11:46
20/9/2017

Dziś oddajemy w Wasze ręce artykuł, z którego publikacją musieliśmy czekać 4 miesiące i 11 dni. Dlaczego tak długo? Bo aż tyle czasu ZUS-owi zajęło zrozumienie istoty i usunięcie błędu, który im zgłosiliśmy na początku maja… To smutna wiadomość, bo dzięki dziurze w programie Płatnik narażone na wyciek były dane wielu polskich przedsiębiorców…

Jak poważny jest poważny błąd?

We wrześniu ubiegłego roku pisaliśmy o bardzo poważnej luce w systemie ZUS-u, która pozwalała poznać zarobki milionów Polaków — raj dla wszelkiej maści wywiadowni gospodarczych, rekruterów, detektywów czy po prostu ciekawskich sąsiadów. Dziura była poważna i ZUS nie kwestionował potrzeby jej naprawienia.

W maju 2017 roku, dzięki Czytelnikowi poznaliśmy inną lukę, którą też zgłosiliśmy do ZUS-u, ale jej znaczenie musieliśmy ZUS-owi dłużej wyjaśniać…

Winny program Płatnik

ZUS udostępnia program Płatnik, który służy do przesyłania dokumentów elektronicznych do zakładu. Z tego programu korzysta wielu przedsiębiorców oraz biura rachunkowe obsługujące przedsiębiorców.

Aby z Płatnika skorzystać, trzeba pobrać do niego dane płatników z centralnych serwerów ZUS-u. I tutaj właśnie występował problem, bo w Płatniku nie było skutecznych zabezpieczeń procesu synchronizacji danych. Każde biuro rachunkowe mogło pobrać dane dowolnego przedsiębiorcy, dla którego wcale nie świadczyło żadnych usług. Co znajdowało się w tych danych?

1. PESEL przedsiębiorcy,
2. nazwę skrócoNą,
3. telefon i email,
4. adres zamieszkania,
5. adres do korespondencji,
6. dane o biurze rachunkowym, które go obsługuje.

Co więcej:

  • …osoba, której dane pobrano w taki sposób, nie wiedziała o pobraniu danych. Nie mogła więc iść do ZUS-u i zgłosić, że ktoś nieuprawniony pobrał jej dane.
  • w eksperymencie (o czym poniżej) udowodniliśmy że ZUS nie monitoruje czy ktoś kto pobiera z ich systemu dane, faktycznie robi to zgodnie zakresem swojego dostępu. ZUS w przpypadku naszego eksperymentu nie wykrył nadużycia, chociaż — jak twierdzi — monitoruje logi i sprawdza je pod kątem nadużyć. Przypomnijmy, że tego typu analiza logów pozwoliła (ale także po czasie) wykryć anomalie w dostępie do bazy PESEL, z której masowo dane pobierali komornicy, por. Wyciek danych milionów Polaków z bazy PESEL)
  • Wreszcie, do pobrania danych wymagany był e-podpis, który identyfikuje osobę odpowiedzialną za nadużycie — co według ZUS-u zapewniało bezpieczeństwo procesowi. Ale e-podpis można założyć na tzw. słupa. Więc nawet gdyby ZUS monitorował dostęp i sam zorientował się, że ktoś w sposób nieautoryzowany pobrał dane z ich systemu, to sprawa mogła się skończyć na panu Janku, który nigdzie nie mieszka i niewiele wie.

Problem: autoryzacja przewidywalnymi danymi

Oto, jak przed usunięciem luki wyglądał proces importu danych do Płatnika:

  • Użytkownik płatnika (np. księgowy, ale niekoniecznie) dodawał w programie nowego przedsiębiorcę. Dodawał NIP, Regon, imię, nazwisko i siedzibę. Te wszystkie dane znajdują się w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG).
  • Następnie użytkownik klikał w Administracja -> Aktualizuj komponenty programu i dane płatnikai dalej: Pobierz aktualizacje.
  • Program pytał o datę powstania obowiązku opłacania składek z ostatniego wysłanego do ZUS formularza ZPA lub ZFA. Odpowiedź znajduje się w CEIDG (to data rozpoczęcia wykonywania działalności gospodarczej).
  • Następnie użytkownik podpisywał się podpisem elektronicznym i dostawał:
    1. PESEL przedsiębiorcy (nie jest publicznie dostępny)
    2. nazwę skróconą,
    3. telefon i email, (nie musi być publicznie dostępny)
    4. adres zamieszkania, (nie musi być publicznie dostępny)
    5. adres do korespondencji,
    6. dane o biurze rachunkowym.

