18:41
19/2/2018

Dopiero co informowaliśmy o wycieku danych osobowych 3 000 urzędników skarbowych, a tu okazuje się, że wyciekają również dane obywateli. Jak poinformował nas jeden z Czytelników — i jak udało nam się samodzielnie potwierdzić — z oficjalnego rządowego serwisu stworzonego przez Ministerstwo Finansów wyciekają dane Polaków: numery PESEL i NIP, wysokość przychodu za ubiegły rok oraz przynależność do danego urzędu skarbowego.

Błąd w serwisie pokazującym status zwrotu nadpłaconego podatku

Chodzi o serwis formularz w zakładce zwrot nadpłaty PIT. Wystarczy na niego wejść (a czasem wejść i kilkukrotnie odświeżyć stronę) aby zobaczyć czyjeś dane:

Zalecamy nie korzystanie z ww. formularza, gdyż najprawdopodobniej dane, które jedni widzą, są danymi innych internautów, którzy chwilę wcześniej korzystali z tego serwisu.

Ale wyświetlanie cudzych danych to tylko pierwszy z problemów tego formularza. Drugim jest brak szyfrowania przesyłanych danych. Więc nie tylko przypadkowa osoba wchodząca na tę stronę może podejrzeć Twoje dane, ale również każdy, kto znajduje się na trasie połączenia pomiędzy Twoim komputerem a serwerami ministerstwa (np. twój współlokator, twój ISP).

Przypomnijmy, że rok temu ten serwis też nie szyfrował danych, a dodatkowo link, który do formularza prowadził wyglądał na podejrzany.

Co komu po tych danych?

Wysokość przychodu może być łakomym kąskiem dla wścibskich sąsiadów, ale w połączeniu z nazwiskiem i peselem może umożliwić złożenie za kogoś zeznania podatkowego, fałszywego. Tego typu atak oceniamy jednak jako małoprawdopodobny, bo nie dający atakującemu żadnych korzyści — taka machlojka wyjdzie na jaw, kiedy sama ofiara będzie chciała złożyć swój PIT.

Jest co prawda szansa, że w jakimś jeszcze systemie rządowym (przypominamy sobie tu fatalny wyciek danych milionów przedsiębiorców przez dziurę w ZUS) wysokość przychodu za ubiegły rok może być elementem identyfikacji lub autoryzacji jakiejś operacji i o tym nie wiemy. Jeśli Wy wiecie, dajcie znać w komentarzach.

Póki co błąd w formularzu sprawdzania statusu zwrotu nadpłaconego podatku dochodowego po prostu źle wygląda (Ministerstwu nie przystoi!), nie spełnia dobrych praktyk (brak szyfrowania drugi rok z rzędu!) i gdyby administracja rządowa była karana na mocy RODO, to…

Co jest powodem błedu?

Taki wyciek danych może być zarówno wynikiem błędu programistycznego na poziomie kodu serwisu internetowego, jak i problemu konfiguracyjnego warstwy cache’ującej. Ostatnio (zdecydowanie poważniejszy w skutach) błąd tego typu występował podczas Black Friday w sklepie Orange. W podobny sposób wyciekały też dane z Google, LOT-u, UPC czy Cloudflare a nawet Facebooka. Podobne błędy były też odpowiedzialne za logowania na cudze konta w serwisach Allegro, T-Mobile czy GoldenLine.

O tym jak wykrywać i unikać takich oraz bardziej zaawansowanych błędów opowiadamy na naszym szkoleniu z Atakowania i Ochrony Webaplikacji. Szkolenie w 80% składa się z praktyki: pracujemy na dedykowanym środowisku labowym z “celowo dziurawą webaplikacją”, na której demonstrujemy różne techniki ataku i dziesiątki narzędzi, które wyszukują dziury. Po tym szkoleniu będziesz wiedział jak bezpiecznie tworzyć webaplikacje i jak znajdować w nich błędy bezpieczeństwa, dlatego zapraszamy Cię do zapisania się na najbliższe edycje:

PS. Z opiniami uczestników tego szkolenia możecie się zapoznać tutaj.

Przeczytaj także:

33 komentarzy

Dodaj komentarz
  1. Mając dane jak słusznie zauważyłeś można złożyć za kogoś PIT… i uzyskać nienależny zwrot (wymyślonego) podatku na konto założone na słupa… co jakaś korzyść jednak daje :)

    • nie można wyłudzić zwrotu “na słupa”, bo najpierw musiałbyś złożyć formularz ZAP-3 (zmiana danych podatnika – w tym sposoby zwrotu nadpłat), który wymaga podpisu i stawienia się w urzędzie lub przez ePUAP Profil Zaufany.

