9:31
7/5/2022

Biznes.gov.pl to rządowy serwis z usługami dla przedsiębiorców. Niestety miał dziurę, która każdemu pozwalała pobrać “dane niejawne” (w tym PESEL) nie tylko związane ze swoją działalnością gospodarczą, ale także z dowolną inną.

Biznes.gov.pl – a co to takiego?

Można latami prowadzić w Polsce firmę, załatwiać sprawy przez internet i nawet nie wiedzieć, że istnieje coś takiego jak Biznes.gov.pl. A warto go znać, bo można na nim znaleźć informacje o takich usługach jak zmiana licencji na taksówkę albo wpisanie na listę fizjoterapeutów. 

Ale serwis ten pozwala też na pobranie danych i danych niejawnych dotyczących własnej firmy (w dziale “Konto przedsiębiorcy”).

Nasz Czytelnik znalazł interesujący błąd w API tego właśnie serwisu. Ponieważ błąd zawierał się nie tyle w API co w logice biznesowej, to my ten sam “atak” przeprowadziliśmy korzystając z samej przeglądarki internetowej, więc dla ułatwienia, zacznijmy od opisu tego scenariusza. Należało po prostu wejść do zakładki “Moja firma”…

…i dalej do “Zobacz szczegóły”…

…po kliknięciu w “zobacz szczegóły” oczom ukazuje się coś w rodzaju “profilu firmy” z dodatkowymi linkami umożliwiającymi pobranie dokumentów PDF (w tym zaświadczenia z danymi niejawnymi).

Zwróćcie uwagę na URL widoczny w pasku adresu w przeglądarce. Ma on następującą postać:

https://konto.biznes.gov.pl/pl/moje-konto/moja-firma/
(modal:podglad-wpisu/[IDENTYFIKATOR])

Nasz Czytelnik zauważył, że ten sam identyfikator da się znaleźć w… zwykłej wyszukiwarce przedsiębiorców w CEIDG. Jeśli wyszukacie w niej dowolnego przedsiębiorcę to adres strony z wynikami wyszukiwania może wyglądać np. tak:

https://aplikacja.ceidg.gov.pl/CEIDG/CEIDG.Public.UI/
SearchDetails.aspx?Id=1ce105b0-150C-4faf-a81d-cb2742703468

Od razu tłumaczymy, że ten adres nie prowadzi do profilu żadnej firmy, to przykład. W adresie po znakach ?Id= widzimy identyfikator 1ce105b0-150C-4faf-a81d-cb2742703468. Skopiowanie tego identyfikatora do adresu na biznes.gov.pl wyświetli dane tego samego przedsiębiorcy co w CEIDG. Ale! Da nam też dostęp do linku Pobierz zaświadczenie z danymi niejawnymi!

Pobierz zaświadczenie z danymi niejawnymi

W tym przypadku dane niejawne obejmują datę urodzenia i PESEL. Nie jest to może bardzo dużo, ale nie jest to również rzecz, nad którą można przejść do porządku dziennego.

Marne to pocieszenie, że dla wielu osób można PESEL znaleźć na wiele sposobów w innych bardziej lub mniej oficjalnych rejestrach (por. Zobacz jak znaleźć informacje na temat osób i firm w internecie, nie tylko PESEL-e).

Mimo powyższej uwagi na temat chorego podejścia wielu polskich firm do numeru PESEL (które zamiast traktować go jako identyfikator, traktują go jako nieznane przez postronnych “hasło”, pozwalając tym samym na wyrządzenie wielu szkód właścielowi PESEL-u), tak nie powinno być.

Co gorsza, jak już wspomnieliśmy, nasz Czytelnik błąd znalazł w API, więc był w stanie pobierać te dane masowo curlem, uzupełniając odpowiednie pola nagłówków:

curl 'https://konfigurator.biznes.gov.pl/api/v2/
ceidg/entries/872701ff-c7fb-4eda-9316-79f0c911bbd0/
files/classified-data?lang=pl'

Zgłoszenie błędu

Nasz Czytelnik postanowił zgłosić błąd mailowo na admin@biznes.gov.pl, ale reakcji nie było. Dlatego zgłosił się do nas, my zaś zadzwoniliśmy i napisaliśmy do Ministerstwa Rozwoju i Technologii, które nadzoruje biznes.gov.pl.

Zgłoszenia problemu dokonaliśmy 6 maja o godz. 11:02. Robiliśmy to za pośrednictwem biura prasowego, co nie zawsze jest ścieżką najszybszą, ale często bardzo skuteczną. Dwie godziny później widzieliśmy już, że użytkownik zalogowany na biznes.gov.pl nie może przejść do profilu firmy w Konto przedsiębiorcy / Moja firma (wyświetlał się tylko komunikat “Brak danych”). Prace nad usunięciem usterki się rozpoczęły.

