Nagyon vigyázzon az adataira: több kormányzati oldal sem biztonságos a böngészők szerint

Lopásveszélyre figyelmeztet az Ügyfélkapu felületén a Google Chrome, a kormány saját honlapján pedig semmilyen titkosítás nincs. A probléma az elavult tanúsítványokkal van ,aki itt kattintgat, könnyű prédát jelenthet az adathalászok számára is.

A Chrome böngésző elkezdte letiltani az állami Ügyfélkaput, és helyette egy lopásveszélyre figyelmeztető feliratot tölt be.

Most még csak a Google böngészőjéből elérhetetlen az oldal, de hamarosan a többi böngészőből is az lesz, ha a kezelői nem javítanak egy hibát, amelyről már jó ideje tudni lehet, hogy probléma lehet belőle - írja az Index.

A portál szerint a böngésző azért riaszt, mert az állami Ügyfélkapu üzemeltetője nem cserélte le az oldal tanúsítványát, amely igazolja, hogy az oldal biztonságosan működik. Pedig már legalább egy éve tudni lehet, hogy az összes nagyobb böngésző le fogja tiltani azokat az oldalakat, amelyek ilyen tanúsítványt használnak, mert annak a kiadóját megbízhatatlannak ítélték.

Most tehát ott tartunk, hogy azok az oldalak, amelyek még mindig a megbízhatatlannak ítélt tanúsítványokat használják, könnyen kicsúszhatnak az időből, sőt Chrome alatt már most is sok felhasználónak állhatja útját az elrettentő figyelmeztetés, miszerint “Az Ön kapcsolata nem privát. A támadók megpróbálhatják ellopni a(z) [...] webhelyen lévő adatait (például jelszavait, üzeneteit és hitelkártyaadatait).”

A Mozilla adott némi haladékot az elaludt adminisztrátoroknak is, így Firefoxban az Ügyfélkapu egy ideig még biztonságosként jelenik meg. Ugyanez a helyzet a kormányzati elektronikus szolgáltatások, így az Ügyfélkapu üzemeltetéséért is felelős Nemzeti Infokommunikációs Szolgáltató (NISZ), illetve a kormányzati IT-infrastruktúra kibervédelmét ( még) ellátó Kormányzati Eseménykezelő Központ (GovCERT) honlapjával is. Sőt a NISZ által nyújtott kormányzati hitelesítési szolgáltatás honlapja sincs hitelesítve:

A portálnak nyilatkozó szakértő szerint az elavult tanúsítványok később még okozhatnak problémákat.

Azt nem mondanám, hogy ma kiemelt veszélyt jelent, hogy nem cserélték le a tanúsítványokat, abból viszont már komoly bajok lehetnek, ha ez egy év múlva is így marad - vélekedett Kocsis Tamás, a Secure Networx nevű IT-biztonsági cég vezetője, de hozzátette, valószínűbbnek tartja, hogy az illetékesek még időben kezelni fogják a helyzetet az Ügyfélkapu esetében.

További probléma szerinte, hogy ha az emberek hozzászoknak, hogy elvileg biztonságos oldalakon folyton veszélyre panaszkodik a böngészőjük, ezek a figyelmeztetések inflálódnak, és a valódi adathalász támadásokra is kevésbé fognak felfigyelni a felhasználók. “Mindenképpen kockázatos játék ezzel sokáig várni” – mondta.

NISZ: az Ügyfélkapu biztonságos, megvan az új tanúsítvány is

A témával kapcsolatban lapunk is megkereste az oldalakat fenntartó Nemzeti Infokommunikációs Zrt.-t (NISZ) szerettük volna megtudni, hogy mikor frissítették utoljára a kérdéses tanúsítványokat, mi a késlekedés oka, és mikor szándékoznak kezelni a helyzetet.

Az üzemeltető vállalat szerint az Ügyfélkapu működése jelenleg biztonságos. „A böngésző alkalmazások egy része (Chrome) minősíti nem megfelelőnek az eddig használt „https” protokollt, ami nem jelenti azt, hogy az azon keresztül folytatott adatcsere ne lenne biztonságos, erre a NISZ kiemelt figyelmet fordít” -írták válaszlevelükben.

Hozzátették, az új tanúsítvány beszerzése már korábban megtörtént, annak telepítése az állami érdekeltségű rendszerekben folyamatosan zajlik. Az Ügyfélkapu tanúsítvány cseréjére tervezetten 2018. november 24-25-i hétvégén kerül sor, a teljes átállás – a jelenleg még „http”-t használó kormányzati honlapok tekintetében is – 2018. év végéig lezajlik. Ennek megfelelően valamennyi honlap tekintetében a legbiztonságosabb tanúsítvánnyal ellátott protokoll lesz használva az államigazgatásban.