Tak to wyglądało w przypadku nowych firm. Jeśli chciało się pozyskać dane już założonej firmy, trzeba było dodatkowo podać wartość kwoty składek na ubezpieczenie społeczne za konkretny miesiąc. Problem w tym, że tę wartość można było łatwo zgadnąć w przypadku firm jednoosobowych. Takie firmy mogą płacić jedną z czterech kwot składek tzn.:

  • “mały ZUS”,
  • “mały ZUS” bez chorobowego,
  • “duży ZUS”,
  • “duży ZUS” bez chorobowego.

Potrzeba maksymalnie czterech prób i pobieramy wskazane wyżej dane oraz archiwalne deklaracje ZUS.

Nie ujawniliśmy danych pana Feliksa. Ten zrzut pochodzi z instrukcji do Płatnika, ale wystarczy by pokazać w czym rzecz.

Warto dodać, że problem nie dotyczył firm zatrudniających pracowników, bowiem w ich przypadku wartość kwoty składek jest trudna do zgadnięcia. Dotyczył natomiast nowych firm (gdy pracowników jeszcze nie ma) oraz właściwie wszystkich firm jednoosobowych. Możliwe było także pobranie danych przedsiębiorców, którzy już zakończyli działalność.

Co ZUS na to?

Problem zgłosił nam doradca podatkowy, który w ten sposób pobrał dane swojego klienta. Sprawa od razu wydała nam się poważna. Zdaniem tego doradcy problem istniał od ok. 2 lat tzn. od wprowadzenia Interaktywnego Płatnika Plus (IPP), który umożliwił synchronizację z danymi ZUS.

8 maja 2017 roku zwróciliśmy się z pytaniami w tej sprawie do ZUS. Po upływie ponad 2 tygodni dostaliśmy następującą odpowiedź (wytłuszczenia nasze).

Program Płatnik ma możliwość pobrania z ZUS aktualnych danych płatnika i ubezpieczonych oraz zaktualizowania na ich podstawie kartotek utrzymywanych w bazie danych programu. Pobranie tych danych wymaga złożenia podpisu na oświadczeniu, przekazywanym w ramach protokołu wymiany danych z usługami oraz podania informacji z poprzednio wysłanych do ZUS dokumentów. Program nie pozwala na pobranie danych z rejestrów centralnych (Repliki) bez uzyskania oświadczenia podpisanego przez płatnika z wykorzystaniem certyfikatu kwalifikowanego, oznaczającego, że płatnik posiada prawo do pobierania tych danych oraz bez przekazania niezbędnych do uwierzytelnienia danych z dokumentów przekazanych do ZUS

Program Płatnik odnotowuje w logu operacyjnym programu każde pobranie informacji z ZUS.

Moduł udostępniania danych płatnikom wymaga uwierzytelnienia przy wykorzystaniu kwalifikowanego podpisu elektronicznego. Następuje to poprzez przesłanie przez osobę uczestniczącą w komunikacji dokumentu opatrzonego podpisem weryfikowanym przy wykorzystaniu certyfikatu kwalifikowanego. System autoryzacji dostępu w usługach udostępniania danych z Repliki KSI jest oparty na oświadczeniu osoby o prawie do komunikacji z ZUS w imieniu danego płatnika oraz wyniku porównania danych zgromadzonych po stronie oprogramowania interfejsowego (programu Płatnik) z danymi którymi dysponuje ZUS.

Usługi udostępniania danych płatnikom gromadzą dane niezbędne m. in. do monitorowania sytuacji nietypowych i błędnych oraz dokumentowania faktu udostępnienia danych podmiotu X osobie Y. Logi dokumentujące fakt pobrania informacji z ZUS, utrzymywane przez usługi udostępniania danych płatnikom, są zapisywane w bazie danych. Dla każdego żądania udostępnienia danych są logowane informacje:

i) data i czas rozpoczęcia usługi,
ii) data i czas zakończenia usługi,
iii) status końcowy, którym zakończyła się usługa,
iv) w przypadku odmowy udostępnienia danych – informacja o przyczynie odmowy,
v) dane identyfikacyjne podmiotu żądającego udostępnienia danych,
vi) identyfikacja podmiotów, których dane zostały udostępnione. W przypadku danych z konta płatnika: identyfikator konta płatnika, w przypadku danych ubezpieczonych: wektor identyfikatorów kont ubezpieczonych,
vii) identyfikacja techniczna podmiotu wysyłającego,
viii) w bazie danych składowane są podpisane dokumenty oświadczenia o prawie do pobierania danych,
ix) nazwa oprogramowania interfejsowego z poziomu którego usługa była wywołana.

