9:14
14/9/2016

W Platformie Usług Elektronicznych ZUS właśnie załatano poważną lukę, którą do ZUS-u zgłosiliśmy 2 miesiące temu. Dziura pozwalała na założenie konta na internetowej platformie ZUS-u dowolnej osobie, jeśli tylko znaliśmy jej imię, nazwisko i PESEL. Po pierwszym logowaniu ZUS uzupełniał to konto mnóstwem dodatkowych informacji: dalszymi danymi osobowymi, historią zatrudnienia, pobieranymi świadczeniami (rentami i zasiłkami), składkami OFE i informacjami o zarobkach… Poniżej opisujemy nie tylko na czym polegał błąd, ale jak od kuchni wyglądało jego przedłużające się łatanie i komunikacja międzyresortowa.

ePUAP-em do PUE ZUS-u

W czasie tego weekendu Profil Zaufany został wydzielony z platformy ePUAP. Tym samym załatano bardzo poważną lukę. Wiedzieliśmy o tej luce od dawna i niestety nie mogliśmy o niej napisać zanim nie została usunięta. Pod koniec lipca daliśmy my Wam jednak drobny sygnał, co zrobić, aby nikt nie mógł Wam tą dziurą zaszkodzić. W artykule opisującym jak uniknąć otrzymywania od ZUS poufnych danych listem zwykłym delikatnie zasugerowaliśmy, żebyście jak najszybciej założyli sobie konto na PUE ZUS. Wspomnieliśmy, że…

…dowolna osoba znająca jedynie wasze imię i nazwisko oraz PESEL może pozyskać resztę waszych danych osobowych korzystając z publicznie dostępnych rządowych systemów

Brzmi groźnie prawda? W istocie było bardzo groźnie. O luce dowiedzieliśmy się pod koniec lipca. Napisał nam o niej Czytelnik, który był zaniepokojony możliwością wysyłania do ZUS-u pism w czyimś imieniu. W trakcie weryfikowania jego doniesień okazało się, że problem jest o wiele poważniejszy niż tylko wysyłanie pism pod fałszywymi danymi.

Korzystając z podpowiedzi przekazanych przez Czytelnika udało nam się założyć konto na PUE ZUS pewnej osobie, absolutnie bez jej udziału. Zaraz potem odbyła się taka oto rozmowa telefoniczna pomiędzy naszym redaktorem i tą osobą.

– Cześć Kuba. Właśnie założyłem Ci konto na platformie ZUS.
– Ale… eeee… co Ty gadasz. Ja mam jakieś konto?
– Już masz.
– Dzięki, ale po co mi to?
– Możesz sobie sprawdzić jakie składki płacili Twoi pracodawcy, możesz sobie przypomnieć swój numer dowodu
(chwila milczenia).
– Zaraz! K… Masz te moje dane przed oczami?
– Właśnie tak.

Kuba nie miał do nas żalu, zresztą udostępnił nam PESEL wiedząc, że zrobimy z nim “coś ciekawego”. Żalu nie miały także inne osoby, na których przetestowaliśmy działanie luki za ich zgodą.

Na czym polegał błąd i jak można wykraść czyjeś dane z ZUS-u?

Konto na platformie elektronicznej ZUS-u od dawna można było założyć i oficjalnie potwierdzić korzystając z ePUAP-u i Profilu Zaufanego. W procedurze tej była jednak luka, która pozwalała na oficjalne potwierdzenie konta PUE ZUS przez osobę inną niż faktyczny posiadacz konta.

Jeśli jakaś osoba miała już konto na ePUAP albo konto na PUE ZUS, wykorzystanie omawianej luki nie było możliwe. Gorzej jeśli ktoś — tak jak Kuba i miliony Polaków — nie miał konta ani na ePUAP ani na PUE ZUS. Takich osób jest w Polsce bardzo dużo, a w zasadzie to chyba większość Polaków. Są to zwłaszcza osoby starsze, choć również wielu młodych i świadomych cyfrowo obywateli wciąż woli iść do urzędu niż męczyć się z ePUAP-em. Według Ministerstwa Cyfryzacji, konto na ePUAP posiada jedynie 1 550 000 z ok. 39 000 000 Polaków.

Aby wykraść czyjeś dane z PUE ZUS trzeba było posiadać czyjeś imie, nazwisko i PESEL. Potem założyć na te dane konto w ePUAP. To konto nie musiało być oficjalnie potwierdzone “w okienku” urzędu (takiej wizyty wymaga założenie Profilu Zaufanego, ale to co innego). Do ataku na PUE ZUS wystarczyło “nie w pełni zweryfikowane/zaufane” konto ePUAP, które każdy może założyć przez internet.

Założyliśmy więc Kubie najpierw konto ePUAP, o czym nie miał on pojęcia. Następnie zalogowaliśmy się na to konto i skorzystaliśmy z oferowanej przez ePUAP opcji przydzielania uprawnień do konta (w menu “Zarządzanie kontem” >>> “Uprawnienia”).

Tak wygląda funkcja zapraszania i przydzielania uprawnień

Tak wygląda funkcja zapraszania i przydzielania uprawnień

Z konta założonego Kubie wysłaliśmy zaproszenie do administrowania jego kontem innemu użytkownikowi ePUAP. To zaproszenie trafiło do naszego redaktora, który miał urzędowo potwierdzone konto na ePUAP z Profilem Zaufanym i oczywiście zaproszenie do administrowania czyimś kontem ochoczo przyjął.

Teraz wystarczyło, że nasz redaktor udał się na stronę PUE ZUS, i wybrał logowanie się do PUE ZUS przez ePUAP, a na drugim ekranie wyboru tożsamości ePUAP wskazał, że chce się zalogować jako Kuba. Bo jeśli ktoś miał uprawnienia do zarządzania kilkoma kontami ePUAP, to przy logowaniu do PUE ZUS zawsze następowało pytanie o to, jako kto chcemy się zalogować.

Ponieważ tożsamość Kuby, którą nasz redaktor wybrał do logowania do PUE ZUS jeszcze nie miała tam założonego konta, system od razu proponował utworzenie profilu. Nazwisko i PESEL były już wpisane (takie jak w ePUAP, pobrane zapewne z ePUAP-u). Trzeba było tylko ustawić jakieś hasło dostępowe i podać e-mail.

Wykorzystanie luki w skrócie.

