Ta dziura w platformie ZUS była znacznie gorsza niż sierpniowy "wyciek-którego-nie-było"

14-09-2016, 14:48

Imie, nazwisko, PESEL - ta garstka danych pozwała na uzyskanie wielu innych informacji o człowieku, jeśli ktoś umiejętnie posłużył się ePUAP-em i potem platformą PUE ZUS. Luka jest już załatana, ale jej wcześniejsze istnienie powinno dać nam mocno do myślenia.

Dziś w Niebezpiecznik.pl znajdziecie mój tekst pt. Jak można było poznać wysokość zarobków milionów Polaków przez lukę w internetowej platformie ZUS-u?. W tym tekście wraz z kolegami z Niebezpiecznika opisałem chyba najpoważniejszą znaną mi dziurę w systemach polskiej e-administracji. Ta dziura nie wywołała jeszcze takiego szumu jak ten "wyciek z bazy PESEL", którego tak naprawdę nie było. Trzeba natomiast powiedzieć, że ta luka istniała naprawdę i była naprawdę groźna.  

Imię, nazwisko, PESEL. To wystarczyło

Jak przeczytacie w Niebezpieczniku, luka pozwalała dowolnej osobie wyciągnąć mnóstwo informacji na temat obywatela znanego tylko z imienia, nazwiska i numeru PESEL. Uzyskanie informacji wymagało sprytnego posłużenia się dwoma narzędziami e-administracji - ePUAP-em oraz PUE ZUS.

Najpierw należało założyć "ofierze" konto na ePUAP-ie. To konto nie musiało być "zweryfikowane" w urzędzie, bo wystarczyło zaprosić do administrowania kontem siebie samego (jeśli miało się inne kontro z profilem zaufanym). Następnie, po przyjęciu zaproszenia do administrowania kontem, można było udać się na stronę ZUS-u i założyć konto w imieniu osoby, której założyliśmy konto "niezweryfikowane". Konto na PUE ZUS miało od razu status "zaufanego", choć tak naprawdę żaden urzędnik nie potwierdził tożsamości posiadacza.

Uzyskując dostęp do cudzego konta na PUE ZUS "atakujący" miał możliwość przeglądania mnóstwa informacji o danej osobie. Są tam dane adresowe, informacje o składkach, informacje o OFE, o zaświadczeniach lekarskich, przyznanych rentach i pobieranych zasiłkach. Mnóstwo szczegółowych i zazwyczaj nie tak łatwo dostępnych informacji o człowieku. Jeden poniższy zrzut daje wyobrażenie o co chodzi. 

PUE ZUS

Z informacji o składkach można wyliczyć zarobki. Poza tym luka pozwalała na wysyłanie pewnych pism w imieniu osoby, która mogła nie mieć pojęcia o założeniu jej konta na PUE ZUS. Teoretycznie można było nawet przekierować rentę babci na swoje konto, choć w praktyce byłby to głupi pomysł. 

Luka istniała dość długo i trudno powiedzieć ile razy mogła być wykorzystana. Wraz z redakcją Niebezpiecznika dowiedzieliśmy się o niej na początku lipca. Przetestowałem możliwość wykorzystania luki i poinformowaliśmy o sprawie minister Annę Streżyńską. Ministerstwo Cyfryzacji i Centralny Ośrodek Informatyki dość szybko ustaliły, że poprawka musi być wdrożona po stronie ZUS. Niestety ZUS się nie śpieszył i na wdrożenie łatki czekaliśmy aż do 10 września!  

Nieco przerażające było to, że w czasie oczekiwania na łatkę miałem utrudniony kontakt z ZUS-em.

Inaczej było z minister Streżyńską, która ze swojej strony naciskała na poprawki i pomagała nam w zdobywaniu informacji na temat statusu całej sprawy. Pani minister odpisywała nawet z urlopu i w godzinach niebędących standardowymi godzinami pracy. To robiło na nas duże wrażenie. 

Wybaczcie, że nie nie będę tutaj dokładniej opisywał luki oraz historii jej łatania. To wszystko znajdziecie na Niebezpieczniku. W tekście dla DI chciałbym ograniczyć się do kilku dodatkowych spostrzeżeń. 

Lepiej nie mów "to tylko PESEL"

Po pierwsze, ta luka pozwalała pozyskać mnóstwo informacji jedynie na podstawie imienia, nazwiska i PESEL-u. Wcześniej kilkakrotnie zdarzyło mi się pisać teksty, w których krytykowałem praktyki różnych instytucji zbyt łatwo ujawniających numery PESEL. Potem wysłuchiwałem narzekań krytyków, którzy mówili: "daj spokój, przecież PESEL to nie jest dana wrażliwa, to nic nie ujawnia, każdy może znać PESEL i co?". 

No i właśnie to. Ta jedna luka w PUE ZUS sprawiła, że właśnie PESEL był daną pozwalającą poznać inne dane. Oczywiście musiały wystąpić pewne dodatkowe czynniki, ale one naprawdę wystąpiły!

Kiedyś Fundacja Panoptykon rozprowadzała naklejki z tekstem: "Jedna dana, druga dana i prywatność wyjeb..na". To hasełko kryje w sobie dużo prawdy. Jeśli dziś ujawnisz o sobie kilka "nieistotnych" danych (jak PESEL) to jutro ktoś inny sprytnie je połączy i uzyska kolejne dane. To jest rzeczywistość społeczeństwa cyfrowego. Jeszcze 50 lat temu ludziom nie mieściło się w głowach, że w ogóle może istnieć coś takiego jak "kradzież tożsamości" albo "ochrona danych osobowych". Dziś nabijamy się z ochrony danych traktując ją jako dziwaczne utrudnianie, ale w istocie chodzi o utrzymanie kontroli nad swoim życiem. W społeczeństwie informacyjnym mamy swoje "życie informacyjne", ważne niemal tak samo jak "życie rodzinne" czy "życie zawodowe". 

Doświadczenie potrzebne na przyszłość

Pozwolę sobie na jeszcze jedno spostrzeżenie. Ministerstwo Cyfryzacji niedawno zapowiedziało, że 

W najbliższym czasie udostępniona zostanie możliwość potwierdzania Profilu Zaufanego przy pomocy bankowych systemów transakcyjnych. Do tej pory do wykonania tej czynności konieczna była osobista wizyta w urzędzie.

To będzie rewolucja i to bardzo potrzebna. Osobiście ciesze się, że Ministerstwo Cyfryzacji chce coś takiego zrobić. Z drugiej strony cieszę się, że właśnie teraz wyszła na jaw informacja o luce w PUE ZUS. Przecież ta luka dotyczyła właśnie "zaufania" osoby z pominięciem wizyty w urzędzie. W przypadku PUE ZUS ta procedura nie przebiegała jak należy. Ta luka pokazuje wyjątkowo dobrze, jak bardzo pewne drobiazgi mogą wpływać na kluczowe sprawy. 

Podkreślmy, że luka w PUE ZUS została załatana - to dobrze. Obyśmy już nigdy nie zobaczyli podobnej luki w całej e-administracji. Jeśli zobaczymy, być może uda się ją szybciej załatać. Zebrane teraz doświadczenia być może w tym pomogą.

Teraz łatwo zrozumieć, dlaczego obecna Minister Cyfryzacji tak dużo mówi o cyberbezpieczeństwie. E-administracja będzie pożyteczna tylko jeśli będzie bezpieczna. 


  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Wrzesień 2020»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
282930