Nem ez az első: Eltűnt az orosz mérőkód az Ügyfélkapu+-hoz ajánlott oldalról
Az Ügyfélkapu+-oshoz hasonló orosz mérőkódos huzavona játszódott le 2017-ben is. Akkor a kormányzat a nemzeti konzultáció netes kitöltőinek adatait küldte tovább egy, az orosz titkosszolgálattal együttműködő cégnek. A lebukás után aztán eltűnt a mérőkód, épp úgy, mint most az Ügyfélkapu+-hoz ajánlott oldalnál.
Leszedték a TOTP.APP-ról az orosz mérőkódot, az oldalt pedig nyolcmillió forintnyi kriptovalutáért árulják. Minderre azután került sor, hogy a Telex megírta: az Ügyfélkapu+-hoz ajánlott kódgeneráló üzemeltetője ismeretlen és az adatkezelésről sem tudni semmit, ráadásul orosz mérőkód fut a weboldalon.
A Klubrádiónak nyilatkozó Kiberbiztonsági szakértő egyik olyan weboldalt sem ajánlja, amelyet az Ügyfélkapu+ oldalán javasolnak a hitelesítéshez, helyette az emeiles azonosítást javasolja. Krasznai Csaba szerint más jelek is arra utalnak, hogy a kifogásolt oldal orosz fejlesztésű szolgáltatás. A legjobb megoldásnak azt látná a Nemzeti Közszolgálati Egyetem docense, ha az állam kifejlesztene egy saját, ilyen jellegű szolgáltatást.
Miért ajánlották egyáltalán a weboldalt?
A legalapvetőbb eset, hogy az Ügyfélkapu+-hoz szükséges kétfaktoros azonosítást a modern világban általában az okostelefonunkra telepített valamilyen megbízható, jól ismert gyártó (Google, Microsoft stb.) által kiadott applikációval végezzük. Ebben a kontextusban különösen fontos a jól ismert gyártó és ezáltal a megoldás háttere, a szolgáltatást biztosító cég kiléte. Ez több garanciát is ad a felhasználóknak arra, hogy az app vagy egyéb megoldás, amit használnak, jó kezekben van, az adataikkal együtt. Ezeket az appokat, eszközöket a gyártók folyamatosan frissítik, a gyártók adatvédelmi szabályzatokkal, nemzetközi minősítésekkel (pl. ISO) és compliance folyamatokkal rendelkeznek. Ezen felül a márka ismertsége is a felhasználói bizalmat növeli, erősíti azt a vetületet, hogy amit használnak, az nemcsak megbízható, hanem tartós is.
Az ilyen appok és eszközök folyamatos karbantartása a gyártóknak is érdekük, mert egyrészt szeretnék magukról azt mutatni, hogy a szolgáltatásaik rendkívül biztonságosak, szeretnék elkerülni az esetleges jogi következményeket, nem utolsósorban pedig a csalódott, a cég hírnevét esetleg romboló ügyfelek számát is csökkenteni szeretnék, akiknek a fiókját feltörték.
Miért kell ez a weboldal?
Egész egyszerűen azért, mert a kétfaktoros hitelesítést az Ügyfélkapu+ miatt minden állampolgár számára elérhetővé kell tenni, azoknak is, akiknek nincs okostelefonja. Ezt a célt szolgálná a TOTP.APP weboldal. Más cikkek már tárgyalták az informatikai problémáit a weboldalnak, amelyek már önmagukban is elég súlyosak, azonban egy átlagos felhasználó ezekkel nem szembesül.
Amivel viszont igen, az a bizalmi érzés, a megszokott biztonsági garanciák teljes hiánya. Az oldalon egyik ismert gyártó logója, neve sem szerepel, nincsen rajta semmilyen jel, ami Magyarországra vagy az Ügyfélkapura utal. Nincs impresszum, vagy adatvédelmi nyilatkozat, amiből kiderülne, kinek a szolgáltatásáról van szó. Hétköznapi ember szemével nézve ez egy teljesen ismeretlen oldal, amiről fogalmam sincs, hogy megbízható-e vagy sem, vagy hogy egyáltalán itt lesz-e még holnap.