  1. Założenie konta “ofierze” na ePUAP (trzeba podać PESEL ofiary)
  2. Wysłanie zaproszenia do administrowania świeżo utworzonym kontem do samego siebie (na konto ePUAP posiadające Profil Zaufany)
  3. Przyjęcie zaproszenia
  4. Zalogowanie do PUE ZUS przez ePUAP i wybór tożsamości “ofiary”
  5. Zakładanie profilu na PUE ZUS i jego automatyczne “zaufanie” kontem powiązanym ePUAP posiadającym Profil Zaufany
  6. Nieskrępowany dostęp do mnóstwa danych ofiary

Podsumowując, profil na PUE ZUS został utworzony dla osoby trzeciej, która nie posiadała Profilu Zaufanego, a zatem jej tożsamość nie była oficjalnie potwierdzona. Ale była, bo osoba trzecia z założonym jej przez kogoś niezweryfikowanym kontem ePUAP, które oddano do administracji komuś innemu z potwierdzonym urzędowo Profilem Zaufanym, staje się wedle ZUS-u obywatelem posiadającym możliwość utworzenia “zaufanego” konta na PUE ZUS. Proste, prawda?

Co jest na koncie PUE ZUS?

Po zalogowaniu się na konto Kuby mogliśmy zobaczyć jego dane: imiona, nazwisko, PESEL oraz dodatkowe, nieznane do tej pory informacje, tj.:

  • dane adresowe
  • numer dowodu osobistego
  • datę urodzenia (którą mogliśmy i tak wydedukować z PESEL-u)

pue-zus-dane-adresowe

Następnie rzuciliśmy okiem na ubezpieczenia Kuby i dowiedzieliśmy się gdzie pracował.

pue-zus-gdzie-pracujesz

Wreszcie rzuciliśmy okiem na informacje o jego składkach, bo czemu nie. To co widać na zrzucie to tylko dane za rok 2016. Było tego więcej!

pue-zus-skladki-zarobki

Na podstawie wysokości składek odprowadzanych do ZUS-u można w większości przypadków dość precyzyjnie określić wysokość zarobków danej osoby.

Jakby tego było mało, z czyjegoś konta PUE ZUS możemy się dowiedzieć jeszcze o tym:

  • jaki OFE ktoś wybrał
  • przejrzeć wystawione mu zaświadczenia lekarskie
  • pozyskać informacje o przyznanych rentach
  • pozyskać informacje o pobieranych zasiłkach.

Dużo to danych, prawda? Ale to nie koniec katastrofy…

Wysyłanie pism do ZUS w czyimś imieniu, czyli przekieruj rentę babci

Ta sama luka mogła zostać użyta do kontaktowania się z ZUS-em w imieniu innej osoby. Można było przykładowo wysłać pismo o zmianie sposobu wypłacania świadczeń. Nietrudno się domyślić, że to jest pewien problem. Potencjalnie można zrobić “skok” na czyjąś rentę, choć pewnie szybko zostałoby to zauważone i zysk nie byłby, w przypadku ataku na jedną osobę, zbyt oszałamiający…

Łatanie luki w ekspreZUS-owym tempie…

W lipcu o sprawie poinformowaliśmy Ministerstwo Cyfryzacji, ZUS i bezpośrednio panią minister Annę Streżyńską, która przy okazji wcześniejszych kontaktów prosiła nas o sygnały przy takich okazjach.

Nikt nie miał wątpliwości, że sprawa jest poważna. Nieoficjalnie usłyszeliśmy, że pewien wyższej rangi pracownik COI przeczytawszy o tej luce powiedział jedno:

“O k…”

Nie był to najbardziej poetycki komentarz, ale wyraźnie świadczył o tym, że po stronie naszych rozmówców problem został poprawnie zrozumiany.

W sierpniu dowiedzieliśmy się, że błąd leży w systemach ZUS-u. Minister Streżyńska napisała nam, że ZUS obiecał wprowadzić poprawkę i uporać się z tematem “do końca miesiąca”. Oto treść e-maila od Pani Minister:

Nie jest to satysfakcjonujące z uwagi na to ze czekamy od czerwca ale na obecnym etapie rozwoju naszej pozycji w administracji rządowej i wobec braku możliwości nakładania obowiazkow w informatycznej strukturze państwa i w zakresie cyberbezpieczeństwa – niestety musimy tym się cieszyć

Nie pozostawało nic innego jak czekać do końca miesiąca.

Przyszedł wrzesień, luka dalej straszy

Na początku września natychmiast zwróciliśmy się do Ministerstwa Cyfryzacji i ZUS-u z pytaniami, czy luka została już załatana. Rzecznik ministerstwa zasugerował nam, że poprawka powinna być wdrożona, natomiast komentarza w tej sprawie powinien udzielić rzecznik ZUS.

Z rzecznikiem ZUS skontaktowaliśmy się mailowo i… nic. Potem zadzwoniliśmy i dowiedzieliśmy się, że trwają ostatnie ustalenia dotyczące komentarza dla Niebezpiecznika. Planowo mieliśmy otrzymać ten komentarz do dnia 5 września.

6 września komentarza nadal nie było.

Byliśmy pewni, że poprawka została wdrożona tylko służby prasowe ZUS nie chcą lub nie mogą przygotować dla nas komentarza. Postanowiliśmy puścić artykuł bez tego komentarza i całe szczęście, że przed naciśnięciem “PUBLIKUJ” postanowiliśmy jeszcze raz sprawdzić, czy luka rzeczywiście została załatana. Bo nie została.

Bez problemu założyliśmy kolejne konto na PUE ZUS mając tylko imię, nazwisko i PESEL kolejnej “zaprzyjaźnionej” ofiary. Zwróciliśmy się znów do Minister Cyfryzacji z prośbą o pomoc, bo ZUS wydawał się postępować niepoważnie (obietnice komentarzy, brak klarowności co do faktu załatania luki, itd.).

Pani Minister szybko odpisała (tak na marginesie, to krótkie czasy odpowiedzi i poza-urzędowe godziny ich wysyłania robią na nas ogromne wrażenie. Pani Minister na maile odpowiada szybko, nawet podczas urlopu):

Dobry wieczór, dostalismy od Prezesa Możdżonka z ZUS takie wyjaśnienie.

„Łatka jest zrobiona i czeka na wdrożenie razem z profilem zaufanym. COI bylo poinformowane o tym w ramach war-roomu. Ponieważ MC przesunęło wdrożenie, to myśle ze pozbędziemy się problemu w najbliższy weekend jak wdrożycie nowy profil zaufany.”

