Krytyczna podatność bezpieczeństwa w e-Sądzie i ZUS pozwalała na zalogowanie znając tylko numer PESEL użytkownika. Dane zabezpieczono dzięki naprawie błędu.

Krytyczna luka w systemach państwowych

PrzezInstytut Bezpieczeństwa Cyfrowego

Hakerzy mogli logować się do ZUS i e-Sądu znając tylko Twój PESEL.

Wyobraź sobie, że ktoś loguje się na Twoje konto w ZUS, przegląda Twoje dane medyczne w e-Zdrowie lub wystawia recepty w Twoim imieniu. Brzmi jak scenariusz z filmu o hakerach? Niestety, do niedawna była to rzeczywistość. Polski badacz cyberbezpieczeństwa, Michał Leszczyński, odkrył krytyczną podatność w systemach administracji publicznej. 

Na czym polegał problem z logowaniem?

Ogromna luka bezpieczeństwa dotyczyła oprogramowania Szafir, które służy w Polsce do obsługi podpisów kwalifikowanych. Błąd ten pozwalał na całkowite ominięcie procesu logowania i uwierzytelniania. Aby przejąć konto dowolnego obywatela, potencjalnemu atakującemu wystarczyła jedynie znajomość jego imienia, nazwiska oraz numeru PESEL. 

Jak to w ogóle możliwe? Systemy administracyjne sprawdzały, czy dany podpis elektroniczny jest poprawny technicznie, ale nie weryfikowały odpowiednio tego, czy certyfikat został wystawiony przez uprawnioną instytucję. Ekspert porównał tę sytuację do wydrukowania sobie samemu fałszywego prawa jazdy, które systemy policyjne podczas kontroli błędnie uznałyby za legalny dokument. 

Wyciek danych na wyciągnięcie ręki. Które systemy były podatne?

Skala zagrożenia dla ochrony danych osobowych była gigantyczna. Podatność obejmowała co najmniej kilkanaście państwowych portali, w tym: 

  • system eZUS,
  • systemy Ministerstwa Sprawiedliwości (m.in. e-Sąd, Portal Rejestrów Sądowych i Krajowy Rejestr Zadłużonych),
  • portale ochrony zdrowia (np. Rejestr Asystentów Medycznych),
  • serwis praca.gov.pl.

Dzięki tej luce atakujący mogli w łatwy sposób poznać nasze dokładne zarobki, adres zameldowania, historię zatrudnienia czy informacje o zadłużeniach. Co więcej, w przypadku systemów medycznych, haker znający PESEL lekarza mógł zalogować się na jego konto i bez wiedzy medyka zacząć wypisywać recepty oraz zwolnienia lekarskie. Warto podkreślić, że posiadanie zastrzeżonego numeru PESEL w żaden sposób nie chroniło obywateli przed tym atakiem. Jednym z niewielu bezpiecznych systemów okazał się Krajowy System e-Faktur (KSeF). 

Czy nasze dane są już bezpieczne?

Mamy na szczęście bardzo dobre wiadomości. Dzięki etycznej i odpowiedzialnej postawie Michała Leszczyńskiego, który natychmiast zgłosił błąd do zespołu CERT Polska oraz twórców oprogramowania, krytyczne luki zostały już całkowicie naprawione. 

Na ten moment nie ma żadnych dowodów na to, aby ktokolwiek inny wiedział o tej podatności i zdążył wykorzystać ją do kradzieży danych. Instytucje wdrożyły odpowiednie aktualizacje. Należy również pamiętać, że same fizyczne karty, których używamy do e-podpisów, pozostają w 100% bezpieczne – nie zostały one złamane i nie trzeba ich wymieniać na nowe. 

Ta sytuacja to ważna lekcja dla całej administracji publicznej. Jak podkreśla sam odkrywca luki, zawiodły tu przede wszystkim procedury i nadzór, a winą nie należy obarczać pojedynczych programistów. Aby uniknąć podobnych zagrożeń w przyszłości, instytucje państwowe muszą całkowicie zmienić podejście do cyberbezpieczeństwa. Kluczem do ochrony naszych danych są regularne testy penetracyjne oraz dogłębne audyty wdrażanych systemów, za co pełną odpowiedzialność muszą wziąć osoby decyzyjne 

Źródło: Michał Leszczyński, Zaufana Trzecia Strona

Podobne wpisy