Elektronický systém eObčanek, s pomocí něhož lze digitálně komunikovat se státem, má bezpečnostní trhliny. Přihlašování uživatele není dostatečně ochráněno, takže útočník může odcizit identitu, aniž by to občan mohl rozpoznat.
Na nebezpečí upozornili experti na kybernetickou bezpečnost ze společností Auxilium Cyber Security a WardenSec. Předpokladem krádeže identity je rozšíření jednoduchého počítačového viru, který tito odborníci představili na konferenci QuBIT Prague 2020.
„Systém přihlašování pomocí eObčanek je vystaven riziku potenciální virové kampaně, která bude cílit na hromadné krádeže identit osob využívajících eObčanky,“ sdělil deníku E15 Martin Pozděna, šéf firmy Auxilium Cyber Security. Ta o nedostatečném zabezpečení už dříve informovala jak Národní úřad pro kybernetickou a informační bezpečnost, tak ministerstvo vnitra, které portál provozuje.
Portál občana dnes umožňuje například elektronickou komunikaci s Českou správou sociálního zabezpečení, jejímž prostřednictvím může živnostník informovat i o svých příjmech a výdajích. Přes eObčanku lze také vyzvednout eRecept, dostat se do datové schránky, katastru nemovitostí a v budoucnu lze očekávat také rozšíření využití pro daňové přiznání či elektronické volby. Motivací spojených s krádeží identity je proto celá řada.
Národní úřad pro kybernetickou a informační bezpečnost nechce problém příliš komentovat, pouze doporučuje, aby se uživatelé přihlašovali z důvěryhodného zařízení a na důvěryhodném připojení k internetu. „Využívání sdílených počítačů nebo veřejných WiFi sítí k těmto účelům jednoznačně nedoporučujeme,“ varuje mluvčí úřadu Jiří Táborský.
Ministerstvo vnitra bylo sdílnější. „Tým realizující elektronickou identifikaci eObčankou reaguje na každý podnět uživatelů, a zejména pak na podněty týkající se bezpečnosti řešení. Popisovaný útok je už v tuto chvíli ošetřen tím, že se v prohlížeči zobrazuje jedinečný kód přihlášení, pomocí něhož lze zkontrolovat, že je přihlášení bezpečné,“ říká mluvčí rezortu Ondřej Krátoška, podle něhož tak bezpečnost řeší i bankovní systémy.
„Firma, která zjistila uvedenou zranitelnost, toto řešení sama uvedla jako možnou obranu proti uvedenému útoku. Další možná řešení v tuto chvíli analyzujeme a připravujeme jejich implementaci,“ doplnil Krátoška.
Popisovaná změna je však podle výzkumníků nedostatečná. „Navrhli jsme celkem pět řešení s tím, že nejlepší by bylo přijmout všechny. Vnitro provedlo jen jedinou úpravu, a navíc nedostatečně,“ reaguje na vyjádření ministerstva Pozděna.
Jedinečný kód přihlášení, který může být virem napaden a změněn, se sice nyní zobrazuje, ale aby nová ochrana fungovala, uživatel musí kód porovnat mezi dvěma přihlašovacími okny, upozorňuje Pozděna. „Jakékoli doporučení, že by uživatel měl kontrolu provádět, přitom na stránkách chybí. Běžného člověka proto ani nenapadne, že by takový krok měl udělat,“ dodal Pozděna s tím, že vyšší bezpečnost by mohlo zajistit například přidání druhého přihlašovacího faktoru, třeba povinné zadání SMS kódu.
S kritikou systému souhlasí expert na kybernetickou bezpečnost Martin Leskovjan ze společnosti Citadelo. Takto významný portál plný citlivých dat by podle něho měl mít mnohem vyšší stupeň ochrany. „Podoba zranitelnosti přitom poukazuje na celkově nevhodný přístup k architektuře řešení přihlašování uživatele. Zobrazení jedinečného kódu přihlášení je sice správným krokem, nicméně systém by potřeboval i zmíněné dvoufaktorové ověření či například automatickou detekci podezřelých aktivit,“ míní Leskovjan s tím, že dosavadní opravy jsou stále nedostatečné.