My (MC) w poprzedniej korespondencji nie byliśmy informowani o tym że łatka czeka na wydzielenie PZtu. Ale w takim razie o ile uda nam się zrealizować wszystko co zaplanowane jest na ten tydzień (poprawki do ePUAP), w weekend powinniśmy wydzielić PZ i osiągnąć także tę łatkę.

Pozdrawiam

Czyli ZUS zaczekał z załataniem luki, aby zsynchronizować to ze zmianami w ePUAP. Może to i dobry pomysł, ale mogło dojść do bolesnej pomyłki. Byliśmy niemal pewni, że luka jest załatana i tylko czekamy na “pijarowy” komentarz. Ministerstwo Cyfryzacji również sądziło, że poprawka została wdrożona w obiecanym pierwotnie terminie.

Luka wreszcie załatana, ale…

Dziś rano przekonaliśmy się, że luka została wreszcie poprawnie załatana. Potem otrzymaliśmy potwierdzenie od minister Anny Streżyńskiej, że łatka została wdrożona. Nadal jednak czekamy na komentarz ZUS w tej sprawie… Kiedy (jeśli?) tylko go otrzymamy, zaktualizujemy o niego artykuł.

Zresztą, nawet gdyby luka dziś wróciła, to osoby chcące ją wykorzystać trafią na dodatkowy problem. Założenie konta ePUAP obecnie nie działa tak jak powinno. Jak napisał nam przed kilkoma minutami czytelnik Rafał:

Dzis postanowilem sobie zalozyc profil epuap..i po zalogowaniu zobaczyłem to co poniżej. Czy to normalny widok z poziomu uzytkownika? ;-)

unnamed-23

unnamed-22

unnamed-21

Szybkie pytanie do Google i już wiadomo, że Draco to konsola zarządzania podsystemem bezpieczeństwem ePUAP. Czyżby teraz każdy noworejestrujący się na ePUAP-ie obywatel od razu stawał się “administratorem organizacji”?

Na marginesie, pomimo tego, że luka jest załatana, to jeśli ktoś komuś wcześniej założył konto na PUE ZUS z jej wykorzystaniem, to dalej do tego konta ma dostęp. Luka nie usuwa kont założonych w sposób nieautoryzowany, tj. przy pomocy opisanego powyżej błędu.

Ktoś założył mi konto na PUE ZUS — co robić? Jak żyć?

Załatanie luki oznacza, że od dziś z opisanej przez nas metody wykradania z ZUS-u nikt już nie skorzysta. Nie zmienia to faktu, że przed wdrożeniem poprawki pewne osoby mogły założyć konta PUE ZUS innym obywatelom, którzy do tej pory nic o tym nie wiedzą.

Założenie konta na PUE ZUS rodzi pewne konsekwencje np. sprawia, że ZUS zaprzestaje listownego przesyłania danej osobie informacji o stanie konta. Poza tym byłoby niedobrze, gdyby jakiś obywatel nie mógł założyć konta PUE ZUS, bo ktoś inny zrobił to wcześniej za niego.

Co jeszcze grozi obywatelom, którym ktoś założył konto w PUE ZUS? I jak mogą oni sprawdzić, czy ktoś miał nieautoryzowany dostęp do ich danych? O to właśnie pytaliśmy rzecznika ZUS, który milczy… Czyżby czarnych scenariuszy było aż tyle, że ich opisanie zajmuje już 2 tygodnie?

Aktualizacja 22:50
Obecnie PUE ZUS w ogóle nie działa:

pue

Aktualizacja 15.09.2016, 11:00
Choć minęły już 2 tygodnie od pierwszego kontaktu i 24 godziny od publikacji artykułu, rzecznik ZUS nadal nie odpowiada na nasze pytania. Wypowiada się dla innych mediów, twierdząc, że “luki nie ma”. My tymczasem mamy dla was garść dodatkowych informacji.

Okazuje się, że założenie konta ePUAP jest możliwe nawet wówczas, jeśli ktoś wcześniej założył “niepotwierdzone” konto na ten sam PESEL. Zachęcamy wszystkich, aby założyli sobie profil zaufany i konto ePUAP, a potem “zaufali” profil poprzez wizytę w urzędzie.

Jeśli chodzi o konta PUE ZUS to niestety nie da się założyć konta, jeśli ktoś zrobił to za was.

unnamed-24

Jeśli zobaczycie komunikat taki jak poniżej to możecie zacząć się martwić. A jeśli uda się Wam założyć konto, nikt inny już tego za was nie zrobi.

Na koniec dodajmy, że lukę można było usunąć już w październiku 2015 roku. To wtedy po raz pierwszy nasz Czytelnik zgłaszał sprawę możliwości wysyłania wniosków w czyimś imieniu przez PUE ZUS Ministerstwu Administracji i Cyfryzacji oraz GIODO. Czytelnik próbował też zgłosić ten problem do ZUS, ale bez żadnej reakcji.

Aktualizacja 16.09.2016, 9:28
Otrzymaliśmy wreszcie odpowiedź rzecznika ZUS, Wojciecha Andrusiewicza. Co prawda nie zawiera ona żadnego komentarza odnośnie luki, ale zawiera informację istotną dla obywateli. Jak sprawdzić czy ktoś założył nam konto PUE ZUS?

W każdej jednostce ZUS lub za pośrednictwem Centrum Obsługi Telefonicznej (numer telefonu 22 560 16 00) Klient może uzyskać informację o tym czy posiada profil na PUE.

Taką weryfikację można przeprowadzić również samodzielnie. Należy spróbować zarejestrować profil na PUE poprzez opcję Zarejestruj profil – dla Ciebie – Do rejestracji, czyli poprzez formularz rejestracyjny. Jeżeli profil został już wcześniej założony z uwzględnieniem nr PESEL danej osoby, to klient otrzyma komunikat: „Zarejestrowanie nowego profilu nie powiodło się. Profil dla wprowadzonych danych istnieje już w portalu”.

Jeśli Klient nie zakładał profilu na PUE a okazałoby się, że go posiada, powinien zgłosić się osobiście do wybranej jednostki ZUS (z dokumentem tożsamości).

Jeżeli Klient chce korzystać z tego profilu na PUE, pracownik ZUS zaktualizuje dane klienta, w tym dane do kontaktu: adres e-mail i nr telefonu. Klientowi podany zostanie login i odświeżone (zmienione) zostanie hasło. W zależności od wybranego przez klienta sposobu odbierania powiadomień z PUE, hasło zostanie przekazane sms lub na adres e-mail (link do zmiany hasła).

