Kompromitacja. Kluczowy system polskiej e-administracji nie ma elementarnego zabezpieczenia

Informacje o naszych sprawach urzędowych mogą trafiać do skrzynek poczty elektronicznej przypadkowych osób.
Informacje o naszych sprawach urzędowych mogą trafiać do skrzynek poczty elektronicznej przypadkowych osób. Fot. Grzegorz Celejewski / Agencja Gazeta
Sercem polskiego systemu e-administracji jest Profil Zaufany, czyli platforma ePUAP. O ironio, ten symbol informatyzacji jest pozbawiony tak banalnego zabezpieczenia, jakim jest weryfikacja adresu e-mail. W efekcie urzędowa korespondencja może trafiać do skrzynek pocztowych zupełnie przypadkowych ludzi.

Weryfikacja adresu e-mail
To zabezpieczenie ma niemal każdy e-sklep – szydzi portal niebezpiecznik.pl. – Możecie nawet nie zauważyć, że e-maile o waszych sprawach urzędowych trafiają do kogoś innego – dorzuca.

Eksperci Niebezpiecznik.pl alarmują, że w ciągu ostatnich kilku miesięcy co najmniej kilkakrotnie spotkali się z sytuacją, w której w ePUAP znalazły się przypadkowe, źle zapisane adresy poczty elektronicznej. Wystarczy drobna pomyłka w adresie – zarówno ze strony osoby podającej adres, jak i zapisującej go urzędniczki, by pomyłka znalazła się w systemie.

O pomyłkę nietrudno: wystarczy przecież, by w systemie znalazł się jan.kowalski@domena.pl zamiast jankowalski@domena.pl. A skoro system nie weryfikuje udostępnionego adresu, zaczynają się kłopoty. Pierwszy jest taki, że korespondencja urzędowa zaczyna płynąć pod zapisany w systemie adres. Drugi sprowadza się do tego, że właściciel omyłkowo podanego adresu już z niego nie skorzysta – przynajmniej w administracji publicznej.

Jakby tego było mało, wraz z korespondencją trafiają na przypadkowy adres dane osobowe: imię i nazwisko czy numer PESEL, nie wspominając już o sygnaturach spraw urzędowych. A wystarczyłoby jedynie wprowadzić mechanizm, w którym do aktywacji Profilu trzeba kliknąć link nadesłany w wiadomości pocztowej na podany adres i przejść proces weryfikacji.


Organy rządowe jednak, póki co, wzruszają ramionami. – Weryfikacja adresów e-mail podawanych przez użytkowników systemu Profil Zaufany (eGO) to możliwa opcja rozwojowa – odpowiadał portalowi rzecznik Centralnego Ośrodka Informatyki, Igor Ryciak. – Choć do naszego ośrodka podobne zgłoszenia nie wpływały, poinformujemy o sprawie właściciela systemu, czyli Ministerstwo Cyfryzacji – kwitował.

Portal radzi, by samemu zweryfikować swoje dane w zakładce „Zarządzanie kontem”. Żeby zwiększyć poziom zabezpieczeń można też w tej zakładce znaleźć podstronę „Szczegóły konta”, następnie „Edytuj” i tam wybrać „Uwierzytelnianie dwuskładnikowe podczas logowania hasłem”.
Znajdź nas na Znajdź nas na instagramie
Trwa ładowanie komentarzy...

BLOGI

NAJNOWSZE WPISY

Piotr BuckiPiotr Bucki

Aaron Sorkin – amerykański dramaturg, scenarzysta, reżyser i producent filmowy i telewizyjny – przekonuje, że jeśli nie masz w swojej opowieści takich słów jak „ale”, „jednak”, „z wyjątkiem”, „poza”, „tymczasem”, to nie stworzysz dobrej historii. Jeśli nie masz właśnie takich słów funkcyjnych, to nie masz też dobrej narracji do swojej prezentacji.

Jarosław TrelaJarosław Trela

Całkiem niedawno rozpoczął się nowy rok 2019. Jaki był poprzedni dla mnie i mojej firmy? Odpowiem obiektywnie i szczerze. Dobry. Z dumą mogę powiedzieć, że cały czas rośniemy, notujemy zyski, a pracy nie brakuje. Jest to zasługa kilku składowych. Po pierwsze wzrastającej świadomości co do sektora odnawialnych źródeł energii.

Krzysztof SurgutKrzysztof Surgut

Twoja Firma została zaatakowana przez hakerów? No to może warto odpowiedzieć im "Pięknym za Nadobne" i przygotować lub zlecić kontratak? To nie jest najlepszy pomysł. Dlaczego? Zapraszam do lektury.