Została zamknięta poważna luka w Platformie Usług Elektronicznych ZUS. Niemniej, przez jakiś czas dowolna osoba mogła dzięki niej założyć konto, niekoniecznie na własne nazwisko. Wystarczyło, że podało się czyjeś imię, nazwisko oraz PESEL. Kiedy wykonało się pierwsze logowanie ZUS uzupełniał to konto wieloma dodatkowymi informacjami: kolejnymi danymi osobowymi, historią zatrudnienia, pobieranymi świadczeniami (rentami i zasiłkami), składkami OFE i informacjami o zarobkach.

Profil Zaufany został w końcu wydzielony z platformy ePUAP co umożliwiło załatanie tej bardzo poważnej i niebezpiecznej luki w systemie. Ci, który o niej wiedzieli mogli podając tylko podstawowe dane pozyskać wszystkie informacje o tej osobie. Można się było dowiedzieć, jakie składki jej pracodawcy, jaki ma numer jego dowód osobisty, czy chorował itp. Pytanie jednak, na czym polegał ten błąd systemu i w jaki sposób można było wykraść czyjeś dane z ZUS-u?

Odpowiedź jest zdumiewająco prosta. Od kilku lat można założyć konto na elektronicznej platformie ZUS-u. Można też je potwierdzić korzystając z ePUAP-u oraz Profilu Zaufanego. Właśnie w tej procedurze potwierdzającej była luka, dzięki której oficjalne potwierdzenie konta PUE ZUS mogła wykonać dowolna osoba, a nie prawdziwy posiadacz konta. Jeśli ktoś miał już konto na ePUAP albo konto na PUE ZUS, wykorzystanie tej luki stawało się niemożliwe. Jeśli jednak konta nie miał ani na ePUAP ani na PUE ZUS, tak jak miliony Polaków mógł hasać po systemie do woli. A osób, które takich kont nie mają jest mnóstwo. Są to głównie osoby starsze, ale wielu młodych i  nawet ,,świadomych cyfrowo,, Polaków wciąż woli załatwiać swoje sprawy osobiście w urzędzie niż użerać się z ePUAP-em. Ministerstwo Cyfryzacji policzyło, że konto na ePUAP ma tylko niepełna 1,6 mln. z ok. 39 mln. uprawnionych do tego Polaków.

Ponieważ do założenia konta w PUE ZUS wystarczy podać przez Internet podstawowe dane i nie trzeba go autoryzować “w okienku” urzędu, wejście do systemu PUE ZUS było bardzo łatwe. Potem już wystarczyło się załogować na to konto i skorzystać z oferowanej przez ePUAP opcji przydzielania uprawnień do konta (w menu “Zarządzanie kontem” >>> “Uprawnienia”). No i można było buszować po systemie do woli.

Dla uspokojenia użytkowników obu ZUS-owskich systemów przypominamy jednak, że owa ,,dziura,, w systemie ePUAP została już zlikwidowana, natomiast do założenia i korzystania z Profilu Zaufanego konieczna jest wizyta w urzędzie i potwierdzenie, że użytkownik, to rzeczywiście ta osoba, która rozmawia z  panią inspektor. Tam nie ma więc zagrożenia, że ktoś zdoła się włamać.