Ominięcie uwierzytelniania w ZUS-ie i systemach e-Zdrowia, czyli o krok od cyberchaosu – [CVE-2026-9058] [Badanie e-podpisów, cz. 3]

Ominięcie uwierzytelniania w ZUS-ie i systemach e-Zdrowia, czyli o krok od cyberchaosu – [CVE-2026-9058] [Badanie e-podpisów, cz. 3] to raport szczegółowo opisujący krytyczną podatność w systemach administracji publicznej, w tym ZUS i CEZ, która pozwalała na nieautoryzowane logowanie na konto dowolnego użytkownika. Atak wymagał jedynie dostępu do Internetu, znajomości numeru PESEL ofiary oraz niestandardowych narzędzi do obejścia uwierzytelniania dwuskładnikowego. Podatność wynikała z niewłaściwej implementacji oprogramowania Szafir, które nie weryfikowało, czy podpis był rzeczywiście kwalifikowany, akceptując technicznie poprawne, ale sfałszowane podpisy. Poprzez stworzenie własnej infrastruktury klucza publicznego i manipulację plikami XML w celu dołączenia fałszywych łańcuchów certyfikatów, badacz mógł podszyć się pod dowolną osobę. Luka ta stwarzała poważne zagrożenia, takie jak nieautoryzowany dostęp do dokumentacji medycznej, zarządzanie receptami oraz wrażliwe dane dotyczące zatrudnienia lub finansów. Badacz z powodzeniem zademonstrował atak na wielu systemach, podkreślając niebezpieczeństwa wynikające ze złożonych i słabo udokumentowanych integracji zabezpieczeń. Wszystkie zidentyfikowane podatności zostały zgłoszone do CERT Polska oraz producenta oprogramowania, KIR S.A., co doprowadziło do niezbędnych poprawek i aktualizacji systemów. Choć sama koncepcja podpisów kwalifikowanych pozostaje bezpieczna, przypadek ten podkreśla krytyczną potrzebę solidnej implementacji i rygorystycznych testów komponentów bezpieczeństwa. Projekt, przeprowadzony niezależnie, służy jako istotne studium przypadku w dziedzinie bezpieczeństwa oprogramowania i znaczenia intuicyjnej architektury typu secure-by-design.