Luki w e-administracji

W serwisach rządowych zdarzają się błędy, czasem poważne i dotyczące wielu osób, czasem wpływające na pojedynczych obywateli. Instytucje odpowiedzialne nie zawsze właściwie reagują, co pokazywał opisane przez nas ujawnienie danych w pacjent.gov.pl, którego nawet nie zgłoszono do UODO. Błędy pozwalające na podglądanie danych (np. PIT-ów) bez odpowiedniej autoryzacji też już widzieliśmy, a niektóre z nich łatano całymi miesiącami (zob. Dane polskich przedsiębiorców można było przez 2 lata wykradać z ZUS-u. Dziurę łatano 4 miesiące…).

Wiemy też, że we flagowym okręcie naszej e-administracji jakim jest Profil Zaufany, ciągle tkwi pewna niedoróbka otwierająca drogę do przejmowania Profili Zaufanych.

Na koniec wypadałoby znów załamać się nad tym jak bardzo, bardzo źle w Polsce wykorzystuje się numer PESEL i że państwo nic z tym nie robi. Ale kolejne przeklejenie przez nas akapitu na tema tej patologii z poprzednich artykułów i tak niczego nie zmieni, więc po prostu życzymy Wam spokojnego weekendu. I oswojenia się z myślą, że wbrew temu co się Wam wydaje, nie możecie zakładać, że Waszego PESELU (i znajdującej się w nim daty urodzenia) nikt nie zna. Zna bardzo wiele osób :)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

15 komentarzy

Dodaj komentarz
  1. Ścieżka przez biuro prasowe jest z jednej strony śmieszna, z drugiej straszna, a z trzeciej do bólu pragmatyczna.
    Potwierdza pewne powszechne przeświadczenie że urzędy mają petentów w d*pie dopóki nie zjawią się media.
    Z drugiej strony, dział prasowy ma zapewne wyrobione metody wywierania presji wewnątrz organizacji, i zarazem motywację do rozwiązania sprawy (w końcu to bezpośrednio na nich się wyleją ewentualne pomyje).
    Tak czy siak szacunek dla tego zespołu :)

    • z jednej strony urząd kontra petent, z drugiej to dziursko, które jest …… jest niczym wobec 9 MLD długu publicznego, który musiał zostać zaraportowany do UE.
      nieźle im się żyje na kredyt. tyle że żyją oni, a kredyt to my spłacamy.

    • “drobna” pomyłka, zaniżyłem. nie 9 MLD tylko 9 bilionów długu publicznego.

  2. Był incydent zgłoszony do PUODO? Czy przedsiębiorcy zostali powiadomieni o ujawnieniu ich niejawnych danych nieuprawnionym osobom?

    • właśnie

  3. Nie ma to jak centralizacja :)

  4. Takie serwisy rządowe jak i banki internetowe to genialne rozwiązanie – zazwyczaj winę zwala się na “ciemnego” użytkownika, a jak zawali druga strona, to nigdy policja ani prokurator nie użyje właściwego paragrafu z kodeksu karnego, bo ten jest dla tz. Mapetów

  5. Patologią jest to ze mając czyjś pesel można mu narobić problemów.

  6. w wielu firmach tak działa, na moim przykładzie kontakt z obsługą klienta pewnej firmy w sprawie reklamacji usługi nie dawał rezultatów, wystarczył jeden wpis na profilu na facebooku, sprawa ruszyła do przodu :)

    • To samo z pomocą techniczną Adobe. Wystarczy napisać krytycznie na ich profilu Facebooka o przebiegu zgłoszenia i zaraz mogą przyspieszyć procedurę.

  7. tez mi afera… rotfl! a w krs pesele lataja od zawsze i jakos nikt nie placze…

  8. Coś niesamowitego. Serio ? TAKA WSPANIAŁA WIERCHUSZKA. Tacy wykształceni i sprawiedliwi, ten co zgłaszał błąd lepiej niech po ziemią zakopie to co najcenniejsze na płytach DVD i wpierdoli do reklamówki bez żadnych metalowych rzeczy pod ziemię i jak będzie zakopywał to niech komórki niema ze sobą. Gość na bank będzie miał wjazd na chatę, Podziękujcie pisiom i jebanej wierchuszce. Nie pozdrawiam.

  9. No to niech rząd idzie tak dalej z pomysłem wspólnej wielkiej bazy wszystkiego. Jak tu będzie wyciek to na tacy całe życie poleci.

  10. Nr PESEL urzędnika a urzędnik nasz nr PESEL może odzyskać bez wysiłku, wystarczy użyć edoreczenia i już mamy imię nazwisko i PESEL.
    Coś co jest obowiązkowe za chwilę dla kolejnych instytucji ma takie dziury. Masakra.

  11. To już nie ma sensu. Już lepiej zrobić baze pesel publiczną, przynajmniej każdy będzie świadomy że te dane nie są prywatne.

    Sądząc po tym spolszczaniu losowych odnosików po polsku a raz po angielsku w URL-ach nie zbyt ciekawie wróży o ogarnięciu tego systemu za kurtyną. Dla mnie jest tam burdel niesamowity ale to tylko własne przypuszczenia.

Odpowiadasz na komentarz Czytelnik

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: