Tysiące numerów IBAN na stronie ZUS zostało zmienionych bez wiedzy beneficjentów
Mário Cruz / Lusa
Dochodzenie jest w rękach PJ i dotyczyło co najmniej 6000 beneficjentów Ubezpieczeń Społecznych. Władze nie wykluczają możliwości zaangażowania wewnętrznego.
Według przynajmniej Dotknęło to 6000 beneficjentów z powodu luki w zabezpieczeniach witryny Social Security Direct (SSD), która umożliwiła niepotrzebne zmiany w numerze IBAN.
Choć zaangażowane podmioty nie potwierdziły dokładnej liczby dotkniętych osób, szacuje się, że przekazane kwoty sięgają dziesiątek tysięcy euro. Sprawa jest w toku dochodzenie prowadzone przez Policję Sądową (PJ), z podejrzeniami, że w akcji brał udział bot i wykorzystanie VPN w celu ukrycia źródła ataku.
Lukę wykryto we wrześniu 2024 r., kiedy system zidentyfikował nieprawidłowy wzorzec: żądania zmiany numeru IBAN pojawiał się co cztery minuty. Wielu beneficjentów zgłosiło zmiany, o które nie prosili, co doprowadziło do tymczasowego zawieszenia tej funkcjonalności na stronie internetowej.
Naruszenie zrodziło pytania o pochodzenie wykorzystanych danych i czy tak było z poprzednich ataków lub ciemna sieć, w której znaleziono na sprzedaż informacje dotyczące Ubezpieczenia Społecznego.
Potwierdził to Zakład Ubezpieczeń Społecznych Otrzymano 90 skargobejmujący około 60 tys. R $. W odpowiedzi od 1 października 2024 r. obowiązkowe stało się osobiste przedstawianie dokumentacji w celu zmiany danych bankowych. Instytucja oświadczyła, że pracuje nad działaniami zwiększającymi bezpieczeństwo procesu aktualizacji numeru IBAN na stronie internetowej.
Dochodzenia uwzględniają również inne formy niewłaściwego dostępu, takie jak oszustwa typu phishing, i nie wykluczają możliwość zaangażowania wewnętrznego. W 2022 roku Zakład Ubezpieczeń Społecznych stał się celem kolejnego cyberataku, którego celem było zniszczenie danych.
Zaprzeczano wówczas, jakoby dane obywateli zostały naruszone, ale w styczniu 2023 r. potwierdzono ujawnienie danych 14 000 pracowników.
Skutki niedawnego naruszenia bezpieczeństwa doprowadziły do rezygnacji Sérgio Carvalhoprezes Instytutu Informatyki, kilka dni po wykryciu problemu. Władze nadal jednak badają incydent.
