Ένα σοβαρό πρόβλημα ασφαλείας που βάζει σε κίνδυνο τα προσωπικά δεδομένων των πολιτών εντόπισε στην πλατφόρμα του gov.gr η Ένωση Πληροφορικών Ελλάδας, τονίζοντας μάλιστα πως παρότι έχει ενημερώσει εδώ και τρεις ημέρες το αρμόδιο υπουργείο Ψηφιακής Διακυβέρνησης, την Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης και την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, δεν έχει λάβει καμία απάντηση, σημειώνοντας με απογοήτευση πως «δεν φαίνεται να υπάρχει πρόβλεψη διόρθωσης στο κοντινό μέλλον».

Η επιστολή εστάλη στο Υπουργείο στις 18 Μαϊου και δημοσιεύτηκε, όπως προβλέπει ο νόμος, μετά από τουλάχιστον 72 ώρες. Η καταγγελία δημοσιεύτηκε στο ΤPP το Σάββατο και στο πρωτοσέλιο της «Εφημερίδας των Συνακτών» την Κυριακή. Το Υπουργείο έστειλε σχετική απάντηση στην «Εφημερίδα των Συντακτών», η οποία ενημέρωσε της ΕΠΕ. Με νεότερη ανακοίνωση, η ΕΠΕ σχολιάζει την απάντηση του Υπουργείου ως εξής:

  1. Από την απάντηση του υπουργείου προκύπτει πως επιβεβαιώνονται οι επισημάνσεις της ΕΠΕ ως προς το φύση και τη σοβαρότητα του προβλήματος ασφαλείας. Πράγματι, πέρα από τον κωδικό εγγράφου (hash key), δεν υφίσταται κανένας άλλος μηχανισμός προστασίας και ελέγχου της πρόσβασης στα ηλεκτρονικά έγγραφα που εκδίδονται από την πλατφόρμα gov.gr
  2. Τα νούμερα που αναφέρονται στην ανακοίνωση ως προς τις δυνατότητες επίθεσης (brute force attacks) είναι λάθος. Εφόσον πρόκειται για μόνιμα αναγνωριστικά εγγράφων, για ως και 10 εκατομμύρια πολίτες, καθένας από τους οποίους εκδίδει σε βάθος χρόνου τουλάχιστον 10 τέτοια έγγραφα στην πλατφόρμα, το σύνολο διερεύνησης είναι τουλάχιστον δύο τάξεις μεγέθους μικρότερο από το αναφερόμενο ως προς τον κωδικό ενός μόνο εγγράφου ενός συγκεκριμένου πολίτη, καθώς αρκεί μία και μόνο σωστή εύρεση hash key με οποιονδήποτε τρόπο (όχι απαραίτητα brute force attack) για να τεκμηριωθεί παραβίαση ασφάλειας στο σύστημα.
  3. Ο μηχανισμός που χρησιμοποιείται εμπίπτει στην κατηγορία HMAC, δηλαδή “κωδικός αυθεντικοποίησης μηνύματος” (Message Autentication Code – MAC) με χρήση κρυτπογραφικά ασφαλύς συνάρτησης “σύνοψης” (hash function) και ιδιωτικό κλειδί (keyed) του εκδότη. Ο μηχανισμός HMAC αποτελεί ένα είδος ψηφιακός υπογραφής με ιδιωτικό κλειδί, ο οποίος έχει σκοπό την πιστοποίηση γνησιότητας ενός ψηφιακού εγγράφου ή αρχείου, όχι την προστασία του περιεχομένου ή τον έλεγχο πρόσβασης. Ο μοναδικός τρόπος να χρησιμοποιηθεί ως τέτοιος είναι όταν: (α) έχει πολύ περιορισμένη χρονική ισχύ, δηλαδή χρησιμοποιείται ως OTAC (π.χ. κωδικός έγκρισης συναλλαγής σε e-banking), ή (β) όταν ο κάτοχος έχει τη δυνατότητα αλλαγής του συχνά και κατά βούληση (πρέπει να επιτρέπεται και να γνωρίζει το ιδιωτικό κλειδί). Στη συγκεκριμένη περίπτωση ο κωδικός εγγράφου είναι στατικός, δεν έχει χρονικό όριο ισχύος και ο κάτοχος του εγγράφου δεν έχει καμία δυνατότητα τροποποίησής του για λόγους ασφαλείας.
  4. Η σύγκριση με άλλες διαδικασίες και πρωτόκολλα ελέγχου πρόσβασης όπως π.χ. login/password (token proof) στο ηλεκτρονικό ταχυδρομείο είναι επίσης λάθος. Πρόκειται για εντελώς διαφορετικά πράγματα, διαφορετικής σχεδίασης και διαφορετικής λειτουργικότητας. Το αντίστοιχο στην πλατφόρμα gov.gr θα ήταν τόσο ο χρήστης όσο και ο παραλήπτης του εκάστοτε ψηφιακού εγγράφου να πρέπει να έχουν ήδη συνδεθεί (login) με την πλατφόρμα gov.gr προτού τους δοθεί η δυνατότητα πρόσβασης και ελέγχου του κωδικού εγγράφου μέσα από την αντίστοιχη φόρμα, όπως ακριβώς προτείνουμε ως μέτρο διόρθωσης του προβλήματος ασφάλειας.
  5. Με τη χρήση της μεθόδου http/https GET για την πρόσβαση στη φόρμα ελέγχου της πλατφόρμας gov.gr και την εμφάνιση του αποτελέσματος η σοβαρότητα του προβλήματος ασφάλειας πολλαπλασιάζεται, καθώς τα συγκεκριμένα URLs είναι ορατά και προσβάσιμα σε τουλάχιστον ένα ή περισσότερους ενδιάμεσους κόμβους (server logs, proxy, …). Αυτό σημαίνει ότι, ακόμα κι αν το HMAC που εφαρμόζεται είναι κρυπτογραφικά ασφαλές, το πρωτόκολλο διασύνδεσης με το χρήστη (web browser) συγκεντρώνει και εκθέτει αυτούς τους κωδικούς εγγράφων, πιστοποιημένα έγκυρους πλέον, σε κεντρικά σημεία του δικτύου, καθώς και στην εφαρμογή του χρήστη (history) αν δεν έχουν παρθεί τα απαραίτητα μέτρα ασφάλειας σε Η/Υ πολλών χρηστών, π.χ. δημόσιες υπηρεσίες.