    • >>> nie można wyłudzić zwrotu “na słupa”, bo najpierw musiałbyś złożyć formularz ZAP-3 (zmiana danych podatnika – w tym sposoby zwrotu nadpłat), który wymaga podpisu i stawienia się w urzędzie lub przez ePUAP Profil Zaufany.

      Nie wiem jak jest teraz, ale bodajże w 2010 poszedłem do US (w mieście powiatowym, w którym byłem zameldowany) żeby zmienić nr konta, złożyłem ZAP-3 (z podpisem) a nikt nawet nie raczył spojrzeć w mój dowód i sprawdzić, czy ja to ja. Do dziś dostaję zwrot podatku na konto, które wtedy podałem.

  2. mając takie dane nie zmienisz konta na zwroty z US.

  3. A ja dalej będę marudził, że część (dodatkowo dokłada się to do tego problemu) osób ma zerową kwotę przychodu, bo np. rozlicza się po raz pierwszy. I dla Urzędu Skarbowego wpisanie jednej cyfry (czyli zera) bardziej zaświadcza o tym, że “ja to ja” niż moja osobista wizyta u nich z dowodem osobistym (żeby potwierdzić Profil Zaufany)…

    • I teraz zgadnij który Kowalski z prawidłowym PESELem ma 0 :/

  4. U mnie nie chce zadziałać. Raz pojawiło się powrót do formularza. Ale zapytam o szczegół – pewnie drobny – proszą o PESEL, a gdzie jest zielona kłódka?

  5. Teraz mają darmowego DDoS-a: “Błąd. Skontaktuj się z pomocą techniczną.” – pewnie wszyscy odwiedzający wchodzą odświeżyć stronę z ciekawości (więcej niż raz ;-P)

    • Update: pod komunikatem jest link “skontaktuj się z pomocą techniczną” który kieruje pod adres “http://mf.gov.pl/pl?p_p_id=58&p_p_lifecycle=0&p_p_state=maximized&p_p_mode=view&saveLastPath=0&_58_struts_action=%252525252525252525252525252525252525252Flogin%252525252525252525252525252525252525252Flogin” i oczywiście wywołuje błąd pętli przekierowań w przeglądarce… Coraz lepsza jest ta strona :o)

  6. już zablokowali

  7. A gdzie tajemnica skarbowa???

    • Tam gdzie tajemnica adwokacka, kiedyś tu opisana. Wczoraj po wielu odświeżeniach wypluło jeszcze 2 kwoty i 2 PESEL-e.

  8. Pożyjemy i poczekamy aż zaczną z MF wyciekać szczegółowe dane jakie firmy przesłały w JPK – wszystkie faktury, wyciągi bankowe, księgi rachunkowe, itd. :)

    • taki wyciek nie jest grozny. nalezy sie obawiac wycieku zagregowanych danych analitycznych bedacych w posiadaniu MF (a moze i M$FT) po 26 lutego. w JPK (Ja Pierd.. Ku..) jest NIP ktory mozna polaczyc z danymi KRS (sprawozdania fin.), GUS (REGON) i kodami PKD. Mamy wtedy dokladny rozklad branż, wolumenu obrotów z dokładnością conajmniej do gminy. premier MM juz dawno zapowiedzial wieksze inwestycje firm zachodnich a $ spada. ale co ja sie tam znam.

    • >taki wyciek nie jest grozny
      Konkurencja tylko czeka na to, żeby się dowiedzieć komu i w jakich ilościach ktoś sprzedaje swoje towary lub gdzie się zaopatruje w surowce do produkcji!

    • >Konkurencja tylko czeka na to, żeby się dowiedzieć komu i w jakich ilościach ktoś sprzedaje swoje towary lub gdzie się zaopatruje w surowce do produkcji!
      takie dane wyciąga się prościej niż serwerów z JPK

  9. I już link nie działa. Chociaż reakcja była szybka

  10. Podpisywanie danymi autoryzującymi (wysokość przychodu za ubiegły rok, a w praktyce za drugi rok wstecz) może posłużyć nie tylko do uwierzytelniania rocznych deklaracji PIT, ale również innych deklaracji PIT, VAT, itp. oraz od paru dni także plików JPK_VAT. Taki podpis za rok ubiegły może zostać wykorzystany nawet za rok! W tej sytuacji uważam, że wartość takowego podpisu na dzień dzisiejszy wynosi zero.

