O luce w internetowej platformie ZUS-u

403

W Platformie Usług Elektronicznych ZUS właśnie załatana została bardzo poważna luka. Pozwalała ona założenie konta na internetowej platformie ZUS-u dowolnej osobie, której znaliśmy imię, nazwisko oraz numer PESEL. Po pierwszym logowaniu ZUS uzupełniał to konto wieloma dodatkowymi informacjami, historią zatrudnienia, dalszymi danymi osobowymi, pobieranymi świadczeniami, składkami OFE i, co najważniejsze, informacjami o zarobkach.
Od dawna konto na platformie elektronicznej ZUS-u można było założyć oraz oficjalnie potwierdzić korzystając z ePUAP-u i Profilu Zaufanego. W procedurze istniała jednak luka, która pozwalała na oficjalne potwierdzenie konta PUE ZUS przez osobę inną niż faktyczny posiadacz konta. Wykorzystanie wspomnianej luki nie było możliwe jedynie w przypadku, gdy jakaś osoba miała już konto na ePUAP lub PUE ZUS. Takich osób jest jednak bardzo mało, szacuje się, że konto na ePUAP posiada jedynie 1 550 000 z ok. 39 000 000 Polaków.
Aby wykraść czyjeś dane z PUE ZUS, wystarczyło posiadać jedynie imię, nazwisko i numer PESEL konkretnej osoby, a następnie założyć na te dane konto w ePUAP. Takie konto wcale nie musiało być potwierdzone w „okienku” urzędu. Do ataku na PUE ZUS wystarczyło “nie w pełni zweryfikowane/zaufane” konto ePUAP, które każdy może założyć przez internet.
Źródło: www.niebezpiecznik.pl