Kwestia użycia kwalifikowanego podpisu elektronicznego innej osoby jest uregulowana w ustawie z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej.

Art. 40 ust 1 Kto składa kwalifikowany podpis elektroniczny lub zaawansowany podpis elektroniczny z wykorzystaniem danych do składania podpisu elektronicznego przyporządkowanych do innej osoby, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Art. 41. Kto bez uprawnienia kopiuje lub przechowuje nieprzyporządkowane do niego dane do składania zaawansowanego podpisu elektronicznego lub pieczęci elektronicznej lub inne dane, które mogłyby służyć do ich odtworzenia,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

ZUS w kontakcie z płatnikami składek uczula ich, jak ważne jest aktualizowanie i sprawdzanie udzielanych upoważnień do reprezentowania płatnika przed ZUS szczególnie w zakresie wyboru pracownika, który ma otrzymać w danej firmie podpis kwalifikowany, który jest niezbędny do obsługi PP.

Z poważaniem

Wojciech Andrusiewicz
Rzecznik Prasowy ZUS

Całą tę odpowiedź można skrócić do słów: “Proces jest bezpieczny, i zgodny z prawem. Nic się nie stało”.

W odpowiedzi są pewne fragmenty, które budzą kontrowersje. Przykładowo rzecznik ZUS twierdzi, że system porównuje dane zgromadzone w Płatniku z danymi, którymi dysponuje ZUS. Niestety, pominięto sytuację w której — jeśli w Płatniku nie ma żadnych danych danych o przedsiębiorcy to — dane i tak będą pobrane.

ZUS wskazuje także, że sam fakt złożenia podpisu jest formą autoryzacji (potwierdzeniem upoważnienia do przetwarzania danych). Ale przecież operacja podpisu w żaden sposób nie świadczy o tym, że ktoś kto podpisał żądanie danych na prawo do ich pozyskania. Aby to udowodnić, przeprowadziliśmy test.

Zrobiliśmy eksperyment

Postanowiliśmy udowodnić, że dane można pobrać w sposób nieautoryzowany, pomimo tego, co twierdzi ZUS. Zaprzyjaźniony doradca podatkowy otrzymał od nas informację, że jeden z naszych redaktorów miał kiedyś jednoosobową działalność. Podaliśmy mu dane tej działalności, które są publicznie dostępne (w CEiDG: NIP, REGON, daty itd.). Na podstawie tych informacji doradca ten bez problemu pobrał dane naszego ofiarnego redaktora. Musiał tylko zgadnąć jaki ZUS płacił nasz redaktor i udało się to zrobić w drugiej próbie (redaktor tu nie pomagał).

ZUS nie zablokował dostępu. ZUS nie odezwał się do doradcy, z informacją że dane pobrał w sposób nieuprawniony. Ile jeszcze doradców (i od jak dawna) pobierało czyjeś dane, a ZUS o tym nie wie?

Gdzie zrobiono błąd?

W swojej odpowiedzi ZUS chwali się autoryzacją poprzez “podanie informacji z poprzednio wysłanych do ZUS dokumentów”. Taka autoryzacja nie byłaby zła, gdyby dane z tych dokumentów były unikatowe i nieprzewidywalne.

Przy elektronicznym rozliczaniu PIT-ów musimy podać kwotę z poprzedniego zeznania i jest to liczba na tyle unikatowa i nieprzewidywalna, że może stanowić narzędzie autoryzacji. Ale w modelu zaproponowanym i wykorzystywanym przez ZUS, w przypadku firm jednoosobowych kwota z formularza może być jedną z czterech możliwości. Nie jest unikatowa i da się ją zgadnąć, dlatego taki mechanizm autoryzacji należy uznać za chybiony.

4 miesiące (nie)łatania

Jak już wspomnieliśmy, istnienie luki po raz pierwszy zgłosiliśmy ZUS-owi 8 maja. 23 maja dostaliśmy zacytowaną powyżej odpowiedź rzecznika. Zadaliśmy dodatkowe pytania i dopiero po tym kroku, 24 maja po raz pierwszy otrzymaliśmy potwierdzenie, że luka będzie usunięta. ZUS zrozumiał, że jednak coś jest nie tak.

Czekaliśmy więc spokojnie na wprowadzenie poprawki. W czerwcu spytaliśmy ZUS o postępy. Rzecznik ZUS Wojciech Andrusiewicz odpowiedział tak:

Pracujemy razem z naszymi wykonawcami. Proszę jeszcze o chwilkę czasu.

