Profil Zaufany można było przechytrzyć. Umożliwiał podrobienie podpisu na dokumencie
Właściciel firmy IT wykrył, że na rządowej stronie moj.gov.pl można sfabrykować wiarygodny podpis pod jakimkolwiek dokumentem. Wystarczył do tego Profil Zaufany, którym można podpisywać zarówno dokumenty urzędowe, jak również przesyłane między prywatnymi osobami i organizacjami.
Podrobiony podpis
O sprawie informuje portal Niebezpiecznik.pl. Do redakcji odezwał się Mariusz Dalewski, współwłaściciel i prezes spółki IT. Mężczyzna odkrył sposób na wytworzenie pliku, który zostanie błędnie zidentyfikowany jako prawidłowo podpisany przez konkretną osobę.Aby uwiarygodnić odkrycie, mężczyzna wytworzył w swoim Profilu Zaufanym plik z podpisem - jednak nie z własnym nazwiskiem, a z podpisem Niebezpiecznika. Dokument wyglądał na wiarygodny i miał status podpisu zaufanego.
Jak zauważyła redakcja, tworzyło to obszar do nadużyć. Chcący wyłudzić dane lub pieniądze oszust mógłby wysyłać do ludzi pisma z instrukcjami, a w celu potwierdzenia swojej wiarygodności proponować wejście na rządową stronę i sprawdzenie autentyczności komunikatu.
Choć błąd w rządowym systemie został wykryty i zgłoszony CERT pod koniec kwietnia, dopiero w połowie maja firma dbająca o bezpieczeństwo w sieci wprowadziła poprawki i pozbyła się usterki.
Błąd w systemie PFR
To niejedyny ostatnio błąd w rządowych platformach internetowych. Dziś rano „Gazeta Wyborcza” informowała o usterce w systemie Polskiego Funduszu Rozwoju, który uniemożliwiał polskim firmom otrzymanie pieniędzy z tarczy antykryzysowej. Przedsiębiorcy, którzy spełniali kryteria otrzymania pomocy finansowej, byli odprawiani z kwitkiem.– Okazuje się, że gdy przedsiębiorca który wcześniej był płatnikiem VAT, ale obecnie już nim nie jest, bo na przykład zmienił branżę, jest dla systemu jedną wielką niewiadomą. Nie rozumie tego, że ktoś mógł być podatnikiem VAT, ale przestał nim być i dlatego wniosek o subwencję automatycznie odrzuca – tłumaczył gazecie prawnik Oskar Możdżyń.
Według PFR usterka została już naprawiona.