14.09.2016 19:11

Luka w ZUS-ie pozwala sprawdzić, ile zarabiasz

Wystarczyło kilka kliknięć na stronie ZUS-u, żeby można było sprawdzić czyjeś zarobki, poznać numer dowodu osobistego, a nawet ukraść rentę lub emeryturę. Łatanie dziury trwało miesiącami, osoby dotknięte wciąż nie mogą czuć się bezpiecznie.

Luka w ZUS-ie pozwala sprawdzić, ile zarabiasz
foto: Antyradio.pl / Michał Tomaszkiewicz

Błąd znaleziono w Platformie Usług Elektronicznych ZUS, dzięki której obywatele mogą zalogować się do instytucji i sprawdzić posiadane przez Zakład informacje na swój temat oraz wystosować oficjalne pisma urzędowe.

Logowanie do systemu wymaga założenia Profilu Zaufanego, służącego jako podpis identyfikujący obywatela w systemach e-administracji. Jego założenie wymaga pofatygowania się do fizycznego okienka w celu potwierdzenia tożsamości.

Uciążliwy proces zakładania sprawił, że Profil Zaufany ma zaledwie 1,5 mln Polaków – sytuacja może się zmienić, gdyż Ministerstwo Cyfryzacji chce, żeby PZ można było założyć za pośrednictwem banków.

Jeśli założyliście sobie wcześniej Profil Zaufany, możecie odetchnąć z ulgą – Wasze dane w ZUS były bezpieczne. Jeśli nie zadaliście sobie jednak takiego trudu, ktoś mógł już poznać Wasze finansowe sekrety i ma do nich wgląd nawet w tej chwili.

Luka w systemie PUE ZUS pozwalała na dostanie się na konto dowolnie wybranej osoby dzięki rozpoczęciu procedury zakładania jej Profilu Zaufanego. Trzeba było tylko znać imię, nazwisko oraz numer PESEL ofiary - a to dokładnie te dane, które były w nadzwyczaj intensywnie pobierane z rządowych serwerów przez kancelarie komornicze.

Nie trzeba czekać na zakończenie dochodzenia prokuratury, żeby dowiedzieć się czy nasz PESEL został pobrany – wystarczy skorzystać z tego prostego sposobu na otrzymanie informacji wprost z Ministerstwa.

Niepełny profil nie jest aktywny, zanim nie dojdzie do weryfikacji jego posiadacza. Niektóre opcje są jednak dostępne – wśród nich możliwość nadania dostępu administracyjnemu Profilowi Zaufanemu należącego do innej osoby.

Po nadaniu takich uprawnień ZUS umożliwiał zalogowanie się na konto PUE nie tylko przez Profil Zaufany należący do obywatela, na którego założone jest nieaktywne konto, ale przez zweryfikowany PZ z prawami do administracji.

Innymi słowy – wystarczyło wszcząć procedurę zakładania Profilu Zaufanego (robi się to przez internet wykorzystując imię, nazwisko i PESEL danej osoby) i przekazać sobie prawo do administrowania takim nieaktywnym PZ, by móc logować się na konto tej osoby w ZUS.

foto: zrzut ekranu

Są na nim obecne informacje dotyczące wysokości płaconych składek, na podstawie których można prosto wyliczyć wynagrodzenie, od którego są odprowadzane. Platforma pozwala także na poznanie dodatkowych danych osobowych obywatela, przejrzenie zaświadczeń lekarskich, zapoznanie się z przyznanymi świadczeniami i ich wysokością.

W PUE ZUS można ponadto zmienić dyspozycje dotyczące sposobu dostarczanie wypłat – wystarczy wskazać inne niż oryginalne konto bankowe, żeby w prosty sposób zagarnąć należne komuś innemu świadczenie.

Jak sprawdzić, czy mogliśmy paść ofiarą takiego ataku? Najprościej jest wszcząć procedurę zakładania Profilu Zaufanego. Jeśli otrzymamy informację, że nasz konto już istnieje (a nie zakładaliśmy go wcześniej) – może to oznaczać, że kogoś interesowały nasze zarobki.

Założyliście wcześniej Profil Zaufany?

Michał Tomaszkiewicz
Tagi: #Internet