Zaloguj się 
Dzieje się!
Udostępnij przez e-mail Ministerstwo Cyfryzacji załatało poważną lukę bezpieczeństwa w e‑usługach. Istniała przez lata
Załataliśmy lukę bezpieczeństwa w publicznych systemach e‑usług – przekazało Ministerstwo Cyfryzacji. Luka istniała przez kilka lat i umożliwiała podszycie się pod dowolnego obywatela.
Lukę w zabezpieczeniach wykrył ekspert ds. cyberbezpieczeństwa Michał Leszczyński w styczniu i zgłosił ją do CERT. Ministerstwo Cyfryzacji zapewnia, że „podjęto wtedy niezwłocznie działania”, a luka została już załatana w aktualizacji udostępnionej w lutym.
Luka istniała przez wiele lat w systemach jednostek publicznych, np. eZUS, e‑Zdrowie, e‑Sąd, na portalu praca.gov.pl czy w e‑Serwisie Urzędu Dozoru Technicznego. Jej istnienie pozwalało na podszycie się pod dowolnego obywatela i logowanie się w jego imieniu.
– Wykorzystanie błędu umożliwiało między innymi przejęcie dostępu do kont eZUS należących do właścicieli firm. Mając dostęp do takiego konta, można przeglądać listę wszystkich pracowników danej firmy wraz z ich wynagrodzeniami, adresami zamieszkania i numerami dowodów osobistych. W przypadku ZUS-u błąd mógł istnieć od 2017 r. – wskazał ekspert.
Polecamy: Cyberzagrożenia nie znikają. 10 sposobów, by je wyeliminować
– Możliwe też było wykradzenie wrażliwych danych czy składanie wniosków jako ta osoba, ale wszystko wskazuje na to, że nie doszło do takiego wykorzystania luki – mówił.
Jego zdaniem błędy w systemach niektórych urzędów „były tak oczywiste, że doświadczony specjalista wychwyciłby je niemal natychmiast”.
Istnienie błędu było efektem niepoprawnego wdrożenia oprogramowania Szafir SDK, którego producentem jest Krajowa Izba Rozliczeniowa.
„Na podstawie dostępnych nam informacji oraz analiz przeprowadzonych przez zaangażowane organy nic nie wskazuje na to, aby podatność była wcześniej znana osobom trzecim lub wykorzystywana do nieautoryzowanego dostępu do danych” – zapewnia Anna Olszewska z Krajowej Izby Rozliczeniowej.
2 czerwca Ministerstwo Cyfryzacji opublikowało projekt nowelizacji ustawy o usługach zaufania oraz identyfikacji elektronicznej. Ma on na celu wzmocnienie nadzoru nad podmiotami, które umożliwiają logowanie do e‑usług. Należy do nich m.in. KIR.
Projekt zakłada, by w audytach i kontrolach brali udział także specjaliści z jednostek podległych lub nadzorowanych przez MC. Mają to być osoby „z odpowiednią wiedzą i doświadczeniem zawodowym”.
Źródło: PAP, XYZ
Fot. Galeanu Mihai/Gety Images
