Luka systemu ePUAP pozwalała poznać posiadane przez ZUS dane osobowe

Black reflective tablet with a padlock on it and reflection.

Elektroniczna Platforma Usług Administracji Publicznej pozwala zalogować się na stronie PUE ZUS. Wystarczyło znać imię, nazwisko i PESEL danej osoby by uzyskać kontrolę nad jej kontem ePUAP.
Po pierwszym logowaniu ZUS uzupełniał to konto mnóstwem dodatkowych informacji: dalszymi danymi osobowymi, historią zatrudnienia, pobieranymi świadczeniami (rentami i zasiłkami), składkami OFE i informacjami o zarobkach.
Luka została odkryta i zgłoszona w czerwcu przez redakcję portalu Niebezpiecznik. Polegała ona na możliwości założenia konta ePUAP na cudze nazwisko, jeżeli osoba ta jeszcze go nie posiadała. Konta tego nie trzeba było weryfikować w urzędzie. Wystarczało powierzyć jego administrowanie innemu kontu ePUAP z Profilem Zaufanym. Po przyjęciu zaproszenia do administrowania, można było zalogować się jako dana osoba na stronie ZUS.
ZUS załatał lukę 10 września.
Nie wiadomo jeszcze czy lukę odkrył ktoś poza pracownikami portalu. By sprawdzić czy nie padło się ofiarą kradzieży, należy założyć konto na ePUAP. Jeżeli pojawi się komunikat, że konto na nasze dane już istnieje, a my nigdy go nie zakładaliśmy, to znaczy, że być może padliśmy ofiarą przestępstwa.

 

Źródła:

[AKTUALIZACJA #3] Jak można było poznać wysokość zarobków milionów Polaków przez lukę w internetowej platformie ZUS-u?


http://serwisy.gazetaprawna.pl/nowe-technologie/artykuly/975846,powazna-luka-w-zus-mozna-bylo-poznac-wysokosc-zarobkow-milionow-polakow.html
http://di.com.pl/ta-dziura-w-platformie-zus-byla-znacznie-gorsza-niz-sierpniowy-wyciek-ktorego-nie-bylo-55486

About Redakcja 311 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.