Luka w biznes.gov.pl. Dane przedsiębiorców narażone
Błąd w rządowym serwisie pozwalał na ściąganie niejawnych danych przedsiębiorców - ustalił niebezpiecznik.pl.
Ministerstwo zapowiedziało załatanie luki.
Luka w serwisie biznes.gov.pl umożliwiała każdemu pobieranie niejawnych danych dowolnej firmy – informuje niebezpiecznik.pl.
Otóż wystarczyło wpisać konkretną firmę w wyszukiwarce CEIDG. Część adresu URL z wyniku wyszukiwania stanowi unikalny identyfikator przedsiębiorcy. Ten sam identyfikator wklejony do do URL serwisu biznes.gov.pl pokaże konto tego samego przedsiębiorcy. Wówczas można z niego ściągnąć dane niejawne – datę urodzenia i PESEL.
Na dodatek jak podaje niebezpiecznik.pl błąd w API pozwalał na masowe pobieranie takich danych. Ministerstwo Rozwoju i Technologii, któremu podlega biznes.gov.pl, poinformowało o rozpoczęciu prac w celu usunięcia luki (a najpierw zablokowano dostęp do profilu firmy zalogowanym użytkownikom).
Dane udostępniane w serwisach administracji są łakomym kąskiem dla cyberprzestępców. W zeszłym roku wykryto włamanie na konta Profilu Zaufanego. Według ustaleń policji wyciekły rekordy 239 użytkowników. Zatrzymano podejrzanego.
Podobne aktualności
63 proc. organizacji wdrożyło zero-trust
Strategia zerowego zaufania zwykle ogranicza mniej niż połowę cyberryzyka przedsiębiorstwa
Ochrona infrastruktury IT w polskich bankach dużym wyzwaniem
96 proc. ankietowanych z branży bankowej uważa, że trzeba znacznie wzmocnić cyberbezpieczeństwo w sektorze.