No więc poczekaliśmy “jeszcze chwilkę” i 23 czerwca znów się przypomnieliśmy w temacie. Wtedy otrzymaliśmy taką wiadomość:

Do końca przyszłego tygodnia powinniśmy mieć deklarację wykonawcy jak zmienić system autoryzacji. „Zmeilujmy” się wówczas.

Niestety, do 24 lipca się nie “zmejlowaliśmy”. Powiadomiliśmy więc o sprawie minister Annę Streżyńską, która nie raz pomagała nadać sprawom odpowiedni priorytet. Wiemy, że i w tym przypadku próbowała zrobić co w jej mocy by uświadomić problem kierownictwu ZUS.

Po kolejnej próbie kontaktu z ZUS-em, która także kończyła się obietnicą działania, ale brakiem widocznych postępów zaczęliśmy całkiem poważnie zastanawiać, czy nie ujawnić luki, której istnienie miesiącami ignorowano. Niestety to narażałoby bezpieczeństwo wielu ludzi. Z drugiej strony zagrożenie i tak było realne, bo z czasem coraz więcej osób mogło tę lukę odkryć “niezależnie”.

Wreszcie, 7 września dostaliśmy informację od minister Streżyńskiej, że przygotowywana jest łatka. Zwróciliśmy się do ZUS-u w tej sprawie i okazało się, że testy trwają i łatka miała być wdrożona na 11 września.

12 września dowiedzieliśmy się, że jednak wdrożenia nie będzie aż do 15 września, bo ZUS nie chce wdrażać zmian przed “szczytem dokumentów”, które napływają do niego w tym okresie. Dopiero wczoraj (19 września) dowiedzieliśmy się o wprowadzeniu poprawek. Wprowadzono silniejsze zabezpieczenie podczas uwierzytelniania, dodając pytania o dane osoby upoważnionej lub o dane ze złożonych wcześniej dokumentów.

Czy ZUS mógł się zorientować w nadużyciach?

ZUS nie mógł być świadomy pojedynczych nadużyć, jeśli w ogóle do nich doszło. Czy Zakład mógłby wykryć masowe pobieranie danych, gdyby ktoś coś takiego zrobił? Spytaliśmy o to rzecznika ZUS i dostaliśmy taką odpowiedź.

Zgodnie z przeprowadzonymi analizami nie doszło do sytuacji, w której osoby niepożądane miały dostęp do danych wrażliwych innych osób i podmiotów. Jeżeli dokonaliśmy takiej analizy oznacza to, że mieliśmy możliwość wykrycia potencjalnych nadużyć.

Rzecznik ZUS Wojciech Andrusiewicz dodał też, że czas jaki był potrzebny na uszczelnienie dostępu wynikał z Prawa zamówień publicznych. Tego typu prace prowadzi bowiem jeden z trzech potencjalnych wykonawców w ramach umowy ramowej.

Poprawki wreszcie wprowadzone, ale…

W przyszłym roku w życie wchodzi RODO. Zezwolenie na nieuprawniony dostęp do danych w przypadku firm będzie kończyć się wysokimi karami. W przypadku instytucji publicznych, wysokich kar nie będzie… No cóż, życie nie jest sprawiedliwe.

Teraz instytucje publiczne nie czują wielkiej odpowiedzialności ani nie mają żadnej motywacji, aby łatać dziury, które znajdują się w ich systemach, a które narażają Polaków na wyciek ich danych. Po wejściu RODO, ta motywacja się nie pojawi. Bacik będzie tylko na firmy, nie na administrację publiczną.

Być może to by się zmieniło, gdyby obywatele wiedzieli, że ktoś pozyskuje (w sposób nieautoryzowany) ich dane. Ale większość z Polaków nie wie, w jakich bazach, jakich instytucji znajdują się ich dane (i jakie to są konkretne dane). Polacy nie wiedzą, kiedy ktoś sięga do tych danych. Szkoda, bo przecież można by wysyłać, np. przez e-PUAP, notyfikacje, za każdym razem, kiedy w jakiejś instytucji ktoś sięga do naszych danych. To by była otwartość. Normalność. I wtedy ludzie wykrywaliby naruszenia, a nie “zaawansowane systemy”, które jak widać na niniejszym przykładzie  nie zawsze wychwytują anomalie w dostępie.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

56 komentarzy

Dodaj komentarz
  1. Astrologowie ogłaszają tydzień kłód pod nogami przedsiębiorców. Populacja firm w Czechach zwiększa się.

    • :D

    • Tak <3

    • 10/10

    • Mistrz :D

    • Ahhh te czasy HoMM 3 :D

  2. Zakładanie, że nikt nie płaci większych składek niż obowiązkowe?
    Możliwości w wysokości składek są różne… ale rozumiem, że większości dotyczą te 4?