Jeżeli Klient nie chce korzystać z tego profilu, może go zablokować. W takiej sytuacji konto będzie nieaktywne i nie będzie możliwości zalogowania do niego.

Jeśli jesteś zainteresowany przetestowaniem Twojego serwisu internetowego pod kątem błędów bezpieczeństwa, daj nam znać. A jeśli tworzysz webaplikacje i chciałbyś robić to bez dziur i luk — polecamy udział w naszych szkoleniach z Atakowania i Ochrony Webaplikacji.

Przeczytaj także:

102 komentarzy

Dodaj komentarz
  1. Ten Draco powinien robić za wizytówkę COMARCHU ;-) Wstyd. Cały ten model realizacji w IT powinni zmienić natychmiast. Wcielając młode, prężnie rozwijające się firmy, a nie w ramach przetargu z zardzewiałymi molochami (comarch/asseco).

    • Niestety mam “przyjemność” w tym czymś zarządzać z poziomu jednostki lokalnej…

    • Kcroor, teraz może masz problem z głowy, bo wygląda na to, że być może także Twoją jednostką ktoś inny właśnie zarządza :-)

    • W Stanach mieli ogromny problem z portalem ubezpieczeń powszechnych stworzonym za wielkie pieniądze przez wielką firmę. Poradzono sobie z nim w kilka miesięcy tworząc zespół kilku zdolnych ludzi którym pozwolili w spokoju pracować. Z doświadczeń wyciągnięto wnioski i stworzono niewielką, sprawna organizację która ma się zajmować rządowymi projektami informatycznymi.
      Polacy chętnie importują wszystko co amerykańskie. Może i to też by było warto wdrożyć?
      http://www.theatlantic.com/technology/archive/2015/07/the-secret-startup-saved-healthcare-gov-the-worst-website-in-america/397784/

    • Z doświadczenia mogę powiedzieć, że problemem zazwyczaj nie jest samo to jaki program jest używany, tylko to jak został wdrożony ;-).

      Ponadto z małymi firmami to jest loteria. Możesz trafić na taką, która ma jakiegoś entuzjastę bezpieczeństwa i wbrew wszystkiemu pilnuje tematu… Możesz jednak trafić na taką, w której nie ma czasu na bezpieczeństwo, a SQL injection to problem akademicki, bo przecież zawsze można poprosić użytkowników, żeby nie wpisywali apostrofów w wyszukiwaniu ;-).

      Ale tak naprawdę główny problem z małymi firmami jest taki, że nie wiadomo czy przetrwają następne dwa lata i czy będzie można liczyć na jakiekolwiek aktualizacje… Chociaż tu jak widzę powyżej nikt tego systemu Comarch od dawna nie aktualizował ;-).

    • Za to z dużymi firmami niema loterii. Od samego początku wiadomo że wszystko spie…. ni się.

    • Więc wniosek jest taki, że najlepiej zatrudniać średnie :)

    • Mala firma robiła kalkulator wyborczy.

    • @Kolega z Matriapchatu tak mała firma robiła kalkulator wyborczy. Tylko że sam projekt był wyestymowany nierealnie. Od momentu rozstrzygnięcia przetargu do deadline było tyle czasu ile normalnie same testy powinny zająć i wdrożenie, a gdzie planowanie i kodowanie? Więc w tym konkretnym przypadku wydaje mi się iż nie rozmiar firmy, a planowanie zawiniło. Na koniec biedna programistka stała się obiektem szyderstw (no bo nie dość że baba to jeszcze dała du… żo). A tak na prawdę jakbyś miał tak mało czasu sam byś pewnie lepiej nie sklecił, prawie działającej aplikacji.

  2. O k…. to chyba najlepsze podsumowanie. Miał rację minister Sienkiewicz. Kamienie…

  3. Comarch….Legenda. Parę razy stykałem się z różnymi dziwnymi platformami. Niefunkcjonalne, zbugowane, po prostu nie da się pracować na tym.

  4. Ech, PZ chyba faktycznie na szybko był wdrażany, patrząc po pomocy (https://pz.gov.pl/pz/help) dla niego. Pomijając okazjonalne literówki, musiałem trochę potrawić zdanie “udać się, z ważnym dowodem osobistym albo paszportem, do wybranego przez siebie „punktu potwierdzającego” celem potwierdzenia swojej tożsamości. (W tym miejscu należy zrobić przekierowanie na listę punków potwierdzających).”

    • Wchodzę sobie właśnie na stronkę rejestrowania profilu zaufanego (https://pz.gov.pl/pz/register?reg=PASS), próbuję przeczytać “zakres i warunki korzystania z ePUAP ” (oczywiście trzeba wyrazić zgodę) i co? I 404.
      Oj Ministerstwo Cyfryzacji ma jeszcze nad czym pracować.

  5. Założę się o dychę że kiedyś odbyła się taka rozmowa między programistą, a kierownikiem:

    -każdy będzie mógł założyć konto na inną osobę jak tak zrobimy

    -tak chcą to tak zrób

    • raczej było:

      -każdy będzie mógł założyć konto na inną osobę jak tak zrobimy

      -damy informacje, że jest to zabronione prawem…

    • Ewentualnie:

      – Proszę zrobić to tak i tak.
      – Ale wówczas to nie będzie bezpiecznie działać/nie będzie funkcjonalne/grozi to tym i tym.
      – PANIE! To jest MOJA firma i dopóki to JA jestem PREZESEM to pan będziesz robił to co JA panu każę.
      – Ok.

    • Albo może:
      – Zrobienie tego w ten sposób grozi tym i tym. Poza tym deadline jest nierealistyczny.
      – Soft musi wyjść jutro. Wypuszczaliśmy rzeczy z gorszymi błędami.

    • A moje doświadczenia mówią, że programiści ani swoim intelektem, ani zrozumieniem całościowym tematu, w tym także obejmowaniem różnych zależności pomiędzy komponentami, wcale nie odbiegają od takiego kierownika.
      Zwyczajnie zamykają się w swoich obiektach i myślą, że poprawność funkcjonowania kodu (tj. przebieg programu nie zakończy się nieobsługiwanym wyjątkiem czy innym segv) jest wystarczająca, żeby go wdrażać. Tymczasem tutaj nastąpił błąd logiczny, którego zapewne nikt po prostu nie przewidział.

