Nie korzystaj z rządowego serwisu do sprawdzania statusu zwrotu nadpłaty PIT

Dopiero co informowaliśmy o wycieku danych osobowych 3 000 urzędników skarbowych, a tu okazuje się, że wyciekają również dane obywateli. Jak poinformował nas jeden z Czytelników — i jak udało nam się samodzielnie potwierdzić — z oficjalnego rządowego serwisu stworzonego przez Ministerstwo Finansów wyciekają dane Polaków: numery PESEL i NIP, wysokość przychodu za ubiegły rok oraz przynależność do danego urzędu skarbowego.

Błąd w serwisie pokazującym status zwrotu nadpłaconego podatku

Chodzi o serwis formularz w zakładce zwrot nadpłaty PIT. Wystarczy na niego wejść (a czasem wejść i kilkukrotnie odświeżyć stronę) aby zobaczyć czyjeś dane:

Zalecamy nie korzystanie z ww. formularza, gdyż najprawdopodobniej dane, które jedni widzą, są danymi innych internautów, którzy chwilę wcześniej korzystali z tego serwisu.

Ale wyświetlanie cudzych danych to tylko pierwszy z problemów tego formularza. Drugim jest brak szyfrowania przesyłanych danych. Więc nie tylko przypadkowa osoba wchodząca na tę stronę może podejrzeć Twoje dane, ale również każdy, kto znajduje się na trasie połączenia pomiędzy Twoim komputerem a serwerami ministerstwa (np. twój współlokator, twój ISP).

Przypomnijmy, że rok temu ten serwis też nie szyfrował danych, a dodatkowo link, który do formularza prowadził wyglądał na podejrzany.

Co komu po tych danych?

Wysokość przychodu może być łakomym kąskiem dla wścibskich sąsiadów, ale w połączeniu z nazwiskiem i peselem może umożliwić złożenie za kogoś zeznania podatkowego, fałszywego. Tego typu atak oceniamy jednak jako małoprawdopodobny, bo nie dający atakującemu żadnych korzyści — taka machlojka wyjdzie na jaw, kiedy sama ofiara będzie chciała złożyć swój PIT.

Jest co prawda szansa, że w jakimś jeszcze systemie rządowym (przypominamy sobie tu fatalny wyciek danych milionów przedsiębiorców przez dziurę w ZUS) wysokość przychodu za ubiegły rok może być elementem identyfikacji lub autoryzacji jakiejś operacji i o tym nie wiemy. Jeśli Wy wiecie, dajcie znać w komentarzach.

Póki co błąd w formularzu sprawdzania statusu zwrotu nadpłaconego podatku dochodowego po prostu źle wygląda (Ministerstwu nie przystoi!), nie spełnia dobrych praktyk (brak szyfrowania drugi rok z rzędu!) i gdyby administracja rządowa była karana na mocy RODO, to…

Co jest powodem błedu?

Taki wyciek danych może być zarówno wynikiem błędu programistycznego na poziomie kodu serwisu internetowego, jak i problemu konfiguracyjnego warstwy cache’ującej. Ostatnio (zdecydowanie poważniejszy w skutach) błąd tego typu występował podczas Black Friday w sklepie Orange. W podobny sposób wyciekały też dane z GoogleLOT-uUPC czy Cloudflare a nawet Facebooka. Podobne błędy były też odpowiedzialne za logowania na cudze konta w serwisach AllegroT-Mobile czy GoldenLine.

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *