W Platformie Usług Elektronicznych ZUS właśnie załatano poważną lukę, którą do ZUS-u zgłosiliśmy 2 miesiące temu. Dziura pozwalała na założenie konta na internetowej platformie ZUS-u dowolnej osobie, jeśli tylko znaliśmy jej imię, nazwisko i PESEL. Po pierwszym logowaniu ZUS uzupełniał to konto mnóstwem dodatkowych informacji: dalszymi danymi osobowymi, historią zatrudnienia, pobieranymi świadczeniami (rentami i zasiłkami), składkami OFE i informacjami o zarobkach… Poniżej opisujemy nie tylko na czym polegał błąd, ale jak od kuchni wyglądało jego przedłużające się łatanie i komunikacja międzyresortowa.

ePUAP-em do PUE ZUS-u

W czasie tego weekendu Profil Zaufany został wydzielony z platformy ePUAP. Tym samym załatano bardzo poważną lukę. Wiedzieliśmy o tej luce od dawna i niestety nie mogliśmy o niej napisać zanim nie została usunięta. Pod koniec lipca daliśmy my Wam jednak drobny sygnał, co zrobić, aby nikt nie mógł Wam tą dziurą zaszkodzić. W artykule opisującym jak uniknąć otrzymywania od ZUS poufnych danych listem zwykłym delikatnie zasugerowaliśmy, żebyście jak najszybciej założyli sobie konto na PUE ZUS. Wspomnieliśmy, że…

…dowolna osoba znająca jedynie wasze imię i nazwisko oraz PESEL może pozyskać resztę waszych danych osobowych korzystając z publicznie dostępnych rządowych systemów

Brzmi groźnie prawda? W istocie było bardzo groźnie. O luce dowiedzieliśmy się pod koniec lipca. Napisał nam o niej Czytelnik, który był zaniepokojony możliwością wysyłania do ZUS-u pism w czyimś imieniu. W trakcie weryfikowania jego doniesień okazało się, że problem jest o wiele poważniejszy niż tylko wysyłanie pism pod fałszywymi danymi.

Korzystając z podpowiedzi przekazanych przez Czytelnika udało nam się założyć konto na PUE ZUS pewnej osobie, absolutnie bez jej udziału. Zaraz potem odbyła się taka oto rozmowa telefoniczna pomiędzy naszym redaktorem i tą osobą.

– Cześć Kuba. Właśnie założyłem Ci konto na platformie ZUS.

– Ale… eeee… co Ty gadasz. Ja mam jakieś konto?

– Już masz.

– Dzięki, ale po co mi to?

– Możesz sobie sprawdzić jakie składki płacili Twoi pracodawcy, możesz sobie przypomnieć swój numer dowodu

(chwila milczenia).

– Zaraz! K… Masz te moje dane przed oczami?

– Właśnie tak.

Kuba nie miał do nas żalu, zresztą udostępnił nam PESEL wiedząc, że zrobimy z nim “coś ciekawego”. Żalu nie miały także inne osoby, na których przetestowaliśmy działanie luki za ich zgodą.

Na czym polegał błąd i jak można wykraść czyjeś dane z ZUS-u?

Konto na platformie elektronicznej ZUS-u od dawna można było założyć i oficjalnie potwierdzić korzystając z ePUAP-u i Profilu Zaufanego. W procedurze tej była jednak luka, która pozwalała na oficjalne potwierdzenie konta PUE ZUS przez osobę inną niż faktyczny posiadacz konta.

Jeśli jakaś osoba miała już konto na ePUAP albo konto na PUE ZUS, wykorzystanie omawianej luki nie było możliwe. Gorzej jeśli ktoś — tak jak Kuba i miliony Polaków — nie miał konta ani na ePUAP ani na PUE ZUS. Takich osób jest w Polsce bardzo dużo, a w zasadzie to chyba większość Polaków. Są to zwłaszcza osoby starsze, choć również wielu młodych i świadomych cyfrowo obywateli wciąż woli iść do urzędu niż męczyć się z ePUAP-em. Według Ministerstwa Cyfryzacji, konto na ePUAP posiada jedynie 1 550 000 z ok. 39 000 000 Polaków.