    • @gotar: od eliminowania właśnie takich błędów logicznych są architekci systemów i miesiące analiz zanim się wklepie pierwszą linijkę w IDE

    • @cnr: śmiem twierdzić, że różnica pomiędzy “pozwól na dostęp z profilu zaufanego” a “…profilu zaufanego zarządzającego w imieniu profilu niezaufanego” jest błędem implementacyjnym, czyli bezmyślnego programisty, który mając warunek “profil jest zaufany” zapomniał sprawdzić, czy profil z jego poziomu zarządzany również jest zaufany. W ogólnym przypadku: sprawdzać należy nie tylko profil, który się zalogował, ale całą ścieżkę, aż do profilu właściciela konta. Cokolwiek niezaufanego po drodze powinno skutkować brakiem dostępu.

      Takich detali nie ustala się na poziomie architektury, bo tu nie ma nic do ustalania – sposób, w jaki to działać POWINNO, jest oczywisty, tylko programista za głupi, żeby to od razu widzieć, albo zbyt leniwy, żeby zaimplementować, …albo zbyt sprytny, pozostawiając sobie furtkę i sprzedając informacje.

    • Dopada mnie mala konkluzja-prawdziwych programistow jest coraz mniej, za to klikaczy frameworkow coraz wiecej.
      Coraz czesciej spotykam potworki zbudowane z kilku frameworkow (bo ten ma fajny interfejs, tamten pewna procedure fajnie robi itp…), czesto na bazie na sile polaczonych frameworkow buduje sie kolejny- konia z rzedem temu, kto to potem rozgryzie by cos poprawic.
      Kiedys zaczynalo sie projektowac od olowka i kartki, potem robilo sie kod od podstaw-obecnie to strata czasu, bledy jakos sie rozwiaze, byleby kasa za bubel jak najszybciej byla.
      Jest taki fajny dowcip budowlany: “majster lec po kase za ta sciane, a my ja bedziemy trzymac, by sie nie przewrocila” ;)

    • @Marc – zgoda w 100%!

  6. Jak to jest ze po takiej wpadce nie ma nikogo odpowiedzialnego?
    Nie poleciała głowa nikogo kto przez zaniedbanie (pominiecie testów) dopuścił taki system?

    • Pewnie jak to często bywa nie było to ujęte w założeniach systemu, więc winnych nie ma ;)

    • Jeżeli sądzisz, że taki test jest oczywisty, to radzę zacząć komentować tylko te rzeczy, o których masz pojęcie.

    • Nie zdziwiłbym się, jakby to poszło w drugą stronę – premia za “sukces” platformy i to, że “ludzie” zakładali sobie te konta ;-).

    • @gotar – no co Ty, przecież jesteśmy w internecie. Każdy vuln jest “oczywisty”, każdy szef/programista/tester to “debil”, a każdy kto zrobi jakiś błąd to “skończony kretyn”.

  7. Niby załatane, ale dostęp do profili, które założyłem sobie w ZUS za pomocą tej luki nadal działają. :)

  8. pudelek rządzi :))

  9. no i ktos niestety zalozyl na mnie konto. Przypomnienie hasla nie dziala bo jak wpisuje swoj numer telefonu to pokazuje ze bledny. Z adresem email do przypomnienia tak samo… @Niebezpiecznik, co robic ? Jak zyc ? Dodam ze listy z Zusu nadal przychodza :)

  10. Poza tym macie znacznie lepsze kontakty. Ja o tej luce w zeszłym roku informowałem ZUS, ówczesne Ministerstwo Cyfryzacji i GIDO – bez odzewu.

  11. a ja tylko dorzucę, ze e zwolnienia jako lekarze tez wystawiamy z pue.
    have fun.

  12. Samo założeni konta nie wystarczy trzeba udać się do urzędu np zus, skarbowy z dowodem o potwierdzenie bez tego nie zalogujesz się do konta PUE Zusu a w ePAP nie będziesz mógł nic zrobić ani połączyć obu kont

  13. @Niebezpiecznik
    Chyba wyłączyli zakładanie nowych kont: “Założenie konta nie powiodło się.Spróbuj ponownie później. Jeśli błąd będzie się powtarzał, skontaktuj się z administratorem”.

    • Miałem to samo, pomogło usunięcie kropki z nazwy użytkownika.

  14. Szumnie wdrożony PZ niestety nie szyfruje połączeń SMTP, co widać na Gmail’u:
    od: Profil Zaufany
    temat: Kod jednorazowy
    szyfrowanie: Domena epuap.gov.pl nie zaszyfrowała tej wiadomości

  15. A Próbował ktoś zmieniać swój PESEL w Epu…
    Dasie ..
    Nie znam tyko osoby o tym smamym nazwisku i imieniu by przetestować co zrobi system po zmianie.

  16. Żeby wykorzystać dziurę trzeba było mieć dostęp do potwierdzonego konta ePUAP, więc tożsamość osób, które wykorzystały dziurę, da się ustalić. Czy to uczyniono?

  17. Czy Comarch panuje nad czymkolwiek ? Bo nawiązując do kwestii poruszanych w ‘Wycieku” (z kolejnymi aktualizacjami), wydaje się, że ochrona danych osobowych chyba się komuś rozjechała i niekt już nie ma pomysłu co dalej.

    A co na to agencje bezpieczeństwa na 3 literki ?

    Naprawdę już takie dno cyfryzacja w PL reprezentuje ?

    • Comarch panuje nad swoimi przepływami finansowymi, bo taki jest cel korpo.

  18. Nie trzeba się rejestrować, po zalogowaniu wywala od razu ten syf DRACO:

  19. Draco to po prostu uniwersalny SAM od Comarchu, cholernie rozbudowany, co z jednej strony pozwala dostosować go do różnych scenariuszy, ale z drugiej trudniej administrować takim systemem, w dodatku pod skórą nie jest tak czytelny jak np Peoplesoft.
    Jak widać wpychają go wszędzie, nawet tam, gdzie powinni napisać dedykowany system.

    • Peoplesoft czytelny??? Proszę Cię…

  20. Z ciekawości: a takie nieproszone testowanie systemu ZUS nie jest przestępstwem? :) Założenie konta innej osobie, nawet jeśli (post factum) się na to zgadza podpada chyba pod nieuprawniony dostęp do informacji? Jak sobie z tym radzicie? Licząc na dobrą wolę i swoją reputację?

