Problemy z usługą e-PIT. Resort odpowiada na działania hakerów

22 lutego 2019, 16:11
800px-Warszawa_-_Supraporty_-_Ministerstwo_Finansów
Fot. Adam-dalekie-pole/Wikipedia/CC 3.0

Po wykryciu luk związanych z procesem logowania do systemu e-PIT Ministerstwo Finansów podjęło odpowiednie działania i naprawiło niedopatrzenie. Niemniej jednak wdrożenie innowacyjnej usługi stworzyło nową możliwość działania dla cyberprzestępców.

Wdrożenie systemu e-PIT jest prawdziwą rewolucją w zakresie finansów, ponieważ urząd skarbowy sam rozliczy składane zeznania. Istnieje również możliwość obserwacji swojego PIT-a na ministerialnej stronie przy użyciu wskazanych danych autoryzacyjnych.

Jednak wprowadzone rozwiązanie systemowe zawierało luki, ponieważ każda osoba posiadająca dane dotyczące m.in. numeru PESEL lub NIP, datę urodzenia czy łączny przychód za 2017 rok, mogła uzyskać dostęp do konkretnych informacji zawartych na stronie z rozliczeniem. Tego typu danymi dysponuje na przykład pracodawca.

W środę swoje uwagi w specjalnym liście do Ministerstwa Finansów przesłała prezes Urzędu Ochrony Danych Osobowych (UODO) Edyta Bielak-Jomaa. Resort szybko zareagował i już w czwartek wprowadzono zmiany. Obecnie, aby zobaczyć PIT w systemie należy, oprócz wprowadzenia dotychczasowych danych, podać również dodatkowe informacje, w tym m.in. kwotę nadpłaty.

Co więcej, zgodnie z zapowiedziami, usługa Twój e-PIT ma zostać rozszerzona o historię logowania, umożliwiającą użytkownikowi śledzenie wszystkich prób wejścia do systemu.  

Hakerzy, korzystając z rosnącej popularności systemu, podszywają się pod Ministerstwo Finansów, rozsyłając maile ze złośliwym oprogramowaniem. W ich pomocą cyberprzestępcy chcą  zachęcić odbiorców do korzystania z nowej usługi e-PIT. W rzeczywistości w wiadomościach zwarty został fikcyjny odnośnik, który odsyła użytkowników do zainfekowanej witryny.

Resort zaznacza, że z usługi e-PIT można korzystać tylko na jednej stronie internetowej pod adresem podatki.gov.pl. Specjaliści wskazują, iż po otrzymaniu podejrzanej wiadomości należy zwrócić uwagę przede wszystkim na adres nadawcy, a także błędy gramatyczne oraz ortograficzne, które mogą świadczyć o jej fikcyjności. 

Ministerstwo Finansów wszystkie incydenty związane z fikcyjnymi mailami oraz innymi przypadkami oszustw zgłasza odpowiednim służbom, w tym Agencji Bezpieczeństwa Wewnętrznego (ABW). W ramach ich struktur specjaliści ds. cyberbezpieczeństwa podejmują działania w celu zablokowania złośliwych witryn oraz odkrycia źródła cyberataków.

KomentarzeLiczba komentarzy: 1
TowariszczJAcho
sobota, 23 lutego 2019, 18:27

Ciekawe co robi Ministerstwo Cyfryzacji odpowiedzialne za bezpieczne udostępnianie danych - wszak jest specjalna grupa w MC od tego ... dlaczego MF ma odpowiadać za e-PIT - przecież jest to usługa na danych i MC osobiście powinien za to beknąć