«Τρύπα» ασφαλείας στο gov.gr -Στον αέρα τα προσωπικά στοιχεία

«Τρύπα» ασφαλείας στο gov.gr -Στον αέρα τα προσωπικά στοιχεία

Κοινοποιήστε το άρθρο

Share on facebook
Facebook
Share on twitter
Twitter

Επιστολή προς κυβερνητικούς φορείς έστειλε το ΔΣ της Ένωσης Πληροφορικών Ελλάδας (ΕΠΕ), προκειμένου να κάνει ενημέρωση για το site gov.gr.

Συγκεκριμένα, τόνισαν ότι το κυβερνητικό αυτό site, έχει πάρα πολύ προβλήματα ασφαλείας, κάτι που αφήνει

στον… αέρα τα προσωπικά στοιχεία, όσων κάνουν υπεύθυνες δηλώσεις.

Αναλυτικά:

«Αξιότιμοι Κύριοι,

Θα θέλαμε να θέσουμε υπ’ όψιν σας το παρακάτω σημαντικό πρόβλημα ασφάλειας κατά την επικύρωση εγγράφου που έχει παραχθεί από τις υπηρεσίες του gov.gr (https://is.gd/oDWlC9).

Συγκεκριμένα, παρατηρήσαμε πως μπορεί κανείς να βρει με απλή αναζήτηση στο Google υπερσύνδεσμο (URL) που εμφανίζει την υπεύθυνη δήλωση πολίτη, άσχετου με αυτόν που κάνει την αναζήτηση, ο οποίος έχει δημιουργήσει την δήλωσή του μέσω της πλατφόρμας: https://dilosi.services.gov.gr/create/q/templates. Πρακτικά, αν οποιοσδήποτε βρει από κάποια πηγή ή εντελώς τυχαία τον κωδικό hash key που χρησιμοποιείται για την επικύρωση (validation) τέτοιων εγγράφων εδώ: https://dilosi.services.gov.gr/show/q/validate, αποκτά αυτόματα στην κατοχή του ένα PDF έγγραφο με όλα τα στοιχεία του υπογράφοντος την υπεύθυνη δήλωση. Και όλα αυτά είναι διαθέσιμα με ένα απλό URL, χωρίς κανένα έλεγχο πρόσβασης ή αυθεντικοποίηση (login) του χρήστη. Μπορεί μάλιστα να κατεβάσει το έγγραφο τοπικά με την ψηφιακή υπογραφή του Υπουργείου, δηλαδή έτοιμο προς οποιαδήποτε νόμιμη χρήση.

Για του λόγου το αληθές επισυνάπτουμε screenshot (Παράρτημα Α). Έχουν αποκρυφτεί τα ευαίσθητα στοιχεία, έχουμε όμως το URL στη διάθεση οποιουδήποτε για επαλήθευση, καθώς και σχετικές αναφορές παρόμοιων περιστατικών από συναδέλφους μας.

Καταλαβαίνετε φυσικά πως πρόκειται για σοβαρή καταστρατήγηση του πλαισίου της προστασίας των προσωπικών δεδομένων βάσει του GDPR, καθώς και της κείμενης νομοθεσίας σχετικά με την Πολιτική Ασφάλειας που υποχρεωτικά πρέπει να εφαρμόζει κάθε παρόμοια υπηρεσία στο διαδίκτυο. Η προστασία και μόνο με ένα hash key, χωρίς έλεγχο πρόσβασης, χωρίς αυθεντικοποίηση (login) του χρήστη και χωρίς διαδικασία ρητής άδειας μεταβίβασης μεταξύ κατόχου-παραλήπτη, βρίσκεται σαφέστατα εκτός των ελάχιστων υποχρεωτικών προδιαγραφών, όπως ορίζονται σαφέστατα από τη σχετική νομοθεσία.

Το παραπάνω σοβαρότατο κενό ασφάλειας είναι κάτι που από τεχνικής πλευράς θα μπορούσε να διορθωθεί εύκολα και κυρίως πολύ γρήγορα. Εντελώς ενδεικτικά, θα μπορούσε η επικύρωση να γίνεται μόνο μέσα σε session με απαίτηση login από συγκεκριμένο εξουσιοδοτημένο πρόσωπο, το οποίο θα ήταν και ο μόνος που θα είχε το hash key. Θα μπορούσε επίσης να απαιτείται κάποιο επιπλέον συνθηματικό (γενικότερα security token) που θα γνώριζε μόνο ο πολίτης που έχει δημιουργήσει το έγγραφο.

Ακόμα σωστότερο και αποτελεσματικό θα ήταν στην πλατφόρμα να υπάρχει οργανωμένο προσωπικό αρχείο με ψηφιακά έγγραφα το πολίτη στα οποία θα μπορεί να δίνει επιλεκτικά πρόσβαση σε συγκεκριμένα τρίτα πρόσωπα ή φορείς μετά από σχετική (αυτόματη) αίτησή τους στην πλατφόρμα, έτσι ώστε να διατηρείται η αρχή της διμερούς και μόνο ανταλλαγής εγγράφων, όπως άλλωστε γίνεται και με αντίστοιχα φυσικά έγγραφα που βεβαίως δεν αναρτώνται πουθενά δημόσια για χρήση από οποιονδήποτε το επιθυμεί ή απλά γνωρίζει την ύπαρξή τους.

Σε κάθε περίπτωση, το ζήτημα είναι πολύ κρίσιμο και πρέπει να επιλυθεί άμεσα. Η Ένωσή μας παραμένει στη διάθεσή σας για οποιαδήποτε επιστημονική βοήθεια ή άλλου είδους συνδρομή.

