Luka w serwisie biznes.gov.pl umożliwiała każdemu pobieranie niejawnych danych dowolnej firmy – informuje niebezpiecznik.pl.

Otóż wystarczyło wpisać konkretną firmę w wyszukiwarce CEIDG. Część adresu URL z wyniku wyszukiwania stanowi unikalny identyfikator przedsiębiorcy. Ten sam identyfikator wklejony do do URL serwisu biznes.gov.pl pokaże konto tego samego przedsiębiorcy. Wówczas można z niego ściągnąć dane niejawne – datę urodzenia i PESEL.

Na dodatek jak podaje niebezpiecznik.pl błąd w API pozwalał na masowe pobieranie takich danych. Ministerstwo Rozwoju i Technologii, któremu podlega biznes.gov.pl, poinformowało o rozpoczęciu prac w celu usunięcia luki (a najpierw zablokowano dostęp do profilu firmy zalogowanym użytkownikom).

Dane udostępniane w serwisach administracji są łakomym kąskiem dla cyberprzestępców. W zeszłym roku wykryto włamanie na konta Profilu Zaufanego. Według ustaleń policji wyciekły rekordy 239 użytkowników. Zatrzymano podejrzanego.