Aby wykraść czyjeś dane z PUE ZUS trzeba było posiadać czyjeś imie, nazwisko i PESEL. Potem założyć na te dane konto w ePUAP. To konto nie musiało być oficjalnie potwierdzone “w okienku” urzędu (takiej wizyty wymaga założenie Profilu Zaufanego, ale to co innego). Do ataku na PUE ZUS wystarczyło “nie w pełni zweryfikowane/zaufane” konto ePUAP, które każdy może założyć przez internet.

Założyliśmy więc Kubie najpierw konto ePUAP, o czym nie miał on pojęcia. Następnie zalogowaliśmy się na to konto i skorzystaliśmy z oferowanej przez ePUAP opcji przydzielania uprawnień do konta (w menu “Zarządzanie kontem” >>> “Uprawnienia”).

Z konta założonego Kubie wysłaliśmy zaproszenie do administrowania jego kontem innemu użytkownikowi ePUAP. To zaproszenie trafiło do naszego redaktora, który miał urzędowo potwierdzone konto na ePUAP z Profilem Zaufanym i oczywiście zaproszenie do administrowania czyimś kontem ochoczo przyjął.

Teraz wystarczyło, że nasz redaktor udał się na stronę PUE ZUS, i wybrał logowanie się do PUE ZUS przez ePUAP, a na drugim ekranie wyboru tożsamości ePUAP wskazał, że chce się zalogować jako Kuba. Bo jeśli ktoś miał uprawnienia do zarządzania kilkoma kontami ePUAP, to przy logowaniu do PUE ZUS zawsze następowało pytanie o to, jako kto chcemy się zalogować.

Ponieważ tożsamość Kuby, którą nasz redaktor wybrał do logowania do PUE ZUS jeszcze nie miała tam założonego konta, system od razu proponował utworzenie profilu. Nazwisko i PESEL były już wpisane (takie jak w ePUAP, pobrane zapewne z ePUAP-u). Trzeba było tylko ustawić jakieś hasło dostępowe i podać e-mail.

Wykorzystanie luki w skrócie. Założenie konta “ofierze” na ePUAP (trzeba podać PESEL ofiary) Wysłanie zaproszenia do administrowania świeżo utworzonym kontem do samego siebie (na konto ePUAP posiadające Profil Zaufany) Przyjęcie zaproszenia Zalogowanie do PUE ZUS przez ePUAP i wybór tożsamości “ofiary” Zakładanie profilu na PUE ZUS i jego automatyczne “zaufanie” kontem powiązanym ePUAP posiadającym Profil Zaufany Nieskrępowany dostęp do mnóstwa danych ofiary

Podsumowując, profil na PUE ZUS został utworzony dla osoby trzeciej, która nie posiadała Profilu Zaufanego, a zatem jej tożsamość nie była oficjalnie potwierdzona. Ale była, bo osoba trzecia z założonym jej przez kogoś niezweryfikowanym kontem ePUAP, które oddano do administracji komuś innemu z potwierdzonym urzędowo Profilem Zaufanym, staje się wedle ZUS-u obywatelem posiadającym możliwość utworzenia “zaufanego” konta na PUE ZUS. Proste, prawda?

Co jest na koncie PUE ZUS?

Po zalogowaniu się na konto Kuby mogliśmy zobaczyć jego dane: imiona, nazwisko, PESEL oraz dodatkowe, nieznane do tej pory informacje, tj.:

dane adresowe

numer dowodu osobistego

datę urodzenia (którą mogliśmy i tak wydedukować z PESEL-u)

Następnie rzuciliśmy okiem na ubezpieczenia Kuby i dowiedzieliśmy się gdzie pracował.

