Kompromitacja. Kluczowy system polskiej e-administracji nie ma elementarnego zabezpieczenia

Informacje o naszych sprawach urzędowych mogą trafiać do skrzynek poczty elektronicznej przypadkowych osób.
Informacje o naszych sprawach urzędowych mogą trafiać do skrzynek poczty elektronicznej przypadkowych osób. Fot. Grzegorz Celejewski / Agencja Gazeta
Sercem polskiego systemu e-administracji jest Profil Zaufany, czyli platforma ePUAP. O ironio, ten symbol informatyzacji jest pozbawiony tak banalnego zabezpieczenia, jakim jest weryfikacja adresu e-mail. W efekcie urzędowa korespondencja może trafiać do skrzynek pocztowych zupełnie przypadkowych ludzi.

Weryfikacja adresu e-mail
To zabezpieczenie ma niemal każdy e-sklep – szydzi portal niebezpiecznik.pl. – Możecie nawet nie zauważyć, że e-maile o waszych sprawach urzędowych trafiają do kogoś innego – dorzuca.

Eksperci Niebezpiecznik.pl alarmują, że w ciągu ostatnich kilku miesięcy co najmniej kilkakrotnie spotkali się z sytuacją, w której w ePUAP znalazły się przypadkowe, źle zapisane adresy poczty elektronicznej. Wystarczy drobna pomyłka w adresie – zarówno ze strony osoby podającej adres, jak i zapisującej go urzędniczki, by pomyłka znalazła się w systemie.

O pomyłkę nietrudno: wystarczy przecież, by w systemie znalazł się jan.kowalski@domena.pl zamiast jankowalski@domena.pl. A skoro system nie weryfikuje udostępnionego adresu, zaczynają się kłopoty. Pierwszy jest taki, że korespondencja urzędowa zaczyna płynąć pod zapisany w systemie adres. Drugi sprowadza się do tego, że właściciel omyłkowo podanego adresu już z niego nie skorzysta – przynajmniej w administracji publicznej.

Jakby tego było mało, wraz z korespondencją trafiają na przypadkowy adres dane osobowe: imię i nazwisko czy numer PESEL, nie wspominając już o sygnaturach spraw urzędowych. A wystarczyłoby jedynie wprowadzić mechanizm, w którym do aktywacji Profilu trzeba kliknąć link nadesłany w wiadomości pocztowej na podany adres i przejść proces weryfikacji.


Organy rządowe jednak, póki co, wzruszają ramionami. – Weryfikacja adresów e-mail podawanych przez użytkowników systemu Profil Zaufany (eGO) to możliwa opcja rozwojowa – odpowiadał portalowi rzecznik Centralnego Ośrodka Informatyki, Igor Ryciak. – Choć do naszego ośrodka podobne zgłoszenia nie wpływały, poinformujemy o sprawie właściciela systemu, czyli Ministerstwo Cyfryzacji – kwitował.

Portal radzi, by samemu zweryfikować swoje dane w zakładce „Zarządzanie kontem”. Żeby zwiększyć poziom zabezpieczeń można też w tej zakładce znaleźć podstronę „Szczegóły konta”, następnie „Edytuj” i tam wybrać „Uwierzytelnianie dwuskładnikowe podczas logowania hasłem”.
Trwa ładowanie komentarzy...

BLOGI

NAJNOWSZE WPISY

Piotr BuckiPiotr Bucki

Podczas ostatniej konferencji Kurs na HR w Gdańsku, Marcin Grzegory z Invest in Pomerania, zadał widowni pytanie, „Kto z Państwa wie coś na temat projektu Invest in Pomerania”. Potem dodał, „Pytam, bo wiem, że nie ma nic gorszego niż opowiadania o rzeczach, które ludzie znają i kojarzą”. Miał rację.

Łukasz DudkoŁukasz Dudko

Odpowiedzi na to pytanie jest tyle, że wystarczyłoby pewnie na grubą książkę, ale skupmy się na dwóch kluczowych błędach: słabej analizie konkurencji oraz nieprzygotowaniu produktu i zespołu. Bez tego ekspansja na rynki zagraniczne nie ma szans.

Bartłomiej DąbkowskiBartłomiej Dąbkowski

Walter Isaacson, w podsumowaniu biografii Leonardo da Vinci, podsuwa nam sporą listę wniosków wynikających z działalności artysty, które można wykorzystać do rozwijania swojej kreatywności.