Reklama.
Reklama.
Reklama.
Kolejny blamaż ePUAP. Obejście zabezpieczeń jest banalnie proste, a od dwóch miesięcy nikt tego nie naprawił
Reklama.
System ePUAP (elektroniczna Platforma Usług Administracji Publicznej) miał w zamierzeniu ułatwiać Polakom życie, konsolidując metody komunikacji z urzędami w jedną platformę. Niestety, twórcy zapomnieli o odpowiednich zabezpieczeniach które, pomimo obietnic, dalej można ominąć. I to bez korzystania z wyrafinowanych hakerskich technik.
Kosztujący grubo ponad 100 milionów złotych projekt jest pełen błędów i niedoróbek. Do tego stopnia, że kiedy ePUAP miał kolejną już awarię w maju, minister resortu cyfryzacji, Anna Streżyńska, napisała, że trzeba go “zaorać”. Ostatnio wyszła na jaw kolejna kompromitująca “furtka” w systemie.
Mianowicie, ponieważ w ePUAP znajdują się wrażliwe i poufne dane, logowanie do serwisu jest dwustopniowe. Oprócz loginu i hasła do konta, potrzebny jest jeszcze specjalny kod z autoryzacją, który dostaje się SMS-em lub na pocztę elektroniczną.
Jak podaje serwis Niebezpiecznik, wcale nie trzeba czekać, aż hasło do nas przyjdzie. Kiedy na stronie pojawi się komunikat, by logujący się podał hasło, wystarczy zamknąć okno z komunikatem i odczekać około godziny. Po tym czasie... zostajemy automatycznie zalogowani do ePUAP.
Prawdopodobnie błąd systemu jest związany z tzw, niewłaściwą obsługą wyjątku. Zamiast odrzucić próbę logowania, system po jakimś czasie uznaje ją za prawidłową i użytkownik może wejść na swoje konto. Do tego problemem okazuje się samo otrzymanie kodu na skrzynkę - zdarzało się, że w ogóle nie przychodził, ale dzięki luce i tak można było korzystać z serwisu.
Chociaż pierwsze informacje o takim błędzie pojawiły się już w połowie maja, na razie nie usunięto błędu z ePUAP. Centralny Ośrodek Informatyki, odpowiedzialny za jego obsługę, zlecił już stworzenie odpowiedniej łatki zewnętrznej firmie Comarch. Ta oficjalnie ją zaimplementowała na początku tego tygodnia. System nie prosił już o podanie kodu jednorazowego, tylko od razu nas logował. Później znowu zaczął tego wymagać, ale dalej można to była ominąć opisaną wyżej metodą.
Okazuje się jednak, że luka w bezpieczeństwie może mieć swoje plusy. Osoby, które w jakiś sposób utraciły dostęp do maila lub telefonu, mogą dalej logować się do ePUAP. To o tyle istotne, że nie da się wszcząć procedury odzyskiwania danych, tylko trzeba udać się do odpowiedniego urzędu, unieważnić profil, założyć nowe konto w systemie, złożyć wniosek o nowy profil i zatwierdzić go w urzędzie. Dokumentów z pierwotnego profilu już jednak nie odzyskamy – przepadają razem z unieważnionym kontem.
[Aktualizacja]
Skontaktowała się z nami przedstawicielka Centralnego Ośrodka Informatyki z oświadczeniem dotyczącym systemu ePUAP.
W ostatni weekend wdrożyliśmy kilkadziesiąt poprawek dotyczących ePUAP wgrywanych kaskadowo, w tej grupie znalazły się także zagadnienia dotyczące bezpieczeństwa.
Poprawka odnosząca się do dwuskładnikowego uwierzytelniania niestety została zwrócona do dostawcy. Pilnujemy tej sprawy i dokładamy wszelkich starań, by wykonawca wywiązał się ze swoich zobowiązań.
Pamiętajmy jednak, że funkcjonalność dwuskładnikowego uwierzytelniania jest dodatkową opcją zabezpieczenia, którą stosuje obecnie ok. 18 000 użytkowników ePUAP (użytkownicy logujący się w lipcu 2016 r.) spośród ponad 1 550 000 wszystkich użytkowników ePUAP, co stanowi ok. 1,2% wspomnianych użytkowników korzystających z tego sposobu uwierzytelniania.
Źródło: Niebezpiecznik
Napisz do autora: grzegorz.burtan@innpoland.pl
Reklama.