Τέλος, οφείλουμε να ενημερώσουμε πως βάσει του πλαισίου GDPR (άρθρο 33), καθώς και του Κώδικα Δεοντολογίας των Πληροφορικών (https://tinyurl.com/cf4rzvxb) σχετικά με το Δημόσιο Συμφέρον και την Υποχρέωση Γνωστοποίησης, είμαστε υποχρεωμένοι να δημοσιοποιήσουμε το εν λόγω κενό ασφαλείας σε 72 ώρες από τη στιγμή αποστολής της παρούσας επιστολής προς εσάς».

Το θέμα αναδεικνύει σήμερα και η ΕΦΣΥΝ στο πρωτοσέλιδό της:

Δείτε Επίσης

Πανεπιστήμια: Ξεκινούν οι εγγραφές των φοιτητών – Αναλυτικά η διαδικασία
ΕΠΙΚΑΙΡΟΤΗΤΑ

Πανεπιστήμια: Ξεκινούν οι εγγραφές των φοιτητών – Αναλυτικά η διαδικασία

Ξεκινούν οι εγγραφές των πρωτοετών φοιτητών στα Πανεπιστήμια της χώρας. Σύμφωνα με το υπουργείο Παιδείας,  η εγγραφή των επιτυχόντων των Πανελλαδικών Εξετάσεων έτους 2021 στις Σχολές και τα Τμήματα της Τριτοβάθμιας Εκπαίδευσης, θα

Διαβάστε περισσότερα »
ΕΠΙΚΑΙΡΟΤΗΤΑ

Κεντρικός Ομιλητής στην εκδήλωση του Ι.ΝΕ.ΔΙ.ΒΙ.Μ. με θέμα τις “Νεανικές Δεξιότητες” Ο Δρ. Κωνσταντίνος Στεργίου στο πλαίσιο της 85ης ΔΕΘ. 

Στο πλαίσιο της 85ης Διεθνούς Έκθεσης Θεσσαλονίκης (ΔΕΘ), το Ίδρυμα Νεολαίας και Δια Βίου Μάθησης (ΙΝΕΔΙΒΙΜ), ως Εθνική Μονάδα Συντονισμού των προγραμμάτων Erasmus+ για τους τομείς Νεολαία και Αθλητισμός, Ευρωπαϊκό

Διαβάστε περισσότερα »
Tέλος το Taxisnet - Έρχεται το myAADE
ΕΠΙΚΑΙΡΟΤΗΤΑ

Tέλος το Taxisnet – Έρχεται το myAADE

Oριστικό τέλος στο taxisnet βάζει η ΑΑΔΕ με τη λειτουργία της νέας πλατφόρμας, myAADE (myaade.gov.gr). Η νέα πλατφόρμα περιλαμβάνει όλες τις υπηρεσίες που έβρισκαν έως τώρα οι φορολογούμενοι στο taxisnet αλλά προστίθενται

Διαβάστε περισσότερα »
ΕΠΙΚΑΙΡΟΤΗΤΑ

Microsoft: Τέλος στους κωδικούς πρόσβασης των Windows

ΗMicrosoft έκανε γνωστό ότι πλέον όλοι οι χρήστες των Windows και άλλων προϊόντων της μπορούν να καταργήσουν όλους τους κωδικούς πρόσβασης (passwords) από τους λογαριασμούς τους Microsoft και, στη θέση τους, να

Διαβάστε περισσότερα »
Νεκρή αρκούδα από πυροβολισμό στην Πρέσπα
ΕΠΙΚΑΙΡΟΤΗΤΑ

Νεκρή αρκούδα από πυροβολισμό στην Πρέσπα

Την Παρασκευή 10 Σεπτεμβρίου εντοπίστηκε κοντά στο Βροντερό Πρεσπών, και συγκεκριμένα στην περιοχή «Πυξός», νεκρή από πυροβόλο όπλο θηλυκή αρκούδα ηλικίας περίπου έξι ετών. Για το περιστατικό ενημερώθηκε αρχικά ο

Διαβάστε περισσότερα »
Το νέο ΕΣΠΑ 2021-2027 για τη Δίκαιη Αναπτυξιακή Μετάβαση στη μεταλιγνιτική περίοδο
ΕΠΙΚΑΙΡΟΤΗΤΑ

Το νέο ΕΣΠΑ 2021-2027 για τη Δίκαιη Αναπτυξιακή Μετάβαση στη μεταλιγνιτική περίοδο

Πραγματοποιήθηκε την Τρίτη 14/09/2021 στη Θεσσαλονίκη, η εκδήλωση με θέμα «Στο δρόμο για μία δίκαιη αναπτυξιακή μετάβαση: Προκλήσεις και προοπτικές». Η εκδήλωση, που διοργανώθηκε από τη Γενική Γραμματεία Δημοσίων Επενδύσεων και  ΕΣΠΑ

Διαβάστε περισσότερα »
Nikou asfaleies Ptolemaida

Στείλτε τη δική σας είδηση, σχόλιο, καταγγελία στο eordaialive.com Τηλεφωνικά στο 2463504856 – 6981893715, στο FaceBook , μέσω email στο info@eordaialive.com

Δείτε το νέο spot της ΔΙΑΔΥΜΑ
Pink Woman Ptolemaida
iordanidis ptolemaida
Xatzipavlidis Sinergio Ptolemaida