Luka w biznes.gov.pl. Dane przedsiębiorców narażone
Błąd w rządowym serwisie pozwalał na ściąganie niejawnych danych przedsiębiorców - ustalił niebezpiecznik.pl.
Ministerstwo zapowiedziało załatanie luki.
Luka w serwisie biznes.gov.pl umożliwiała każdemu pobieranie niejawnych danych dowolnej firmy – informuje niebezpiecznik.pl.
Otóż wystarczyło wpisać konkretną firmę w wyszukiwarce CEIDG. Część adresu URL z wyniku wyszukiwania stanowi unikalny identyfikator przedsiębiorcy. Ten sam identyfikator wklejony do do URL serwisu biznes.gov.pl pokaże konto tego samego przedsiębiorcy. Wówczas można z niego ściągnąć dane niejawne – datę urodzenia i PESEL.
Na dodatek jak podaje niebezpiecznik.pl błąd w API pozwalał na masowe pobieranie takich danych. Ministerstwo Rozwoju i Technologii, któremu podlega biznes.gov.pl, poinformowało o rozpoczęciu prac w celu usunięcia luki (a najpierw zablokowano dostęp do profilu firmy zalogowanym użytkownikom).
Dane udostępniane w serwisach administracji są łakomym kąskiem dla cyberprzestępców. W zeszłym roku wykryto włamanie na konta Profilu Zaufanego. Według ustaleń policji wyciekły rekordy 239 użytkowników. Zatrzymano podejrzanego.
Podobne aktualności
66 proc. firm zwiększy budżety IT w 2024 r.
57 proc. organizacji planuje wdrożenie AI „Jest niepokojące z punktu widzenia cyberbezpieczeństwa" - twierdzi ekspert.
Wzrost zagrożenia atakami DDoS. Komunikat ministra
Administratorom wydano stosowne rekomendacje. Minister zwraca się również do przedsiębiorców.
Branża cyberbezpieczeństwa na rozdrożu
„Zainteresowanie SaaS i rozwiązaniami wirtualnymi było rewolucyjne” - twierdzi dyrektor.