    • Przecież w artykule jest mowa o jednoosobowej działalności gospodarczej. Dlatego są tylko 4 możliwości ustalenia wysokości składki.

    • Masz ZUS obniżony (plus chorobowe) – około 400-500zl, ZUS minimalny (plus chorobowe) – około 1200zl, ZUS maksymalny (plus chorobowe) – około 3000zl i wszystko pomiędzy 1200 a 3000 – w zależności od zadeklarowanej podstawy…

      Ale pewnie większość ogranicza te wydatki…

  3. Czuje się jak zwykle… wy..many przez Państwo.

    Wiadomo, że nie istnieje nic takiego jak “bezpieczeństwo kraju”.
    Nikt nad tym nie panuje – nikt. Co więcej, nikomu specjalnie na tym nie zależy – przyjść na 4 lata (no w porywach na 8 lat) – nakraść się… a po sobie zostawić kamieni kupę.

    Jestem przekonany, że w dobie infromatyzacji szpitali (a wiem jak nieprofesjonalnie to jest często robione… ) … kolejnymi newsami będą dane pacjentów o chorobach i przebytych zabiegach medycznych.

    A wszystkie dane będą oczywiście możliwe do pobrania po unikatowym ID niewolnika – po PESELu :(

  4. Zainwestujcie w korektę, bo już w kolejnym artykule jest masa literówek.

    • Ale tresc zrozumiales?

    • Zapłać za nią.

  5. Szkoda, że nie napisaliście tego wcześniej. Chętnie bym sprawdził zarobki sąsiada, bo ciekawe skąd ten cham miał na nowego passata.

  6. Mała uwaga: pani Feliksy, a nie pana Feliksa.
    PESEL też to podpowiada: przedostatnia cyfra parzysta.
    Wiem, to tylko przykład.

  7. No dobrze, ale żeby pobrać nieautoryzowane dane, podpisując się przy okazji kwalifikowanym podpisem elektronicznym, to już trzeba być kompletnym półgłówkiem, bo to jest automatyczne przyznanie się do winy – dlatego że instytucja podpisu elektronicznego nie przewiduje badania (tak jak przy odręcznym – np. grafolog) kto się nim posłużył. Kto podpisał elektronicznie dokument – ten jest autorem podpisu. NIEODWOŁALNIE. Chyba że zgłosił kradzież / zagubienie.

    • Jeżeli zgłosił kradzież/zagubienie to wystawca powinien unieważnić certyfikat. No chyba, że ZUS ma gdzieś CRL/OCSP i tak udostępnia dane na wniosek podpisany nieważnym certyfikatem! Może ktoś to sprawdzi? :)

    • No i co z tego? Przecież jest wyraźnie napisane że jakby komuś bardzo zależało to na słupa można założyć certyfikat i masowo pobierać dane. Uważasz że skoro jest winny to sprawy nie ma? To po co chcą upoważnienie do reprezentacji mnie przez biuro? Żeby zupy nagotować?
      Wystarczyłoby żeby upoważnienie było powiązane z certyfikatem i problem załatwiony a nie jakieś łatki i dodatkowe weryfikacje.

    • (Do: Robert) Rejestrowałeś kiedyś certyfikat na słupa skoro twierdzisz że to takie oczywiste? Nie jest to ani proste ani łatwe. Owszem – można wyobrazić sobie posługiwanie się fałszywymi dokumentami lub kradzionymi i do tego zmieniać wizerunek aby upodabniać się do jakiś ludzi. Tylko że wtedy równie dobrze można iść do zusu albo banku i załatwić wszystko w okienku posługując się takimi dokumentami.
      A dane które można było wyciągnąć na podstawie tego manewru z certyfikatem (automatycznie popełniając przestępstwo) – można otrzymać o wiele łatwiej i do tego legalnie z rejestru PESEL wykazując interes prawny, a taki interes łatwo da się wykazać przy odrobinie inwencji twórczej.

    • Nie masz racji z ta rejestracją na słupa! Jak masz zaprzyjaźnionego (czyt. za kasę) notariusza, to zarejestrujesz na słupa bez problemu! I wtedy odpada problem zmian wizerunku i łażenia po instytucjach! Tej ścieżki certyfikowania wniosku o podpis kwalifikowany nie znasz? Po co komu certyfikat na ePUAP i weryfikacja w urzędzie, jak można mieć podpis kwalifikowany (uznawany przez ePUAP do zakładania i używania profilu) jak również profil na ePUAP można założyć przez bank. W banku wystarczy wysłać słupa żeby założył konto. Pracownik banku to nie wróżka i nie jest w stanie zweryfikować intencji zakładającego konto. Metod na obejście problemu cyfrowych podpisów jest kilka. Problemem jest tylko naiwność gadżetmanii pospolitej. Cyfryzacja jest alkohol, ułatwia życie w wirtualnym świecie, ale powrót do realnego bywa bardzo bolesny!

