Καταγγελία για σοβαρό πρόβλημα ασφαλείας με διαρροή προσωπικών δεδομένων στο gov.gr

Για σοβαρό πρόβλημα ασφαλείας στην πολυδιαφημισμένη πλατφόρμα του gov.gr κάνουν λόγο στην ανακοίνωσή τους τα μέλη της Ένωσης Πληροφορικών Ελλάδας (ΕΠΕ), σημειώνοντας πως αυτό έχει ως αποτέλεσμα να κινδυνεύουν τα προσωπικά δεδομένων πολιτών, και μάλιστα με εύκολο τρόπο. Αξίζει να σημειωθεί πως οι πληροφορικάριοι σημειώνουν πως για το πρόβλημα που εντόπισαν έχουν ενημερώσει το αρμόδιο υπουργείο Ψηφιακής Διακυβέρνησης, καθώς την Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης και την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εδώ και τρεις ημέρες, δίχως να έχουν λάβει απάντηση, εξου και προχωρούν στην δημοσιοποίηση.

Συγκεκριμένα, όπως εξηγούν, «παρατηρήσαμε πως μπορεί κανείς να βρει με απλή αναζήτηση στο Google υπερσύνδεσμο (URL) που εμφανίζει την υπεύθυνη δήλωση πολίτη, άσχετου με αυτόν που κάνει την αναζήτηση, ο οποίος έχει δημιουργήσει την δήλωσή του μέσω της πλατφόρμας: https://dilosi.services.gov.gr/create/q/templates. Πρακτικά, αν οποιοσδήποτε βρει από κάποια πηγή ή εντελώς τυχαία τον κωδικό hash key που χρησιμοποιείται για την επικύρωση (validation) τέτοιων εγγράφων εδώ: https://dilosi.services.gov.gr/show/q/validate, αποκτά αυτόματα στην κατοχή του ένα PDF έγγραφο με όλα τα στοιχεία του υπογράφοντος την υπεύθυνη δήλωση. Και όλα αυτά είναι διαθέσιμα με ένα απλό URL, χωρίς κανένα έλεγχο πρόσβασης ή αυθεντικοποίηση (login) του χρήστη. Μπορεί μάλιστα να κατεβάσει το έγγραφο τοπικά με την ψηφιακή υπογραφή του Υπουργείου, δηλαδή έτοιμο προς οποιαδήποτε νόμιμη χρήση».

Μάλιστα, στην ανακοίνωση επισυνάπτουν και σχετικά screenshot, όπου έχουν αποκρυφτεί τα ευαίσθητα στοιχεία, «έχουμε όμως το URL στη διάθεση οποιουδήποτε για επαλήθευση, καθώς και σχετικές αναφορές παρόμοιων περιστατικών από συναδέλφους μας».

«Καταλαβαίνετε φυσικά πως πρόκειται για σοβαρή καταστρατήγηση του πλαισίου της προστασίας των προσωπικών δεδομένων βάσει του GDPR, καθώς και της κείμενης νομοθεσίας σχετικά με την Πολιτική Ασφάλειας που υποχρεωτικά πρέπει να εφαρμόζει κάθε παρόμοια υπηρεσία στο διαδίκτυο. Η προστασία και μόνο με ένα hash key, χωρίς έλεγχο πρόσβασης, χωρίς αυθεντικοποίηση (login) του χρήστη και χωρίς διαδικασία ρητής άδειας μεταβίβασης μεταξύ κατόχου-παραλήπτη, βρίσκεται σαφέστατα εκτός των ελάχιστων υποχρεωτικών προδιαγραφών, όπως ορίζονται σαφέστατα από τη σχετική νομοθεσία» σημειώνουν, ενώ παρακάτω εξηγούν πόσο εύκολο θεωρείται να αντιμετωπιστεί άμεσα το πρόβλημα.

«Το παραπάνω σοβαρότατο κενό ασφάλειας είναι κάτι που από τεχνικής πλευράς θα μπορούσε να διορθωθεί εύκολα και κυρίως πολύ γρήγορα. Εντελώς ενδεικτικά, θα μπορούσε η επικύρωση να γίνεται μόνο μέσα σε session με απαίτηση login από συγκεκριμένο εξουσιοδοτημένο πρόσωπο, το οποίο θα ήταν και ο μόνος που θα είχε το hash key. Θα μπορούσε επίσης να απαιτείται κάποιο επιπλέον συνθηματικό (γενικότερα security token) που θα γνώριζε μόνο ο πολίτης που έχει δημιουργήσει το έγγραφο» αναφέρεται στην ανακοίνωση, ενώ προσθέτουν ακόμα πιο συγκεκριμένες λύσεις.

«Ακόμα σωστότερο και αποτελεσματικό θα ήταν στην πλατφόρμα να υπάρχει οργανωμένο προσωπικό αρχείο με ψηφιακά έγγραφα το πολίτη στα οποία θα μπορεί να δίνει επιλεκτικά πρόσβαση σε συγκεκριμένα τρίτα πρόσωπα ή φορείς μετά από σχετική (αυτόματη) αίτησή τους στην πλατφόρμα, έτσι ώστε να διατηρείται η αρχή της διμερούς και μόνο ανταλλαγής εγγράφων, όπως άλλωστε γίνεται και με αντίστοιχα φυσικά έγγραφα που βεβαίως δεν αναρτώνται πουθενά δημόσια για χρήση από οποιονδήποτε το επιθυμεί ή απλά γνωρίζει την ύπαρξή τους» προσθέτει η ΕΠΕ.

Σε κάθε περίπτωση, όπως αναφέρουν, είναι πολύ κρίσιμο να επιλυθεί άμεσα το ζήτημα, δηλώνοντας για μία ακόμα φορά στη διάθεση των αρμόδιων αρχών, και υπογραμμίζοντας πως προχώρησαν στην εν λόγω δημοσιοποίηση με καθυστέρηση 72 ωρών από την αποστολή της επιστολής τους, όπως προτάσσει ο Κώδικας Δεοντολογίας των Πληροφορικών (https://tinyurl.com/cf4rzvxb) σχετικά με το Δημόσιο Συμφέρον και την Υποχρέωση Γνωστοποίησης

«Τα κενά ασφαλείας στο gov.gr μαρτυρούν κυβερνητική προχειρότητα και προκαλούν ανασφάλεια στους πολίτες», σχολιάζει σε δήλωσή του ο τομεάρχης Ψηφιακής Πολιτικής του ΣΥΡΙΖΑ-ΠΣ, Μάριο Κάτσης.

«Το υπουργείο οφείλει να κλείσει τώρα την υπηρεσία επικύρωσης στα έγγραφα του gov.gr μέχρι να διορθώσει το σύστημα με ασφαλιστικές δικλείδες, ώστε πλέον να γίνεται μόνο με απαίτηση login από συγκεκριμένο εξουσιοδοτημένο πρόσωπο, το οποίο θα ήταν και ο μόνος που θα είχε τους κωδικούς (hash key), καθώς και με τη δημιουργία οργανωμένου προσωπικού αρχείου με ψηφιακά έγγραφα του πολίτη στα οποία θα μπορεί να δίνει επιλεκτικά πρόσβαση σε συγκεκριμένα τρίτα πρόσωπα ή φορείς μετά από σχετική (αυτόματη) αίτησή τους στην πλατφόρμα» συμπληρώνει ο βουλευτής της αξιωματικής αντιπολίτευσης.