Wreszcie rzuciliśmy okiem na informacje o jego składkach, bo czemu nie. To co widać na zrzucie to tylko dane za rok 2016. Było tego więcej!

Na podstawie wysokości składek odprowadzanych do ZUS-u można w większości przypadków dość precyzyjnie określić wysokość zarobków danej osoby.

Jakby tego było mało, z czyjegoś konta PUE ZUS możemy się dowiedzieć jeszcze o tym:

jaki OFE ktoś wybrał

przejrzeć wystawione mu zaświadczenia lekarskie

pozyskać informacje o przyznanych rentach

pozyskać informacje o pobieranych zasiłkach.

Dużo to danych, prawda? Ale to nie koniec katastrofy…

Wysyłanie pism do ZUS w czyimś imieniu, czyli przekieruj rentę babci

Ta sama luka mogła zostać użyta do kontaktowania się z ZUS-em w imieniu innej osoby. Można było przykładowo wysłać pismo o zmianie sposobu wypłacania świadczeń. Nietrudno się domyślić, że to jest pewien problem. Potencjalnie można zrobić “skok” na czyjąś rentę, choć pewnie szybko zostałoby to zauważone i zysk nie byłby, w przypadku ataku na jedną osobę, zbyt oszałamiający…

Łatanie luki w ekspreZUS-owym tempie…

W lipcu o sprawie poinformowaliśmy Ministerstwo Cyfryzacji, ZUS i bezpośrednio panią minister Annę Streżyńską, która przy okazji wcześniejszych kontaktów prosiła nas o sygnały przy takich okazjach.

Nikt nie miał wątpliwości, że sprawa jest poważna. Nieoficjalnie usłyszeliśmy, że pewien wyższej rangi pracownik COI przeczytawszy o tej luce powiedział jedno:

“O k…”

Nie był to najbardziej poetycki komentarz, ale wyraźnie świadczył o tym, że po stronie naszych rozmówców problem został poprawnie zrozumiany.

W sierpniu dowiedzieliśmy się, że błąd leży w systemach ZUS-u. Minister Streżyńska napisała nam, że ZUS obiecał wprowadzić poprawkę i uporać się z tematem “do końca miesiąca”. Oto treść e-maila od Pani Minister:

Nie jest to satysfakcjonujące z uwagi na to ze czekamy od czerwca ale na obecnym etapie rozwoju naszej pozycji w administracji rządowej i wobec braku możliwości nakładania obowiazkow w informatycznej strukturze państwa i w zakresie cyberbezpieczeństwa – niestety musimy tym się cieszyć

Nie pozostawało nic innego jak czekać do końca miesiąca.

Przyszedł wrzesień, luka dalej straszy

Na początku września natychmiast zwróciliśmy się do Ministerstwa Cyfryzacji i ZUS-u z pytaniami, czy luka została już załatana. Rzecznik ministerstwa zasugerował nam, że poprawka powinna być wdrożona, natomiast komentarza w tej sprawie powinien udzielić rzecznik ZUS.

Z rzecznikiem ZUS skontaktowaliśmy się mailowo i… nic. Potem zadzwoniliśmy i dowiedzieliśmy się, że trwają ostatnie ustalenia dotyczące komentarza dla Niebezpiecznika. Planowo mieliśmy otrzymać ten komentarz do dnia 5 września.

6 września komentarza nadal nie było.

Byliśmy pewni, że poprawka została wdrożona tylko służby prasowe ZUS nie chcą lub nie mogą przygotować dla nas komentarza. Postanowiliśmy puścić artykuł bez tego komentarza i całe szczęście, że przed naciśnięciem “PUBLIKUJ” postanowiliśmy jeszcze raz sprawdzić, czy luka rzeczywiście została załatana. Bo nie została.

