O sprawie ZUS został poinformowany jeszcze w czerwcu przez specjalistyczny blog Niebezpiecznik, który zajmuje się tematyką bezpieczeństwa sieciowego. Trzeba było jednak kilku interwencji ekspertów z tego serwisu, by lukę usunięto. Nie wiadomo jednak od jak dawna funkcjonowała i jak mogła być wykorzystywana. ZUS jednak zapewnia, że dane osób ubezpieczonych jednak były i są bezpieczne, bowiem cały czas są monitorowane.
Tymczasem jak tłumaczy Niebezpiecznik wystarczyło imię, nazwisko oraz numer PESEL danej osoby, by sprawdzić zarobki praktycznie każdej osoby ubezpieczonej w ZUS. Jak to działało? Otóż za pośrednictwem ePUAPu, czyli podstawowej platformy do kontaktów z elektroniczna administracją, wystarczyło założyć konto dowolnej osobie wpisując w formularzu rejestracyjnym jej dane osobowe. „Po pierwszym logowaniu ZUS uzupełniał to konto mnóstwem dodatkowych informacji: dalszymi danymi osobowymi, historią zatrudnienia, pobieranymi świadczeniami (rentami i zasiłkami), składkami OFE i informacjami o zarobkach” – opisuje Niebezpiecznik. Podkreśla, że konto na e_PUAP nie musiało być oficjalnie potwierdzone „w okienku” urzędu (takiej wizyty wymaga założenie Profilu Zaufanego, ale to co innego).
O sprawie w lipcu zostało także poinformowane także Ministerstwo Cyfryzacji. Jak się okazuje dopiero w ostatni weekend – 10 września ZUS udało się usunąć dziurę. Było to uzależnione od wdrożenia przez Centralny Ośrodek Informatyki nowego ePUAP i wydzielenia z niego profilu zaufanego.
1,4 mln to łączna liczba płatników odprowadzających składki do ZUS za siebie. 325,4 tys. to płatnicy składek działający jako osoby prawne
14,86 mln osób łącznie podlega ubezpieczeniu w ZUS.