Taxis και Ασφάλεια

[Επισκέπτης]

Για να μην γράφω από την αρχή, παραθέτω την επιστολή που έχω στείλει σε διάφορους εμπλεκόμενους φορείς:
 

Αναφορά σε κείμενο

Η ολοένα και αυξανόμενη ψηφιοποίηση του Δημοσίου, δυστυχώς δείχνει να μην συνοδεύεται και από την ανάλογη προσοχή στο θέμα της ασφάλειας πληροφοριών. Αναφέρομαι κυρίως στο taxis, για το οποίο η αυθεντικοποίηση γίνεται με χρήση ονόματος χρήστη και κωδικού πρόσβασης (username και password), χωρίς όμως να υφίσταται έλεγχος πολυπλοκότητας του κωδικού, με αποτέλεσμα την ύπαρξη κωδικών τύπου «123456». Επιπλέον δεν έχει υλοποιηθεί αυθεντικοποίηση πολλών παραγόντων (MFA). Οι ελλείψεις αυτές προφανώς διευκολύνουν την μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα εκατομμυρίων πολιτών. Στις υπηρεσίες δε στις οποίες η MFA εφαρμόζεται, αυτό γίνεται μέσω SMS, μία προσέγγιση που δεν θεωρείται η πλέον ασφαλής.

Επιπλέον αυτού, το TAXIS χρησιμοποιείται και ως πάροχος αυθεντικοποίησης για λοιπές υπηρεσίες. Ενδεικτικά αναφέρω την εφαρμογή ιατρικών ραντεβού όπως επίσης και την εφαρμογή της επιστολικής ψήφου. Τυχόν παραβίαση του taxis, συνεπάγεται την πρόσβαση στα δεδομένα και των συγκεκριμένων εφαρμογών.

Ένα άλλο ζήτημα είναι η ελλιπής ενημέρωση των πολιτών για την διαφύλαξη των στοιχείων πρόσβασης στο taxis, με αποτέλεσμα αντί της εξουσιοδότησης προς τρίτους (π.χ. λογιστές) να δίνονται απευθείας τα στοιχεία του φορολογουμένου. Ακόμα πιο σημαντική πτυχή του ζητήματος αυτού, είναι ότι συχνά ζητούνται τα στοιχεία πρόσβασης από τρίτους, όπως υπαλλήλους βιβλιοπωλείων, για την πρόσβαση στις επιταγές βιβλίων του ΟΑΕΔ.

 

Επιπροσθέτως, μόλις σήμερα υπέπεσε στην αντίληψή μου ότι η ψηφιακή εξυπηρέτηση του 1555 (webchannel.1555.gov.gr) χειρίζεται τα στοιχεία των πολιτών (Όνομα/Επίθετο/ΑΦΜ/ΑΜΚΑ) ως παραμέτρους στο URL.

 

[Engimek]

Είναι σημαντικό ζήτημα το ότι δεν υπάρχει 2fa στο login του taxisnet. Και πιστεύω ότι είναι σχεδιαστικό το θέμα και όχι μη ικανότητας να το εφαρμόσουν, αφού ήδη ήδη υφίσταται 2fa όταν πραγματοποιείς κάποιες συγκεκριμένες ενέργειες στο gov.

Ίσως να υπήρχε και κάποια μέση λύση που να ικανοποιεί όλους. Δηλαδή όπως ήδη κάνουν πολλές υπηρεσίες, εφόσον συνδέεσαι από την ίδια συσκευή και το ίδιο ip να μη ζητείται επιβεβαίωση 2fa. Διαφορετικά στο πρώτο login να θέλει επιβεβαίωση με checkbox "remember my device". Και να μπορείς να κάνεις "forget all devices" φυσικά. Έτσι δεν θα "ταλαιπωρείται" πολύ ο κόσμος κάνοντας κατοχύρωση κάθε φορά που συνδέεται.

3 ώρες πριν, Orestis_G είπε

Επιπροσθέτως, μόλις σήμερα υπέπεσε στην αντίληψή μου ότι η ψηφιακή εξυπηρέτηση του 1555 (webchannel.1555.gov.gr) χειρίζεται τα στοιχεία των πολιτών (Όνομα/Επίθετο/ΑΦΜ/ΑΜΚΑ) ως παραμέτρους στο URL.

Καταρχάς αν όντως ισχύει αυτό, είναι παιδικό λάθος και "χτυπάει" πολύ άσχημα. Από μια άποψη θα πω ότι δεν είναι τόσο επικίνδυνο καθώς όπως γνωρίζουμε αν το site είναι https τότε τα στοιχεία αυτά δεν "διαβάζονται" πουθενά κατά τη μετάδοσή τους. Από την άλλη, τα url αποθηκεύονται στο ιστορικό του browser, οπότε θεωρητικά εαν κάποιος έχει πρόσβαση στον υπολογιστή σου θα μπορεί να τα δει.