Magyarul minden biztonsági garancia vagy jelzés hiányzik, ami elengedhetetlen egy olyan esetben, ami a teljes digitális személyazonossághoz kapcsolódik Kifejezetten problémás, hogy az állam fejlesztésről, megnövelt biztonságról beszél, majd feltérít egy olyan oldalra, amiről azt sem tudni, hogy ki és milyen elvek mentén üzemelteti.
De akkor miért nem választott az állam valami ismertebb megoldást?
A legtöbb ismert szolgáltató az okostelefont preferálja, ezért ilyen egyébként kevésbé biztonságos megoldása nincsen. Ahol mégis van ilyen, ott az is fontos szempont, hogy ez ingyenes legyen. Az ingyenessel viszont van egy bökkenő: az, hogy nincs hozzá támogatás. Legalábbis országos méretben biztos nincs, itt viszont erről van szó. Márpedig legalább fejlesztői támogatás nélkül vakrepülésben mennek a polgárok is, de főleg a fejlesztők – az meg egy országos szintű szolgáltatásnál nem nagyon fér bele. Arról nem is beszélve, hogy ha egy ország vezetése feltereli a polgárait egy nagy gyártó szolgáltatására, az milyen nemzetközi üzleti és politikai elköteleződésekkel jár egy adott cég felé. Ezt még hosszan lehetne boncolgatni, azonban mostanra a kérdés így is egyértelművé válik:
Miért nem csináltunk sajátot?
Ugyanis ez a legégetőbb kérdés ebben az egész ügyben. Egy ilyen szolgáltatás lekódolása és közzététele a lakosság számára marginális feladat lenne állami szinten. A digitális állampolgárság program mérhetetlen fejlesztési költségvetésében egy ilyen funkció fejlesztése elenyésző fejlesztői kapacitást és költségvetést igényelt volna.
A feladat ráadásul nem nehéz, az algoritmus, ami a lelke az egésznek, szabványos (RFC) és jól dokumentált. A probléma olyannyira nem új, hogy számtalan szabadon elérhető (nyílt forráskódú) implementáció van, tehát kis túlzással a fejlesztőknek elég lett volna egyet átnézni, és egy Magyarország logós portálba beilleszteni. Így a kérdésre, hogy a világ összes pénzéből miért nem sikerült orosz kódoktól mentes, kívülről-belülről megbízható, vizuálisan bizalomgerjesztő megoldást alkotni, a válasz:
¯\(ツ)/¯
Nem ez az első eset
Először 2017-ben bukott le a kormány, hogy a Nemzeti Konzultációt online kitöltők adatait küldték tovább a Yandex nevű orosz cégnek egy mérőkód segítségével. Az ügyről először író 444 szerint már 2011-ben kiderült, hogy a Yandex adatokat oszt meg az orosz titkosszolgálattal, így jutott el FSZB-hez az azóta elhunyt orosz ellenzéki Alekszej Navalnij támogatóinak listája. A kormány a konzultációs oldalon tagadta, hogy a közölt személyes adatokat az adatkezelő nyilvánosságra nem hozza, külföldre és harmadik félnek nem továbbítja.
Akkor a kormányzat azzal védekezett, hogy "A honlapon szereplő analitikai eszközök a honlap hatékonyságát szolgálják. Hasonló megoldásokat a konzultációt folyamatosan támadó 444.hu is használ". A 444 aztán megjegyezte, hogy az analitikai eszközök használata során ők nem küldik el felhasználók nevét, lakcímét, és kérdésekre adott válaszait orosz szerverekre.
A mostanihoz hasonlóan akkor az egyik pillanatról a másikra eltűntek a gyanús kódok. Azt a kormányzat úgy magyarázta, hogy "Tekintettel arra, hogy az egyik ilyen elemző eszköz rosszindulatú félremagyarázásokra adhat lehetőséget, a kormány arra kérte a fejlesztőket, hogy ezt a technikai funkciót kapcsolják ki".