Bez problemu założyliśmy kolejne konto na PUE ZUS mając tylko imię, nazwisko i PESEL kolejnej “zaprzyjaźnionej” ofiary. Zwróciliśmy się znów do Minister Cyfryzacji z prośbą o pomoc, bo ZUS wydawał się postępować niepoważnie (obietnice komentarzy, brak klarowności co do faktu załatania luki, itd.).

Pani Minister szybko odpisała (tak na marginesie, to krótkie czasy odpowiedzi i poza-urzędowe godziny ich wysyłania robią na nas ogromne wrażenie. Pani Minister na maile odpowiada szybko, nawet podczas urlopu):

Dobry wieczór, dostalismy od Prezesa Możdżonka z ZUS takie wyjaśnienie. „Łatka jest zrobiona i czeka na wdrożenie razem z profilem zaufanym. COI bylo poinformowane o tym w ramach war-roomu. Ponieważ MC przesunęło wdrożenie, to myśle ze pozbędziemy się problemu w najbliższy weekend jak wdrożycie nowy profil zaufany.” My (MC) w poprzedniej korespondencji nie byliśmy informowani o tym że łatka czeka na wydzielenie PZtu. Ale w takim razie o ile uda nam się zrealizować wszystko co zaplanowane jest na ten tydzień (poprawki do ePUAP), w weekend powinniśmy wydzielić PZ i osiągnąć także tę łatkę. Pozdrawiam

Czyli ZUS zaczekał z załataniem luki, aby zsynchronizować to ze zmianami w ePUAP. Może to i dobry pomysł, ale mogło dojść do bolesnej pomyłki. Byliśmy niemal pewni, że luka jest załatana i tylko czekamy na “pijarowy” komentarz. Ministerstwo Cyfryzacji również sądziło, że poprawka została wdrożona w obiecanym pierwotnie terminie.

Luka wreszcie załatana, ale…

Dziś rano przekonaliśmy się, że luka została wreszcie poprawnie załatana. Potem otrzymaliśmy potwierdzenie od minister Anny Streżyńskiej, że łatka została wdrożona. Nadal jednak czekamy na komentarz ZUS w tej sprawie… Kiedy (jeśli?) tylko go otrzymamy, zaktualizujemy o niego artykuł.

Zresztą, nawet gdyby luka dziś wróciła, to osoby chcące ją wykorzystać trafią na dodatkowy problem. Założenie konta ePUAP obecnie nie działa tak jak powinno. Jak napisał nam przed kilkoma minutami czytelnik Rafał:

Dzis postanowilem sobie zalozyc profil epuap..i po zalogowaniu zobaczyłem to co poniżej. Czy to normalny widok z poziomu uzytkownika? ;-)

Szybkie pytanie do Google i już wiadomo, że Draco to konsola zarządzania podsystemem bezpieczeństwem ePUAP. Czyżby teraz każdy noworejestrujący się na ePUAP-ie obywatel od razu stawał się “administratorem organizacji”?

Na marginesie, pomimo tego, że luka jest załatana, to jeśli ktoś komuś wcześniej założył konto na PUE ZUS z jej wykorzystaniem, to dalej do tego konta ma dostęp. Luka nie usuwa kont założonych w sposób nieautoryzowany, tj. przy pomocy opisanego powyżej błędu.

Ktoś założył mi konto na PUE ZUS — co robić? Jak żyć?

Załatanie luki oznacza, że od dziś z opisanej przez nas metody wykradania z ZUS-u nikt już nie skorzysta. Nie zmienia to faktu, że przed wdrożeniem poprawki pewne osoby mogły założyć konta PUE ZUS innym obywatelom, którzy do tej pory nic o tym nie wiedzą.

Założenie konta na PUE ZUS rodzi pewne konsekwencje np. sprawia, że ZUS zaprzestaje listownego przesyłania danej osobie informacji o stanie konta. Poza tym byłoby niedobrze, gdyby jakiś obywatel nie mógł założyć konta PUE ZUS, bo ktoś inny zrobił to wcześniej za niego.

