[ALERT] Luka w biznes.gov.pl. Dane przedsiębiorców narażone
[ALERT] Luka w biznes.gov.pl. Dane przedsiębiorców narażone
Poważna luka w biznes.gov.pl pozawala na pobranie wrażliwych danych przedsiębiorców.
Okazuje się, że wystarczyło wpisać konkretną firmę w wyszukiwarce CEIDG. Część adresu URL z wyniku wyszukiwania stanowi unikalny identyfikator przedsiębiorcy. Ten sam identyfikator wklejony do do URL serwisu biznes.gov.pl pokaże konto tego samego przedsiębiorcy. Wówczas można z niego ściągnąć dane niejawne – datę urodzenia i PESEL.
Na dodatek błąd w API pozwalał na masowe pobieranie takich danych.
Ministerstwo Rozwoju i Technologii, któremu podlega biznes.gov.pl, poinformowało o rozpoczęciu prac w celu usunięcia luki (a najpierw zablokowano dostęp do profilu firmy zalogowanym użytkownikom).
Dane udostępniane w serwisach administracji są łakomym kąskiem dla cyberprzestępców. W zeszłym roku wykryto włamanie na konta Profilu Zaufanego. Według ustaleń policji wyciekły rekordy 239 użytkowników. Zatrzymano podejrzanego.
Źródło: www.crn.pl
W razie dodatkowych pytań zapraszamy do kontaktu.