  21. No jak Koszmarch to juz wiecej nie chce wiedziec. Wystarczy mi ich smieszna rekrutacja. Jak rzad z takimi zaczyna to niedlugo bedzie mozna uzywac maili z Kancelarii Prezesa Rady Ministrow.

  22. Szacunek dla Pani Minister Streżyńskiej, która zawsze, niezależnie od politycznej opcji z którą pracuje, nie politykuje tylko solidnie wykonuje swoją pracę. Szkoda że jest to chyba jedyna taka osoba aktualnie…

  23. GIODO ogłosił(o) konkurs dla szkół “Twoje dane – Twoja sprawa …” przynajmniej nie owija w bawełnę tylko otwarcie informuje że urząd istnieje wyłącznie dla zapewnienia posad z wynagrodzeniami oderwanymi od realiów dla znajomych królika …

  24. Niebezpieczniku sprawdźcie czemu nie działa e-KRK i podpisywanie profilem zaufanym

  25. Chyba już czas aby razem z dowodem osobistym wręczać token sprzętowy jako jedyny trudny do złamania uwiarygodniacz do systemów ?

    • Miały być dowody osobiste z osadzonym chipem a na nim certyfikat osobisty w standardzie X.509. Miało być możliwe używanie tego z dowolnym czytnikiem na smartcarty. No właśnie… Miały…

    • Ba, dowodem powinna być para kluczy.

    • Minister analogizacji Boni wyłączył tę funkcję z plID.

  26. Czepiacie się ZUS. Tylko że modyfikacja ePUAP to sprawa COI. ZUS czekał z łatką na zakończenie prac przez COI. Wdrożenie nowego ePUAP miało pierwotnie nastąpił w połowie sierpnia bo 1 wrzesień to był termin wiosną tego roku wyznaczony przez MC na jego załatanie po padzie z początku kwietnia z okazji startu 500+. COI przełożył datę wdrożenia na 03.09 ale w trakcie prac wycofał zmiany bo nowa wersja ePUAP spowodowała problemy w wielu instytucjach. W ZUS-ie o dziwo akurat nie ale poprawkę trzeba było wycofać. Wdrożono to ostatecznie dopiero 10 września. Niestety jak widać ZUS-u się czepiają bo ma gorszy PR niż MC czy COI.

  27. Szanowni czy aby to nie ma związku z tymi nocnymi zapytaniami o wesele przez kancelarie komornicze?
    To mocno podejrzany zbieg okoliczności.

    • Chodzilo o PESELe oczywiscie

  28. Jeżeli idzie o ZUS, to wprowadzenie banalnej poprawki, aby aplikacja działała zgodnie z ustawą o eir z FUS ciągnie się od dwóch (to nie pomyłka) lat. I nic.

    Ponadto przekierowania świadczenia na inne konto czy adres jest banalnie – niestety – proste, bez korzystania z jakichś luk systemowych. Wystarczy zwykła korespondencja osoby znającej imię nazwisko i adres emeryta. Oszustwo do wykrycia dopiero po interwencji emeryta, że nie otrzymał świadczenia.

  29. “Nie był to najbardziej poetycki komentarz, ale wyraźnie świadczył o tym, że po stronie naszych rozmówców problem został poprawnie zrozumiany.”
    :D
    Halo? Czy szefostwo niebezpiecznika mnie słyszy? Duża premia dla autora za to piękne zdanie! Fantastyczna fraza.

  30. Powiem tak. Mam z 30 lat, mieszkam za granicą. Po studiach informatycznych, wśród ludzi uznawany za geeka i “komputerowca”. Teraz zaglądam tutaj, czytam że większość Polaków nie założyła konta w ePupie czy czymś tam bo wolą zaglądać sami do urzedów?! Okazuje się że nie.. ja np. nie zakładam żadnych kont bo uważałem to za zupełnie mi niepotrzebne. Tym bardziej w dobie ciągłych włamań, wycieków z baz danych itp. Sam myślałem że do szczęścia mi to niepotrzebne, bo z polskich urzędów nie korzystam (bo nie muszę). A co się teraz okazuję? Że jestem w gorszej sytuacji bo konta nie założyłem, bo mógł to konto założyć ktoś za mnie. No super. Nie dość że traktowałem polskie rządowe serwisy IT jako zło konieczne to teraz się okazuje że jest jeszcze gorzej niż myślałem. Nie dość że mamy wycieki danych, to jeszcze moje dane tam są bez mojej zgody i ktoś bez mojej zgody ma do nich dostęp. Brawo POLSKA. Brawo!

    • Jeżeli w swojej zagranicy przecieków nie masz, to zdradź, o który kraj trzeciego świata chodzi. Bo albo jest analogowy, albo uniknąłeś obecności w systemach poprzez nielegalny pobyt/pracę.

    • gotar? nie wiem. probujesz jakos mnie podjudzic? Zdenerwowac czy o co chodzi w tym Twoim komentarzu? Czy gdzies pisalem ze inne kraje nie maja wyciekow? Maja… stad moje podejscie zeby nie zakladac nie wiadomo ilu kont, nie wiadomo gdzie, a juz uzytecznosci publiczne staram sie obchodzic szerokim lukiem bo wiem, ze w zadnym urzedzie nikt nie kladzie pieniedzy na bezpieczenstwo bazy danych. Tak jak pisalem wczesniej, mnie wkurza, ze ja jestem bardziej “zagrozony” ze ktos ma moje dane ze wzgledu na to ze zadnego konta nie zakladalem. Czy teraz rozumiesz co staram sie wytlumaczyc? Ja jestem wkurzony nie o przecieki, bo wiem ze sie zdarzaja. Zdarzaja sie wlamy. Wszedzie, w kazdym kraju. Dla mnie paranoja jest, ze moje dane moga byc w czyis rekach dlatego ze ja konta nie zalozylem!

    • @edmun – po “Brawo POLSKA. Brawo!” było dla mnie jasne, że tego rodzaju wyciek potraktowałeś jako polską specyfikę.

  31. Dobry artykuł, ale….
    podaliście, że jest 39 milionow polaków. Z tego co wiem nie wszyscy pracują ;)
    Czyli jak mamy dziecko 5 letnie to też możemy mu założyć konto w Zusie ?

  32. Ja bym bardzo chciał poznać Nazwisko kierownika tego projektu (PM) i kierownika testów.

  33. Samo założenie PUE nie powoduje, że ZUS przestaje przysyłać korespondencję papierową. PUE założyłem na przełomie 2015/16, a ostatni list z ZUS przyszedł jakoś w wakacje.