    • (Do: Wredny) Tak się składa, że akurat ścieżkę potwierdzania tożsamości przy podpisie kwalifikowanym znam bardzo dobrze i myślę, że mam praktyczną wiedzę w tym zakresie, która przekracza 95% osób tutaj wypowiadających się.
      Notariusz który za kasę będzie fałszował tożsamość do wytworzenia fałszywego certyfikatu? To jest jakaś abstrakcja i ciężki kryminał, który jest do namierzenia w ciągu 5 sekund i nikt tego nie będzie robił i ryzykował w ten sposób – no ale jak już posuwamy się do takich abstrakcyjnych porównań to możemy równie dobrze wyobrazić że przekupiony pracownik wytwórni dokumentów tożsamości produkuje fałszywe dokumenty. Absurd i kryminał. Fikcja, która się nie zdarzyła i pewnie nie zdarzy.

      A to, że w epuapie możesz potwierdzić tożsamość przez bank to jedno. W podpisie kwalifikowanym musi to zgodnie z ustawą zrobić weryfikator tożsamości. Więc ktoś musi obejrzeć cie osobiście i porównać z dokumentami.

      No ale skoro masz inne przykłady jak można obejść przepisy – napisz, to wtedy się do nich będzie można odnieść.

  8. Trzeba zacząć od tego, aby takich baz wcale nie było. Co najwyżej jakieś zaawansowane gromadzenie danych z możliwością odczytania tylko po akceptacji podmiotu którego dotyczą, ewentualnie z opcją przymuszenia do udostępnienia, np. sądownie i od wycieków i nadużyć świat byłby wolny ;)

    • Masz trochę racji. Problem jednak w tym, że na samym początku jest SIWZ! A to już gwarant pierwszego niepowodzenia projektu. Niepowodzenia mającego swoje źródło w tym co opisuje się najlepiej stwierdzeniem: “Wiedzieć, a rozumieć to dwa odległe byty “! Drugie niepowodzenie, to wyłączność! Wyłączność opierająca się na tym, że zwycięzca przetargu skrupulatnie zadba aby jego aplikacja i struktura danych była tak egzotyczna, że bez milionowych kosztów nie da się zrobić parsera! Już masz dwie przyczyny niepowodzenia. Inne typu, naciski grup zainteresowanych, ignorancja technologiczna decydentów projektu i wiele innych – pominę milczeniem.

  9. “Bacik będzie tylko na firmy, nie na administrację publiczną.”
    Czy ktokolwiek jest tym zdziwiony?

    • Jak za carskiej Rosji! :)

    • Ale dziwne zjawisko? Ale czemu się dziwić! Przecież na stanowiskach w tych podmiotach publicznych, często osadzani są znajomi królika :-). Argumentacja typu, że: “jednostka budżetowa ma wpłacać karę do budżetu czyli nic się nie zmienia w budżecie”, jest usiłowaniem zaciemnienia sytuacji. Po pierwsze, w przypadku zapłacenia kary jest przeksięgowanie paragrafów finansowych. A to już podpada pod ustawę “dyscyplina budżetowa”. Z drugiej strony, obecna forma karania, to FIKCJA! KARA FINANSOWA MUSI BYĆ NAŁOŻONA na paragraf finansowy związany z “funduszem płacowym i premiowym”!! Kara musi być wymierzona personalnie – na pracowników podmiotu publicznego, a nie zbiorowo – czyli na podatników! A kto z pracowników jest winien, to już niech sobie podmiot publiczny wewnętrznie ustala i z tego osobnika lub osobników potrąca koszty kary!

  10. W kwestii formalnej: Feliksa to imię żeńskie (dodatkowo potwierdza płeć przedostatnia cyfra numeru PESEL). Zatem “nie ujawniliśmy danych pani Feliksy”, a nie “pana Feliksa”. Nie ma za co.

  11. Tak dla uscislenia kombinacji autoryzacji jest 5. Piąta sytuacja, gdy opłacamy jedynie składkę na NFZ (w przypadku os. fiz. prow. dz. gosp. uzyskujacych jednocześnie dochód w wys. conajmniej minimalnej krajowej, od którego odprowadzane są składki na ubezp. społeczne).

