Kompromitacja. Kluczowy system polskiej e-administracji nie ma elementarnego zabezpieczenia

Informacje o naszych sprawach urzędowych mogą trafiać do skrzynek poczty elektronicznej przypadkowych osób.
Informacje o naszych sprawach urzędowych mogą trafiać do skrzynek poczty elektronicznej przypadkowych osób. Fot. Grzegorz Celejewski / Agencja Gazeta
Sercem polskiego systemu e-administracji jest Profil Zaufany, czyli platforma ePUAP. O ironio, ten symbol informatyzacji jest pozbawiony tak banalnego zabezpieczenia, jakim jest weryfikacja adresu e-mail. W efekcie urzędowa korespondencja może trafiać do skrzynek pocztowych zupełnie przypadkowych ludzi.


Weryfikacja adresu e-mail
To zabezpieczenie ma niemal każdy e-sklep – szydzi portal niebezpiecznik.pl. – Możecie nawet nie zauważyć, że e-maile o waszych sprawach urzędowych trafiają do kogoś innego – dorzuca.

Eksperci Niebezpiecznik.pl alarmują, że w ciągu ostatnich kilku miesięcy co najmniej kilkakrotnie spotkali się z sytuacją, w której w ePUAP znalazły się przypadkowe, źle zapisane adresy poczty elektronicznej. Wystarczy drobna pomyłka w adresie – zarówno ze strony osoby podającej adres, jak i zapisującej go urzędniczki, by pomyłka znalazła się w systemie.

O pomyłkę nietrudno: wystarczy przecież, by w systemie znalazł się jan.kowalski@domena.pl zamiast jankowalski@domena.pl. A skoro system nie weryfikuje udostępnionego adresu, zaczynają się kłopoty. Pierwszy jest taki, że korespondencja urzędowa zaczyna płynąć pod zapisany w systemie adres. Drugi sprowadza się do tego, że właściciel omyłkowo podanego adresu już z niego nie skorzysta – przynajmniej w administracji publicznej.

Jakby tego było mało, wraz z korespondencją trafiają na przypadkowy adres dane osobowe: imię i nazwisko czy numer PESEL, nie wspominając już o sygnaturach spraw urzędowych. A wystarczyłoby jedynie wprowadzić mechanizm, w którym do aktywacji Profilu trzeba kliknąć link nadesłany w wiadomości pocztowej na podany adres i przejść proces weryfikacji.


Organy rządowe jednak, póki co, wzruszają ramionami. – Weryfikacja adresów e-mail podawanych przez użytkowników systemu Profil Zaufany (eGO) to możliwa opcja rozwojowa – odpowiadał portalowi rzecznik Centralnego Ośrodka Informatyki, Igor Ryciak. – Choć do naszego ośrodka podobne zgłoszenia nie wpływały, poinformujemy o sprawie właściciela systemu, czyli Ministerstwo Cyfryzacji – kwitował.

Portal radzi, by samemu zweryfikować swoje dane w zakładce „Zarządzanie kontem”. Żeby zwiększyć poziom zabezpieczeń można też w tej zakładce znaleźć podstronę „Szczegóły konta”, następnie „Edytuj” i tam wybrać „Uwierzytelnianie dwuskładnikowe podczas logowania hasłem”.
Znajdź nas na Znajdź nas na instagramie

Oceń ten artykuł:

Trwa ładowanie komentarzy...
0 0Polacy wymyślili świetną apkę, która ubierze cię, jak gwiazdę serialu. Atakują nowy, odległy rynek
0 0Krótka ławka trenera Morawieckiego. Nowy minister finansów debiutował jeszcze u Tuska
0 0Do kogo trafiają pieniądze z PFN? Detektyw ujawnia sztuczki na "wyprowadzanie środków"
0 0Smartfona powinniśmy używać co najmniej 25 lat. Ten raport jest zatrważający
0 0"Znaleźli lukę w systemie". Atak na rafinerie obnażył słabe punkty ich zabezpieczeń
0 0"Ktoś dobrze wybrał cel". Uderzenie w saudyjską ropę zaboli cały świat, również nas
NAUKA 0 0Polacy szykują inspirowaną glonami rewolucję w medycynie. Właśnie dostali na to 21 mln zł
0 0Rząd chce wiedzieć, gdzie jeździsz i za ile. Dane z Ubera i Bolta przejmą służby
KARIERA 0 0Rozwój osobisty może zniszczyć człowieka. "Obudził się we mnie wewnętrzny krytyk na sterydach"
0 0W tych światowych miastach żyje się najlepiej. Znalazło się też miejsce dla Warszawy