Co jeszcze grozi obywatelom, którym ktoś założył konto w PUE ZUS? I jak mogą oni sprawdzić, czy ktoś miał nieautoryzowany dostęp do ich danych? O to właśnie pytaliśmy rzecznika ZUS, który milczy… Czyżby czarnych scenariuszy było aż tyle, że ich opisanie zajmuje już 2 tygodnie?



Obecnie PUE ZUS w ogóle nie działa:



Choć minęły już 2 tygodnie od pierwszego kontaktu i 24 godziny od publikacji artykułu, rzecznik ZUS nadal nie odpowiada na nasze pytania. Wypowiada się dla innych mediów, twierdząc, że “luki nie ma”. My tymczasem mamy dla was garść dodatkowych informacji.

Okazuje się, że założenie konta ePUAP jest możliwe nawet wówczas, jeśli ktoś wcześniej założył “niepotwierdzone” konto na ten sam PESEL. Zachęcamy wszystkich, aby założyli sobie profil zaufany i konto ePUAP, a potem “zaufali” profil poprzez wizytę w urzędzie.

Jeśli chodzi o konta PUE ZUS to niestety nie da się założyć konta, jeśli ktoś zrobił to za was.

Jeśli zobaczycie komunikat taki jak poniżej to możecie zacząć się martwić. A jeśli uda się Wam założyć konto, nikt inny już tego za was nie zrobi.

Na koniec dodajmy, że lukę można było usunąć już w październiku 2015 roku. To wtedy po raz pierwszy nasz Czytelnik zgłaszał sprawę możliwości wysyłania wniosków w czyimś imieniu przez PUE ZUS Ministerstwu Administracji i Cyfryzacji oraz GIODO. Czytelnik próbował też zgłosić ten problem do ZUS, ale bez żadnej reakcji.



Otrzymaliśmy wreszcie odpowiedź rzecznika ZUS, Wojciecha Andrusiewicza. Co prawda nie zawiera ona żadnego komentarza odnośnie luki, ale zawiera informację istotną dla obywateli. Jak sprawdzić czy ktoś założył nam konto PUE ZUS?

W każdej jednostce ZUS lub za pośrednictwem Centrum Obsługi Telefonicznej (numer telefonu 22 560 16 00) Klient może uzyskać informację o tym czy posiada profil na PUE. Taką weryfikację można przeprowadzić również samodzielnie. Należy spróbować zarejestrować profil na PUE poprzez opcję Zarejestruj profil – dla Ciebie – Do rejestracji, czyli poprzez formularz rejestracyjny. Jeżeli profil został już wcześniej założony z uwzględnieniem nr PESEL danej osoby, to klient otrzyma komunikat: „Zarejestrowanie nowego profilu nie powiodło się. Profil dla wprowadzonych danych istnieje już w portalu”. Jeśli Klient nie zakładał profilu na PUE a okazałoby się, że go posiada, powinien zgłosić się osobiście do wybranej jednostki ZUS (z dokumentem tożsamości). Jeżeli Klient chce korzystać z tego profilu na PUE, pracownik ZUS zaktualizuje dane klienta, w tym dane do kontaktu: adres e-mail i nr telefonu. Klientowi podany zostanie login i odświeżone (zmienione) zostanie hasło. W zależności od wybranego przez klienta sposobu odbierania powiadomień z PUE, hasło zostanie przekazane sms lub na adres e-mail (link do zmiany hasła). Jeżeli Klient nie chce korzystać z tego profilu, może go zablokować. W takiej sytuacji konto będzie nieaktywne i nie będzie możliwości zalogowania do niego.

Jeśli jesteś zainteresowany przetestowaniem Twojego serwisu internetowego pod kątem błędów bezpieczeństwa, daj nam znać . A jeśli tworzysz webaplikacje i chciałbyś robić to bez dziur i luk — polecamy udział w naszych szkoleniach z Atakowania i Ochrony Webaplikacji

Przeczytaj także: