Podsumowanie: Krytyczna podatność umożliwiająca całkowite ominięcie logowania w ZUS-ie, e-Sądzie i systemach e-Zdrowia

Co najmniej kilkanaście systemów administracji publicznej dostępnych z poziomu internetu było podatnych na atak umożliwiający całkowite pominięcie uwierzytelniania i zalogowanie się na konto dowolnej osoby fizycznej przy założeniu znajomości imienia, nazwiska i numeru PESEL ofiary.

Podatne usługi administracji

Luka bezpieczeństwa umożliwiająca zalogowanie się na dowolną osobę występowała w:

1. systemie eZUS Zakładu Ubezpieczeń Społecznych (zus.pl);
2. wszystkich systemach Ministerstwa Sprawiedliwości, które umożliwiały logowanie przez tzw. “Moduł Tożsamość”, w tym:
   1. e-Sąd w Lublinie,
   2. Portal Rejestrów Sądowych,
   3. Krajowy Rejestr Zadłużonych,
   4. Repozytorium Tytułów Wykonawczych;
3. wszystkich systemach umożliwiających logowanie przez platformę Usług Elektronicznych Ochrony Zdrowia (UEOZ), w tym:
   1. Rejestr Asystentów Medycznych,
   2. System Obsługi Importu Docelowego,
   3. System Informatyczny Rezydentur;
   4. Rejestr Podmiotów Wykonujących Działalność Leczniczą;
   5. System Monitorowania Zagrożeń;
   6. Zintegrowany System Monitorowania Obrotu Produktami Leczniczymi;
4. e-Serwisie Urzędu Dozoru Technicznego (eudt.gov.pl);
5. portalu usług elektronicznych Publicznych Służb Zatrudnienia (praca.gov.pl);
6. portalu e-dokumenty – Centrum Informatycznych Usług Wspólnych Olsztyna (edokumenty.olsztyn.eu).

Opisana podatność nie występowała w systemie KSeF. Nie jest to jednak jedyny system państwowy, który zawiera wrażliwe dane, w tym informacje gospodarcze.

Potencjalne skutki dla obywatela

Wykorzystanie luk bezpieczeństwa umożliwiało między innymi:

1. sprawdzenie czyichś danych osobowych, w tym numeru dowodu osobistego, adresu zamieszkania i zameldowania,
2. sprawdzenie, gdzie dana osoba pracowała i ile zarabiała – włącznie z danymi za co najmniej kilka lat wstecz,
3. uzyskanie listy osób pracujących w danej firmie na umowę o pracę i umowę zlecenie wraz z danymi takimi, jak adres zamieszkania i zameldowania każdego pracownika, numer PESEL, numer dowodu osobistego oraz wysokość wynagrodzenia,
4. przeglądanie spraw w e-Sądzie w Lublinie, w których dana osoba była pozywającym lub pozwanym, wraz z treścią i statusami pozwów,
5. przeglądanie informacji o dłużnikach, wobec których został wystawiony elektroniczny tytuł wykonawczy, wraz z informacją o wierzycielach i wysokości długu,
6. przeglądanie wniosków danej osoby o rejestrację lub wyrejestrowanie jako bezrobotny (o ile zostały złożone elektronicznie),
7. przeglądanie zgłoszeń składanych przez firmy, związanych z zatrudnianiem cudzoziemców na terenie Polski.

Warto nadmienić, że zastrzeżenie przez ofiarę PESEL-u nie blokowało możliwości przeprowadzenia ataku – system zastrzeżeń powstał w celu ochrony przed innymi profilami zagrożeń i nie ma tutaj zastosowania.

Atak pomijał również dwuskładnikowe uwierzytelnianie.

Przyczyna występowania podatności

Na skutek niedopatrzenia wymienione systemy w niedostatecznym stopniu sprawdzały, czy karta do podpisu kwalifikowanego została wydana przez uprawniony do tego podmiot. W efekcie możliwe było wystawianie fałszywych kart do podpisu kwalifikowanego na dane dowolnej osoby fizycznej, co umożliwiało zalogowanie się w imieniu tej osoby.

Co do zasady systemy oparte na podpisach kwalifikowanych są systemami bardzo bezpiecznymi, ale tylko jeżeli zostały wykonane w pełni zgodnie ze sztuką techniczną i rozporządzeniem eIDAS. Odkryty błąd nie oznacza konieczności rezygnacji z używania e-podpisów, ale administracja publiczna powinna zwiększyć liczbę i zakres audytów bezpieczeństwa swoich systemów.

W mojej ocenie, ze względu na techniczne detale błędów, niemal na pewno powstały one przez przypadek. Jednocześnie odkrywca błędu apeluje o powstrzymanie się od krytyki, a tym bardziej od wyciągania konsekwencji wobec konkretnych osób, które programowały wspomniane systemy – zawiodły procedury (niedostateczny nadzór nad systemami, niedostateczna liczba i zakres audytów), czyli przede wszystkim osoby decyzyjne.

Prawowici właściciele kart do podpisu kwalifikowanego nie muszą podejmować żadnego działania, w szczególności nie muszą wymieniać swoich kart na nowe – bezpieczeństwo takich kart nie zostało naruszone. Błąd umożliwiał wyłącznie tworzenie fałszywych kart i korzystanie z takowych, nie miał on natomiast żadnego wpływu na prawdziwe karty, wydane przez uprawnione do tego podmioty.

Zgłoszenie podatności

Podatność została odkryta w styczniu 2026 r. podczas hobbystycznie prowadzonego badania bezpieczeństwa w zakresie obsługi podpisów elektronicznych w polskiej administracji publicznej. W ramach badania autor odkrycia, specjalista i audytor bezpieczeństwa, uzyskiwał dostęp wyłącznie do własnych kont, aby uniknąć ujawnienia wrażliwych informacji.

Znalezione błędy bezpieczeństwa niezwłocznie po ich wykryciu zostały zgłoszone zespołowi CERT Polska oraz producentowi oprogramowania do weryfikacji podpisów – KIR S.A.

Obsługa incydentu

Na ten moment nic nie wskazuje na to, aby podatności były wcześniej znane komukolwiek innemu lub używane do uzyskiwania nieautoryzowanego dostępu do cudzych kont. Wszystkie podmioty wymienione w sekcji “Podatne usługi administracji” wdrożyły aktualizacje naprawiające błędy bezpieczeństwa.

Szczegóły techniczne

Dokładne szczegóły techniczne można znaleźć w artykułach z serii “Badanie e-podpisów”:

• Zdalne wykonanie kodu w SzafirHost – [CVE-2026-26928][Badanie e-podpisów, cz. 1]
• Hakowanie e-Sądu YubiKeyem – [Badanie e-podpisów, cz. 2]
• Ominięcie uwierzytelniania w ZUS-ie i systemach e-Zdrowia, czyli o krok od cyberchaosu – [CVE-2026-9058][Badanie e-podpisów, cz. 3]