    Tak więc nie było tak źle jak piszecie ;)
    Pozdrawiam!

  12. Ciekawe czy po wejściu RODO firmy będą się od tego ubezpieczać? Bo nie tylko firmy państwowe jak ZUS zamawiają w przetargach systemy i aplikacje, które mogą mieć dziury. Kto będzie odpowiedzialny w takiej sytuacji, firma co tworzyła aplikację czy ta co jej używa? Czy ta co używa może potem pozwać dostawcę za wadliwy projekt bądź kod?

    • Administrator odpowiada za to co posiada, a zatem jak kupił aplikacyjkę (najlepszą na rynku) i doszło do wycieku, to odpowiada administrator! Chyba, że znajdzie dowód, że aplikacja była wadliwa! Ale wtedy też może odpowiadać Administrator, bo w chwili zakupu mógł zweryfikować jakość aplikacji, a nie dopiero po wycieku! Wniosek? Na rynku zaczną pojawiać się firmy szukające dziur w aplikacjach webowych, a jednocześnie firmy zaczną bardziej rygorystycznie podchodzić do tzw. internetu na biurkach w czasie pracy urzędników!

  13. Na zrzucie są prawdziwe dane – przynajmniej NIP ;)

  14. Cóż, pracowałem 10 lat temu w ZUS i choć te “działy” nie były ze mną związane – generalnie problematyka i reakcje na problem nie stanowią dla mnie zaskoczenia, widziałem gówna jakich mało i cyrkowe reakcje odpowiednich zdawałoby się organów, instytucji, osób itp. nawet głupsze niż te, które podajecie w artykule. Włos się jeżył na głowie.

  15. Prywatne firmy mają odpowiadać a władza nie?
    To jak za carskiej Rosji! :)

  16. Pesel to nic specjalnie nie-dostępnego.

    1. Poznajemy KRS lub NIP firmy spółki, która nas interesuje, np.
    http://www.nowyszpital.pl/grupa_nowy_szpital/kontakt

    2. Wchodzimy na stronę
    https://ems.ms.gov.pl/krs/wyszukiwaniepodmiotu
    wyszukujemy podmiot, wyświetlamy dane szczegółowe
    na dole klikamy ‘pobierz wydruk’ i mamy dane wspólników – imię, nazwisko, pesel

    • Ty faktycznie… nigdy nie przeglądałem dokładnie tych wydruków bo zazwyczaj wynik wyszukiwania wystarcza, ale jest jak na tacy…
      Wychodzi na to że analizując kilka źródeł można całkiem spore informacje zebrać…
      Do tego przeglądnąć rejestr nieruchomości (ten nieoficjalny)…
      Faktycznie zaczynam sądzić tak jak ktoś tu napisał że najlepiej jakby tych baz nie było.

    • PESELu osoby prowadzącej działalność na podstawie wpisu do ewidencji tak łatwo nie namierzysz.

  17. Innych za takie coś posadzili by do pierdla…

  18. Niestety tak to wygląda i tak jest, istnieją również centralne bazy danych jak np. Karda Dużej Rodziny gdzie odpowiedzialność jest faktycznie zbiorowa – jak by tam była luka w oprogramowaniu to w sumie nikt nie odpowiada (dane składowane są na serwerach ministra właściwego – ale obowiązek rejestracji bazy danych w GIODO musiał zrobić każdy Urząd Miejski jako administrator tej bazy – od taki bajer prawny)

    • Tak samo jest z dziennikiem elektronicznym – dane składuje i przetwarza firma, ale jako administrator figuruje szkoła, która nad tymi danymi nie ma faktycznej kontroli.

  19. Pozwolę sobie skopiować mój komentarz z innego miejsca w Internecie:

    “Taaa… powodzenia z łataniem systemu, od którego zależy niemała część gospodarki, który najpewniej jest uruchomiony w jednej instancji (jak to testować?) a jakakolwiek klapa tegoż to poważne problemy. Dodatkowo vendor jest jaki jest…

    Wszyscy powiedzą że to skandal, ale niech pierwszy rzuci kamieniem bezpiecznik, w którego firmie nie ma niezałatanych systemów pomimo wieeeelu monitów zespołu ITSec… Systemów jest wiele, większość jest nieudokumentowana a o niektórych nikt nie wie. Niektóre używają przestarzałych technologii a bez ich nie działa część biznesu. Do tego dochodzi permanentny brak kadr i czasu. Niestety, takie są realia. Dobrze, że w ogóle naprawili.