  11. … Wiecie, a może to dlatego, że MF zwolnił większość informatyków i przekazał opiekę nad systememami firmom zewnętrznym. Znaleźli szybkie rozwiązanie, ciekawe jakie mają umowy;)

  12. Mnie zastanawia to, że pobieranie programu do wysyłki JPK odbywa się wyłącznie z nieszyfrowanej strony MF, a sam instalator zachowuje się dość dziwnie – wprawdzie teoretycznie podpisany przez MF, ale w pewnym momencie, gdy jakiś człon instalatora o dziwacznej literowo-cyfrowej nazwie zażądał uprawnień administratora, zacząłem sobie zadawać pytanie, czy na pewno pobrałem to, co chciałem. No i nie ma jak tego sprawdzić…

  13. robi się coraz zabawniej :) co będzie następne dane z nfz kto na co dostał recepty?
    ile razy był u takiego czy innego lekarza (w tym psychiatry dermatologa onkologa)
    jakie przebył zabiegi lub operacje

    połączenie tych danych będzie bardzo interesujące szczególnie w przypadku osób publicznych ;)

    • Nie ma znaczenia czy dotyczy to osób publicznych czy nie.

      To jest okropne, że nie da się skorzystać z pomocy lekarza czy kupić leków (nawet bez refundacji!) bez wrzucenia do państwowych baz danych informacji o naszym zdrowiu. I nie, nie przekonuje mnie że “tak jest wszędzie na świecie”.

      Tajemnica lekarska musi zacząć obowiązywać naprawdę, obecnie jest fikcją. Czy doczekamy takich czasów?…

  14. dać urzędnikom władzę, a więc ludziom którzy nie ponoszą żadnej odpowiedzialności to jak dać małpie pistolet

  15. Ten problem pojawia się już na wielu serwerach. Nowa wersja “opcache” powoduje problemy, przy włączonym opcache na serwerze ciężko jest pracować np. nad modyfikacją CSS, odświeżanie jest fatalne i dotyczy to każdej przeglądarki bo co cashe nowej wersji PHP na serwerze.

    • Po pierwsze, co ma PHP OpCache do cache plików statycznych jak CSS?
      Po drugie, OpCache jest inny w każdej wersji PHP, co nie przeszkadza mieszać wersji modułu z wersją PHP i tu może leżeć problem.
      Po trzecie, nie widzę takiego błędu o jakim piszesz w bugtrackerze OpCache, więc mógłbyś zrobić analizę i zgłosić.
      A po czwarte, stabilność i nowe wersje – ja tu widzę oczywistą sprzeczność.

    • ale przecież jak byk widać tam było javax?

  16. Od niedawna można tymi danymi podpisać wysyłkę pliku JPK.
    Co może narobić więcej kłopotów niż PIT.
    https://poradnikprzedsiebiorcy.pl/-podpisywanie-jpk-przychodem-czy-bedzie-mozliwe

  17. Z radoscia mozna placic w Polsce podatki na kolejne rzady fachowcow od ustalania optymalnej odleglosci miedzy aptekami…

  18. Strona aktualnie jest “ukryta” Przekierowuje na stronę główną portalu. Super profesjonalne podejście do petenta…

  19. Zdjeli stronę xD
    A szkoda, bo chciałem sie dowiedzieć gdzie moja nadpłata.

  20. W zakładce Aktualności :)

    Trwają prace nad aplikacją Zwrot nadpłaty PIT
    Aktualizacja: 2018.02.20 14:35
    Formularz służący do weryfikacji zwrotu nadpłaty podatku PIT na Portalu Podatkowym Ministerstwa Finansów został czasowo wyłączony i jest weryfikowany pod kątem prawidłowości działania.

    Przypominamy, że aplikacja służy wyłącznie do sprawdzenia, czy zwrot nadpłaty podatku PIT został wykonany przez urząd skarbowy, czy nie (tym samym nie umożliwia np. składania deklaracji podatkowej za ubiegły rok).

    Wkrótce uruchomimy zweryfikowaną wersję „Zwrotu nadpłaty PIT”. Jednocześnie przepraszamy użytkowników za chwilową niedostępność aplikacji i związane z tym niedogodności.

  21. Tak z ciekawości, jakie zagrożenie może nieść to, że ktoś pozna mój NIP? W jaki sposób może mi to zaszkodzić?

  22. Do tej pory jeszcze tego nie ogarnęli…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.