Poważna luka w systemach administracji. "Całkowite pominięcie logowania"

Dawid Długosz

Dawid Długosz

eZUS, e-Sąd i wiele innych platform elektronicznych ułatwia nam załatwianie codziennych spraw. Czy jednak są w pełni bezpieczne? Okazuje się, że w popularnych systemach administracji publicznej istniała poważna luka. Pozwalała ona pominąć proces logowania i uzyskanie dostępu do kont dowolnej osoby fizycznej.

Ręce osoby piszącej na klawiaturze laptopa z kodem i analizami danych na ekranie, przy słabym oświetleniu.
eZus, e-Sąd i inne systemy administracji publicznej z poważną luką.ReportersReporter

O sprawie raportuje Zaufana Trzecia Strona. W kilkunastu systemach administracji publicznej zidentyfikowano poważną lukę, która pozwalała na uwierzytelnienie z pominięciem procesu logowania. Jak nietrudno się domyślić, to bardzo poważne uchybienie, które mogło doprowadzić do wycieków danych. Które usługi były zagrożone?

Systemy administracji publicznej zagrożone luką i potencjalne szkody

Serwis źródłowy wymienia następujące systemy, które były zagrożone występującą luką:

  • eZUS Zakładu Ubezpieczeń Społecznych (zus.pl)
  • systemy Ministerstwa Sprawiedliwości obsługujące "Moduł Tożsamość" (m.in. e-Sąd w Lublinie, Krajowy Rejestr Zadłużonych)
  • Systemy korzystające z Usług Elektronicznych Ochrony Zdrowia (UEOZ)
  • e-Serwis Urzędu Dozoru Technicznego (eudt.gov.pl)
  • portal usług elektronicznych Publicznych Służb Zatrudnienia (praca.gov.pl)
  • portal e-dokumenty - Centrum Informatycznych Usług Wspólnych Olsztyna (edokumenty.olsztyn.eu).

Dla użytkowników wspomnianych serwisów luka niosła ogromne zagrożenie związane z możliwością pozyskania danych osobowych, w tym numerów dowodów osobistych i adresów zamieszkania czy zameldowania. Następnie istniała możliwość uzyskania informacji o historii zatrudnienia oraz zarobkach, przeglądania spraw we wspomnianym e-Sądzie, wniosków o statusie bezrobotnego i innych.

Na czym polegał problem i jak można było obejść logowanie?

Wspomniane systemy miały lukę, która została zidentyfikowana kilka miesięcy temu. Miało to miejsce w styczniu 2026 r. Problem został zgłoszony m.in. do zespołu CERT Polska, gdzie następnie się nim zajęto. Na czym polegał problem?

Na skutek niedopatrzenia wymienione systemy w niedostatecznym stopniu sprawdzały, czy karta do podpisu kwalifikowanego została wydana przez uprawniony do tego podmiot. W efekcie możliwe było wystawianie fałszywych kart do podpisu kwalifikowanego na dane dowolnej osoby fizycznej, co umożliwiało zalogowanie się w imieniu tej osoby
czytamy w raporcie Zaufanej Trzeciej Strony.

W konsekwencji do wspomnianych systemów można było uzyskać dostęp z pominięciem uwierzytelniania oraz logowania. Jednak potencjalny haker musiałby dysponować imieniem i nazwiskiem oraz numerem PESEL ofiary.

Na szczęście problem został rozwiązany i wszystkie podatne systemy otrzymały już stosowną poprawkę, która usuwa lukę. Na razie nie ma informacji o tym, że w ten sposób udało się przeprowadzić jakieś skuteczne ataki.

Zobacz również:

Data urodzenia, rocznica i inne łatwe do złamania kombinacje - takie PIN-y nie ochronią przed kradzieżą.
Bezpieczeństwo

Twój kod PIN jest na tej liście? Lepiej od razu go zmień

Paula Drechsler
Paula Drechsler


Po co ten pośpiech? Wyścig ślimaków promuje spokojne tempo życia © 2026 Associated Press

Najnowsze