    • +1, też dostaję

    • Papierowe listy z ZUS nie zależą od założenia konta – od początku mam oba konta (ePUAP i PUE ZUS) i listy z ZUS raz na rok przychodzą.
      Od 2 lat walczę z ZUS żeby przychodziły na adres korespondencyjny a nie zameldowania.

  34. Zostala naruszona poufnosc danych, ale nie rozliczalność.

  35. Nic tylko siadać i pisać exploity…

  36. Polak vs Polskie Obywatelstwo 0:2 (najpierw baza PESEL, teraz ZUS)

  37. A widzieliście źródła HTML strony https://pz.gov.pl/dt/help ?
    Ja bym nie umieścił manuala do css/javascriptu na produkcji…
    Lorem Ipsum mnie rozbiło totalnie

  38. To samo można zrobić w mBanku. Wystarczy przechwycić dane do konta i internetowo złożyć wniosek o pełnomocnictwo do rachunku. Dyspozycja nie wymaga żadnego potwierdzenia. Mamy pełen dostęp do konta i możemy np. zrobić przelew. Wystarczy mieć slupo-konto i w drogę.

    • Jesteś pewien? Nie udało mi się znaleźć takiej opcji.

    • Jasne….tylko kluczowe jest przechwycić konto…ale się uśmiałem.

    • Ze swojego konta szukałem i nie nie da się złożyć dyspozycji na pełnomocnictwo bez potwierdzenia.

  39. Fajne jest zabezpieczenie przed botami. W 2/3 przypadków dostaje sytyuacje gdzie niepasujący wyraz jest pisany wielką litera a reszta małą albo na odwrót :D

    “czerwiec
    styczeń
    listopad
    Marcin”

    “marynarka
    Święto Niepodległości
    Wielkanoc
    Święto Pracy

    “Kieliszek
    Kufel
    Szklanka
    bluza”

    • Ja zobaczyłem coś takiego:

      Wybierz niepasujący wyraz
      Brzoza
      Sosna
      Akacja
      Rosja

      Zrobiło się politycznie ;)

  40. Dziura była i żle to świadczy o dostawycy i urzedzie.
    Ale tym razem o czymś inny.
    A co się stanie jesli ktoś “złośliwy” pozna nasze zarobki ?
    Załózmy że zarabiasz 10 000 netto – i co ? Przecież to żaden majątek ! Jak kupiliście samochod to nie trzeba ePup aby go ukraść !
    Co więcej ? Przecież nikt nie porwie dziecka dla paredziesieciu tysięcy PLN – bo to się nie opłaca !

    Groźne to jest ewnetualnie dla osób które zarabiają za dużo z róznych państwowych synektur o których nie wiedzą dziennikarze i (konkurencyjni) politycy.
    Oraz dla mistrzów z “układu warszawskiego”

    Ps. Cała Norwegia ,Szwecja i parę innych krajów mają dostpne ONLINE zarobki – i to jest DOBRE.
    Dlaczego – bo utrudnia korpcję ! Nie mówię że uniemożliwia bo jestem realistą ale UTRUDNIA !

    • Nic nie utrudnia – wystarczy, że firma szwagra dostanie zlecenie na przeprowadzenie szkolenia za odpowiednim wynagrodzeniem i kasa będzie legalna podatkowo (czyli to, co widzisz w zeznaniu).

      A jeżeli nie widzisz zagrożeń – to podaj linka do swoich PIT-ów za ostatnie 5 lat.

    • Hm…, świat jest pełen idiotów.
      A Polska szczególnie, takie mam wrażenie.

    • Nie pamiętam co jest w PUE, bo zapomniałem do niego hasła, a opcja jego przypomnienia niestety wymaga znajomości loginu, ale od pewnej kwoty nie odprowadza się już niektórych składek, więc nie wiem, czy osoby z dużymi zarobkami są tak łatwe do oszacowania.
      A jak ktoś pracuje w większym korpo, to jego(jej) zarobki i tak da się bardzo precyzyjnie ustalić. Akurat to, że ktoś mógłby poznać wysokość mojej pensji kompletnie mi zwisa. Ale dane okołomedyczne, zwolnienia, recepty, renty, itd- to już znacznie większy problem.

  41. Jedna wielka spierdolina. ZUS powinien dostać zbiorowy pozew na bajońskie sumy. Ale niestety w kraju bezprawia i tak by wygrał bo to przecież legalna mafia.

    • Po co zbiorowy – jeżeli poniosłeś szkodę na “bajońską sumę”, to bez problemu znajdziesz kancelarię, która sprawę poprowadzi.

  42. Osobiście parę dni temu utworzyłem profil na ePUAP. Bez problemu, może za wyjątkiem faktu, że po załatwieniu sprawy z potwierdzeniem danych w wybranym US i otrzymaniu informacji o założeniu profilu zaufanego, przychodzą mi dalej powiadomienia, że zostało mi n dni na załatwienie sprawy. Pisałem pod wskazany na stronie e-mail. Narazie cisza.
    Logowałem się przy okazji do PUE i tu ciekawa sprawa. Przejście z ePUAP na stronę PUE. Operacja udana. W tym samym oknie przeglądarki. Robię Wyloguj. System przechodzi do strony logowania PUE. Wybieram zaloguj Profilem zaufanym. I wracam z powrotem do systemu PUE. Otwarłem dodatkowe okno przeglądarki i po wprowadzeniu adresu ePUAP loguje mnie ponownie. Stwierdzam zatem, że systemu PUE przynajmniej dla profilu zaufanego nie wylogowuje użytkownika. Po stronie ePUAP w takim przypadku dobrze by było gdyby odnośniki do poszczególnych serwisów otwierały się w nowych oknach/zakładkach przeglądarki.

