Kompromitacja. Kluczowy system polskiej e-administracji nie ma elementarnego zabezpieczenia

Informacje o naszych sprawach urzędowych mogą trafiać do skrzynek poczty elektronicznej przypadkowych osób.
Informacje o naszych sprawach urzędowych mogą trafiać do skrzynek poczty elektronicznej przypadkowych osób. Fot. Grzegorz Celejewski / Agencja Gazeta
Sercem polskiego systemu e-administracji jest Profil Zaufany, czyli platforma ePUAP. O ironio, ten symbol informatyzacji jest pozbawiony tak banalnego zabezpieczenia, jakim jest weryfikacja adresu e-mail. W efekcie urzędowa korespondencja może trafiać do skrzynek pocztowych zupełnie przypadkowych ludzi.


Weryfikacja adresu e-mail
To zabezpieczenie ma niemal każdy e-sklep – szydzi portal niebezpiecznik.pl. – Możecie nawet nie zauważyć, że e-maile o waszych sprawach urzędowych trafiają do kogoś innego – dorzuca.

Eksperci Niebezpiecznik.pl alarmują, że w ciągu ostatnich kilku miesięcy co najmniej kilkakrotnie spotkali się z sytuacją, w której w ePUAP znalazły się przypadkowe, źle zapisane adresy poczty elektronicznej. Wystarczy drobna pomyłka w adresie – zarówno ze strony osoby podającej adres, jak i zapisującej go urzędniczki, by pomyłka znalazła się w systemie.

O pomyłkę nietrudno: wystarczy przecież, by w systemie znalazł się jan.kowalski@domena.pl zamiast jankowalski@domena.pl. A skoro system nie weryfikuje udostępnionego adresu, zaczynają się kłopoty. Pierwszy jest taki, że korespondencja urzędowa zaczyna płynąć pod zapisany w systemie adres. Drugi sprowadza się do tego, że właściciel omyłkowo podanego adresu już z niego nie skorzysta – przynajmniej w administracji publicznej.

Jakby tego było mało, wraz z korespondencją trafiają na przypadkowy adres dane osobowe: imię i nazwisko czy numer PESEL, nie wspominając już o sygnaturach spraw urzędowych. A wystarczyłoby jedynie wprowadzić mechanizm, w którym do aktywacji Profilu trzeba kliknąć link nadesłany w wiadomości pocztowej na podany adres i przejść proces weryfikacji.


Organy rządowe jednak, póki co, wzruszają ramionami. – Weryfikacja adresów e-mail podawanych przez użytkowników systemu Profil Zaufany (eGO) to możliwa opcja rozwojowa – odpowiadał portalowi rzecznik Centralnego Ośrodka Informatyki, Igor Ryciak. – Choć do naszego ośrodka podobne zgłoszenia nie wpływały, poinformujemy o sprawie właściciela systemu, czyli Ministerstwo Cyfryzacji – kwitował.

Portal radzi, by samemu zweryfikować swoje dane w zakładce „Zarządzanie kontem”. Żeby zwiększyć poziom zabezpieczeń można też w tej zakładce znaleźć podstronę „Szczegóły konta”, następnie „Edytuj” i tam wybrać „Uwierzytelnianie dwuskładnikowe podczas logowania hasłem”.
Znajdź nas na Znajdź nas na instagramie

Oceń ten artykuł:

Trwa ładowanie komentarzy...

BLOGI

NAJNOWSZE WPISY

Marek PorzeżyńskiMarek Porzeżyński

Unia Europejska zgodnie ustanowiła ramy umożliwiające karanie za dokonanie cyberataków zagrażających poszczególnym państwom.

Anna SzubertAnna Szubert

1 czerwca w Hali Expo w Łodzi odbędzie się siódma edycja pokazu polskich projektantów Marka Wspiera Markę. To wydarzenie wyjatkowe na skalę Polski.

Igor IluninIgor Ilunin

Nasze samochody jeszcze nie jeżdżą samodzielnie. Na pewno też nie latają. Ale postęp technologiczny ostatnich kilku lat jest zadziwiający.