    Ogólnie rzecz biorąc:
    1. Wszyscy bezpiecznicy są święcie oburzeni jakie to luki wychodzą podczas włamów/pentestów do innych firm/organizacji dopóki:
    2. Ktoś nie włamie się do ich systemów. Wtedy patrz punkt poprzedni :-)”

    • Na fizycznie odseparowaną podsieć w firmie, to ciężko się włamać, podobnie jak na komputer bez podłączenia do sieci. Ale każdy konfiguruje sobie firmę jak uważa za słuszne i efektywne!

  20. Panowie, halooo. Pora zerknac do przepisow o ochronie danych osobowych. Dane przedsiebiorcow w ramach prowadzonej dzialalnosci nie podlegaja ochronie.
    Ale sobie ulzyliscie i dobrze wam :)

    Przy okazji gratuluje opoznienia z CCleanerem :)
    Moze jakies niewsy o faraonach?

  21. Pesel podany w instrukcji Płatnika należy do rzeczywistej osoby – nie Feliksy
    ale innej kobiety. Ciekawe czy ta Pani zgodziła się na użyczenie swojego numeru Pesel do instrukcji płatnika?

  22. Na razie taki błąd to pikuś, nie to co wyciek SSN z Equifax w USA :-)
    I oby się nie przypałętał taki przypadek u nas

  23. Tak coś mi nie pasowało, że tak łatwo dane schodzą niemalże bez pytania o cokolwiek. Nie mówiłem o tym w necie biorąc pod uwagę, że może to być jakaś większa sprawa… Niestety miałem rację…
    Najbardziej mnie rozwala ta informacja numer 6 tj. “6. dane o biurze rachunkowym, które go obsługuje.”
    Po co ta informacja jest i to na dodatek tak po prostu dostępna? Chyba nawet ZUS tego nie wie :P

    To teraz zobaczmy czy wysyłanie plików JPK jest bezpieczne i jak bardzo nie jest :)

  24. Dobra. Jest afera. WYciekły dane. Ale jakie ? To jaki ktoś płacił zus? niski czy wysoki ?
    To też jest przewidywalne jak kwota do autoryzacji.
    Pesel ? Chyba jednak był potrzebny żeby pobrać dane.
    Więc jakie dane wyciekały i kto z nich mógł skorzystać?
    Nie żebym zusu bronił ale czy to faktycznie jakaś katastrofa ?

    • Katastrofa taka, że ktoś jak sobie taki profil założy o pobierze dane z ZUS to może teraz w Twoim imieniu wysyłać deklaracje, rejestrować i wyrejestrowywać osoby i narobić komuś nieprzyjemności.

  25. Ale przecież dane przedsiębiorców są publiczne. Znajdują się w CEiDG, KRS, po części też w bazie REGON. Są tam imiona, Pesele i w CE-DG miejsca prowadzenia działalności, czyli adresy. Poza tym w księgach wieczystych można znaleźć dane milionów polaków, celowo wystawione na widok publiczny przez polski (nie)rząd.

  26. parę spraw
    – mogę swoim certyfikatem podpisać dokumenty (ZUS) dowolnej firmy (mając dostęp do bazy);
    – operacja wybitnie czasochłonna – tak można sprawdzić 1-10 osób
    – obsługuję biura rachunkowe i zaczynam się poważnie zastanawiać nad uruchomieniem procedury pozwu zbiorowego wobec ZUS po wprowadzeniu IPP (tysiące zmarnowanych roboczogodzin pracowników BR)
    – Streżyńska kończy sprzątać ePUAP, mam nadzieję, że jak zajmie się PUE i Płatnikiem to polecą głowy i to w ilościach hurtowych

  27. i jeszcze jedno
    – co raz więcej jadowitych wypowiedzi forumowiczów, którzy IMHO wiedzę to mają akademicką. Jak kolega wyżej napisał, przejedźcie się po kilku firmach wyjdźcie że tak powiem na pierwszą linię. Zwłaszcza na prowincji, gdzie stawki są kilkukrotnie niższe niż w WaWie. Zapewniam – ciekawe doświadczenie

    • Szanowny Kolega ujął sedno sprawy! Nic dodać nic ująć.

  28. Nic się nie zmieniło…..dzisiaj sprawdzałem dalej mogę wszystko zobaczyć….nic nie naprawili.

  29. […] rozwijana przez nich platforma do najprostszych nie należy. Sami kiedyś zgłaszaliśmy do ZUS naprawdę poważne dziury i wolno to szło. Ba! Zdarzało nam się zgłaszać dziury jeszcze poważniejsze niż te poważne […]

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: