Kompromitacja. Kluczowy system polskiej e-administracji nie ma elementarnego zabezpieczenia

Informacje o naszych sprawach urzędowych mogą trafiać do skrzynek poczty elektronicznej przypadkowych osób.
Informacje o naszych sprawach urzędowych mogą trafiać do skrzynek poczty elektronicznej przypadkowych osób. Fot. Grzegorz Celejewski / Agencja Gazeta
Sercem polskiego systemu e-administracji jest Profil Zaufany, czyli platforma ePUAP. O ironio, ten symbol informatyzacji jest pozbawiony tak banalnego zabezpieczenia, jakim jest weryfikacja adresu e-mail. W efekcie urzędowa korespondencja może trafiać do skrzynek pocztowych zupełnie przypadkowych ludzi.

Weryfikacja adresu e-mail
To zabezpieczenie ma niemal każdy e-sklep – szydzi portal niebezpiecznik.pl. – Możecie nawet nie zauważyć, że e-maile o waszych sprawach urzędowych trafiają do kogoś innego – dorzuca.

Eksperci Niebezpiecznik.pl alarmują, że w ciągu ostatnich kilku miesięcy co najmniej kilkakrotnie spotkali się z sytuacją, w której w ePUAP znalazły się przypadkowe, źle zapisane adresy poczty elektronicznej. Wystarczy drobna pomyłka w adresie – zarówno ze strony osoby podającej adres, jak i zapisującej go urzędniczki, by pomyłka znalazła się w systemie.

O pomyłkę nietrudno: wystarczy przecież, by w systemie znalazł się jan.kowalski@domena.pl zamiast jankowalski@domena.pl. A skoro system nie weryfikuje udostępnionego adresu, zaczynają się kłopoty. Pierwszy jest taki, że korespondencja urzędowa zaczyna płynąć pod zapisany w systemie adres. Drugi sprowadza się do tego, że właściciel omyłkowo podanego adresu już z niego nie skorzysta – przynajmniej w administracji publicznej.

Jakby tego było mało, wraz z korespondencją trafiają na przypadkowy adres dane osobowe: imię i nazwisko czy numer PESEL, nie wspominając już o sygnaturach spraw urzędowych. A wystarczyłoby jedynie wprowadzić mechanizm, w którym do aktywacji Profilu trzeba kliknąć link nadesłany w wiadomości pocztowej na podany adres i przejść proces weryfikacji.


Organy rządowe jednak, póki co, wzruszają ramionami. – Weryfikacja adresów e-mail podawanych przez użytkowników systemu Profil Zaufany (eGO) to możliwa opcja rozwojowa – odpowiadał portalowi rzecznik Centralnego Ośrodka Informatyki, Igor Ryciak. – Choć do naszego ośrodka podobne zgłoszenia nie wpływały, poinformujemy o sprawie właściciela systemu, czyli Ministerstwo Cyfryzacji – kwitował.

Portal radzi, by samemu zweryfikować swoje dane w zakładce „Zarządzanie kontem”. Żeby zwiększyć poziom zabezpieczeń można też w tej zakładce znaleźć podstronę „Szczegóły konta”, następnie „Edytuj” i tam wybrać „Uwierzytelnianie dwuskładnikowe podczas logowania hasłem”.
Znajdź nas na Znajdź nas na instagramie
Trwa ładowanie komentarzy...

BLOGI

NAJNOWSZE WPISY

Piotr BuckiPiotr Bucki

Na jednym ze szkoleń uczestnicy robią ćwiczenie. Mają przygotować prostą anegdotę. Na dowolny temat. Może to być własna historia. Może być zasłyszana. Jedna z uczestniczek bardzo precyzyjnie i dobrze opowiada historię „o bezstresowym wychowaniu”. Być może ją znasz.

Igor IluninIgor Ilunin

Komunikacja machine-to-machine jest jednym z kluczowych składników przyszłości transportu globalnego.

Łukasz MurawskiŁukasz Murawski

Jeśli piszesz (lub zamierzasz pisać) książki, to raport z badań stanu czytelnictwa w Polsce za rok 2017 powinien Cię dodatkowo motywować.