógł tego zgłosić.

Serwis niebezpiecznik.pl przeprowadził eksperyment, w którym pobrał dane z systemu ZUS. Mimo zapewnień zakładu, że logi dostępu są monitorowane – nikt z jego strony na to nie zareagował. Uzyskanie dostępu do systemu polegało na wykorzystaniu do autoryzacji ogólnodostępnych danych, pochodzących na przykład z CEIDG.

Rozwiązywanie problemu przez ZUS trwało jednak wyjątkowo długo, a zakład zaczął traktować sprawę poważniej dopiero po powiadomieniu przez serwis minister Anny Streżyńskiej. Poprawki zostały wprowadzone 19 września. W tej chwili uzyskanie dostępu do wrażliwych informacji jest możliwe po podaniu dodatkowych danych.


Komentarze

‹ Poprzedni artykułAvril Lavigne „najbardziej niebezpieczną gwiazdą” online! Następny artykuł ›Facebook rejestruje słowo „książka” jako znak towarowy!

Newsletter

Bądź zawsze na bieżąco, czuj się bezpiecznie w sieci.
Wcale nie spam. Zapisz się do Newslettera.

Legalniewsieci.pl © 2019. Realizacja: Bling SH. Kodowanie: weboski.

Legalman

Logowanie


Nie masz jeszcze konta?

Zachęcamy do założenia konta.
Rejestracja zajmie Ci tylko chwilę.
Zarejestruj się