Παράλληλα, η ΕΠΕ καταγγέλλει επίσης ότι «προς το νομικό πλαίσιο, η προστασία ευαίσθητων προσωπικών δεδομένων μέσω μηχανισμών HMAC και μόνο είναι σαφέστατα εκτός του νομοθετημένου πλαισίου ελάχιστων υποχρεώσεων των παρόχων υπηρεσιών όπως η πλατφόρμα gov.gr».

Μιλώντας στο ραδιόφωνο του ΜέΡΑ25, ο γραμματέας της ΕΠΕ, Χάρης Γεωργίου τόνισε ότι το βασικό πρόβλημα είναι ότι «ο κωδικός είναι ο μοναδικός μηχανισμός προστασίας των προσωπικών δεδομένων ενός εγγράφου και οτιδήποτε περιέχεται σε αυτό. Για παράδειγμα, ένα πιστοποιητικό εμβολιασμού περιέχει απόρρητα προσωπικά δεδομένα πολύ σημαντικά. Έτσι, ο οποιοσδήποτε, αν για κάποιο λόγο καταφέρει να έχει αυτόν τον κωδικό, μπορεί να έχει πρόσβαση σε αυτά τα ευαίσθητα προσωπικά στοιχεία, δεδομένου ότι δεν υπάρχει κανένας επιπλέον έλεγχος πρόσβασης. Αυτό ισχύει για όλα τα έγγραφα που είναι διαθέσιμα για τους πολίτες μέσα από την πλατφόρμα gov.gr.»

«Το υπουργείο Ψηφιακής Διακυβέρνησης επέλεξε να απαντήσει με δημόσια ανακοίνωση στον τύπο, χωρίς εμείς να έχουμε κάποια επίσημη ενημέρωση, στην οποία αναφέρεται στην ασφάλεια του κρυπτογραφημένου κωδικού, όμως δεν κάνει καμία νύξη για το γεγονός ότι αυτός ο κωδικός βρίσκεται τυπωμένος πάνω στο έγγραφο, είναι μόνιμος, δεν έχει ημερομηνία λήξης και δεν μπορεί να αλλαχθεί από το χρήστη. Το πρόβλημα είναι προφανές και ελπίζουμε το υπουργείο να επιληφθεί άμεσα της διόρθωσής του, αν και στην ανακοίνωσή του δεν διαφαίνεται κάτι τέτοιο, τουλάχιστον άμεσα»« τόνισε επίσης.