Ακολουθήστε μας στο VIBER για να λαμβάνετε σε πραγματικό χρόνο τις αναρτήσεις μας.

https://invite.viber.com/?g2=AQAhvsW7isOUdlCEkVCqv7YorRka1dt%2FMmmYsdlj%2BHNRIl0RiuqqmD4CiLD5s2SY

Όποτε θέλετε μπορείτε να αποχωρίσετε (αν και δεν το θέλουμε).

Μ. Κάτσης: Τα κενά ασφαλείας στο gov.gr μαρτυρούν κυβερνητική προχειρότητα

Μ.Κάτσης: Τα κενά ασφαλείας στο gov.gr μαρτυρούν κυβερνητική προχειρότητα και προκαλούν ανασφάλεια στους πολίτες

Νέα υπόθεση με σοβαρό κενό ασφαλείας στο gov.gr που θέτει σε κίνδυνο τους πολίτες που το χρησιμοποιούν εντόπισε η Ένωση Πληροφορικών Ελλάδας (ΕΠΕ). Συγκεκριμένα, οποιοσδήποτε μπορεί να βρει με απλή αναζήτηση στο Google, υπερσύνδεσμο (URL) που εμφανίζει την υπεύθυνη δήλωση πολίτη που έχει εκδοθεί μέσω της πλατφόρμας, με όλα τα στοιχεία του, αρκεί να έχει βρει από κάποια πηγή ή εντελώς τυχαία τον κωδικό (hash key) που χρησιμοποιείται για την επικύρωση (validation) τέτοιων εγγράφων.

Τέσσερις ημέρες έπειτα από την γνωστοποίηση του κενού ασφαλείας στις αρμόδιες Αρχές, αυτό εξακολουθεί να υφίσταται. Είναι άγνωστο αν η σχετική αναφορά της ΕΠΕ προς το Υπουργείο Ψηφιακής Διακυβέρνησης και τις ανεξάρτητες Αρχές Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και Διασφάλισης Απορρήτου Επικοινωνιών, ελήφθη υπόψη και αν γίνονται ενέργειες για την κάλυψη αυτού του κενού ασφαλείας που θέτει σε κίνδυνο τα προσωπικά δεδομένα των πολιτών.

Για μια ακόμα φορά, το Υπουργείο Ψηφιακής Διακυβέρνησης είναι εκτεθειμένο, καθώς στην προσπάθειά του να παρουσιάσει έργο, νομοθετεί και ενεργεί με προχειρότητα που αφήνει έκθετους τους πολίτες στις ορέξεις κάθε κακόβουλου. Το ίδιο είχε συμβεί όταν το gov.gr εξέδιδε έγγραφα με ταυτοποίηση μόνο μέσω κωδικών taxisnet χωρίς δεύτερο παράγοντα ταυτοποίησης. Τότε επισημάναμε το κενό και το Υπουργείο μας άκουσε υιοθετώντας τη λύση που προτείναμε. Σήμερα γιατί αδρανεί;

Το Υπουργείο οφείλει άμεσα να κάνει έστω και τώρα αυτό που έπρεπε να είχε κάνει από την πρώτη στιγμή που έλαβε γνώση. Να κλείσει τώρα την υπηρεσία επικύρωσης στα έγγραφα του gov.gr μέχρι να διορθώσει το σύστημα με  ασφαλιστικές δικλείδες,  ώστε πλέον να γίνεται μόνο με απαίτηση login από συγκεκριμένο εξουσιοδοτημένο πρόσωπο, το οποίο θα ήταν και ο μόνος που θα είχε τους κωδικούς (hash key), καθώς και με τη δημιουργία οργανωμένου προσωπικού αρχείου με ψηφιακά έγγραφα του πολίτη στα οποία θα μπορεί να δίνει επιλεκτικά πρόσβαση σε συγκεκριμένα τρίτα πρόσωπα ή φορείς μετά από σχετική (αυτόματη) αίτησή τους στην πλατφόρμα.