  43. W urzędach testy przeprowadzają pracownicy w czasie pracy produkcyjnej… Znam osobę z pewnego urzędu, która opowiedziała, że została im przekazana informacją że teraz na systemie pracuje się tak i tak. Podczas pracy wychodziło sporo błędów, coś się nie uzupełniało, nie wyświetlało itd. No to są błędy do szybkiego wykrycie, a nie scenariusz gdzie jak przytrzymasz alt i naciśniesz enter w międzyczasie klikając lewą ręką PPM…
    Systemy są wdrażane za grubą kasę. Sam pracowałem jako wdrożeniowiec i kierownik proj., i prócz testów wewnętrznych (od strony użytkownika) testy przeprowadzano przez klienta, gdzie kier. podpisywał się na protokole wykonania testów. W firmie raz podjęto się wdrożenia w budżetówce. Kasa ok. 5x większa, niż za takie samo wdrożenie u prywaciarza, ale współpraca to masakra. Odpowiedź na maile z ustaleniami – po tygodniu, przygotowanie na rozmowy analityczne – mierne, odbiór analizy – brak uwag (wręcz niespotykane). Testy po oddaniu etapów – zanim się rozpoczęły mijał ze 2 tyg. a trwały 5-10 min. gdzie wewnętrznie np na ten etap zeszło 1.5 godz. (od strony użytkownika).
    Tak że budżet wydaje duuużą kasę, za produkty robione na szybko, bez porządnych testów użytkowych i jak widać bezpieczeństwa. Kierownicy wdrożenia od strony urzędy czekają tylko na premijkę a samą analizę, wdrożenie i testy odwalają po najmniejszej linii oporu.

  44. A zauważyliście, że strona www ZUSu obecnie dostępna jest pod dwoma adresami: stary portal http://www.zus.pl oraz nowy https://beta.zus.pl. Wersja beta jest już chyba oficjalną wersją, ponieważ link loga ZUS na stronie pue.zus.pl p[rowadzi właśnie do niej. To chyba tak w myśl zasady, że nalepszym testerem jest użytkownik końcowy :D

  45. Po weekendowych pracach urzędy nie mogą potwierdzić tożsamości wnioskodawcy przez PZ, przynajmniej w kwestii wniosków o dowód osobisty – dostają niepodpisane wnioski… Nie ma to jak solidne testy.

    • Wniosek wczoraj w końcu przeszedł, w dodatku bez konieczności ponownego składania, więc mieli coś skopane na linii system-widok urzędu – podpisany wniosek był w systemie, ale do urzędów trafiał bez podpisu. Za to nadal mają (mieli wczoraj) jakieś problemy z wewnętrzną skrzynką do wiadomości.

  46. Łatka łatką ale czy żeby włączyć / wyłączyć konkretną metodę uwierzytelniania dla nowych użytkowników potrzeba łątki? Nie mógł ktoś podjąć decyzji, że na okres od zgłoszenia do załatania wyłączone zostaje zakładanie nowych kont w PUE prrzy uzyciu profilu zaufanego? Wiem, że podniósłby się raban ze strony tych, co akurat chcieli konto założyć, ale czsami niepopularne decyzje trzeba podjąć, żeby zapewnić bezpieczeńśtwo. Ktoś schował głowę w piasek.

  47. Jeśli nie macie jeszcze konta w PUE ZUS, a macie konto w PKO BP, Inteligo lub BOŚ Banku, to możecie zalogować się do PUE za pomocą konta bankowego. Przy pierwszorazowym logowaniu zakładany jest automatycznie profil w PUE.

    https://ssobp.zus.pl/pue

  48. teraz tak zepsuli ze captcha sie nie wyswietla i nie da sie załozyc konta

  49. Identyczny mechanizm istnieje (istniał? – nie mam teraz jak sprawdzić) na portalu publicznych służb zatrudnienia.

    Testy systemów wyglądają tak, jak opisał to kol. eS.
    Decydenci tłumaczą się brakiem personelu, w rezultacie ponad 20 tys. użytkowników końcowych otrzymuje nieprzetestowane w pełni funkcjonalności.

  50. niech zgadnę. Comarch? Asseco? Accenture? Jak wielka kasa idzie pod stołem, że firmy słynące z zatrudniania za grosze studentów i wypuszczania wielkich bubli za miliony nadal wygrywają przetargi?

    • O te firmy co je wymieniasz to bym się już nie martwił, ponieważ tam gdzie ja obecnie robię to ich oferty nie są wcale rozpatrywane, a ich systemy są wygaszane. Przeważnie kontraktuje się średniaków żeby mieć jakąkolwiek ciągłość zapewnioną i jest coraz lepiej.

      A te korpy pewnie jeszcze zobaczymy w stanie upadłości za naszego życia – tylko niestety jakaś większa afera jest potrzebna.

  51. witam

    Bład to bład, nie ma o czym mówić.
    Z drugiej strony, może w Polsce powinniśmy publikować nasze zarobki, tak jak np, dzieje się w Norwegii ?
    Dzięki temu pensje są wyrównane i wszystko jest bardziej przejrzyste.
    Jeśli bezrobotny kark jeździ nowym BMW, a wiemy, ze nie pracuje, to upublicznienie zarobów mogło by ten problem rozwiązać :)

    pozdrawiam
    J

    • Zacznij tę publikację zarobków od siebie, jeżeli nie widzisz w tym problemu.

      PS. bezrobotne karki jeżdżą nowymi bmw należącymi do ich matek, babek, konkubin, żon czy dzieci. A te wygrywają pieniądze w kasynach, czasami mają firmy ‘konsaltingowe’ i zupełnie legalne podatkowo pieniądze.

  52. Najpierw baza PESEL, teraz to. Zwolennicy inwigilacji obywateli przez państwo powinni się zastanowić, co tak naprawdę dzieje się z naszymi danymi.

  53. Wszyscy wiedza o wszystkich Wszystko. Coraz lepiej – prawie jak w rodzinie.

  54. Hej, z innej beczki: wie ktoś czemu http://www.axadirect.pl/ nie działa?

  55. Co tam ZUS, w polskiej wersji PayPal każdy kto znał jedynie adres firmy która miał konto w PayPal mógł przez ponad rok zmienić hasło i dysponować środkami na koncie. Paypal nie widział problemu i nie uważał że jest to brak odpowiednich zabezpieczeń. Na czym to polegało ? W przypadku próby zmiany hasła (bez logowania wcześniejszego) Paypal pytał jedynie o numer domu, po czym pozwalał na zmianę hasła.

  56. Tak czytając ten artykuł, przyszło mi jedno do głowy. Czy publikacja na cały świat korespondencji email nie jest czasami przestępstwem? Przydał by się jakiś artykuł z cyklu “Poniedziałek z prawnikiem” jak dobrze pamiętam ;)

  57. Ręka rękę myje, a kompetentni “inaczej” ludzie dalej zarządzają struktuą informatyczną i biorą za to pieniądze z budżetu (i to nie małe).

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: