Po majowych przerwach w dostępie do platformy, tym razem chodzi o dodatkowe zabezpieczenie dostępu do konta. Jak się okazuje obejście dwuskładnikowego uwierzytelnienia podczas logowania jest banalnie proste i nadal pozostaje problemem nierozwiązanym przez Centralny Ośrodek Informatyki.
ePUAP służy do komunikacji obywateli z jednostkami administracji publicznej w ujednolicony, standardowy sposób. Ale jak się okazuje, systemem ma wątpliwe rozwiązania dotyczące bezpieczeństwa logowania.
Platforma ePUAP oferuje m.in. dwuskładnikowe uwierzytelnianie. W takim w przypadku, aby dostać się do konta, poza podaniem loginu i hasła, wymagany jest dodatkowy kod, który obywatel otrzymuje na e-maila lub SMS-em.
Fachowy portal Niebezpiecznik jeszcze w maju zgłosił te problemy do Centralnego Ośrodka Informatyki. Ten zapewnił, że wie o problemie i zamówił stosowną poprawkę. Firma Comarch dostarczyła "łatkę", która - jak się okazuje - nie działa a obejście wymogu dwuskładnikowego uwierzytelniania jest banalnie proste.
Nowa poprawka
- Poprawka odnosząca się do dwuskładnikowego uwierzytelniania po sprawdzeniu została zwrócona do dostawcy, co jest normalnym postępowaniem w takim przypadku. Obecnie posiadamy i przetestowaliśmy zaktualizowaną wersje poprawki - przyznaje w komunikacie przesłanym tvn24bis.pl Katarzyna Jedlińska, rzeczniczka prasowa Centralnego Ośrodka Informatyki.
Jak dodała, druga już nowa łatka zostanie wgrana do systemu "w najbliższym możliwym oknie serwisowym".
- Po wgraniu na produkcję system będzie poddany bacznej analizie i obserwacji tej funkcjonalności przez Monitoring COI. Po weryfikacji i sprawdzeniu potwierdzimy prawidłowość jej działania" - zapewnia Jedlińska.
Minister krytykuje
Problemy z logowaniem to jednak nie jedyne, z jakimi w ostatnich miesiącach musieli zmierzyć się obywatele korzystający z ePUAP. Na początku maja mieliśmy bowiem serię awarii w dostępie do platformy.
Nie uszły one zresztą wówczas uwadze minister cyfryzacji Annie Streżyńskiej.
"Sposób, w jaki zbudowano ePUAP, może być przedmiotem habilitacji. Pisałam już kiedyś, że gdyby nie środki UE, to należałoby go zaorać. Centrum Cyfrowej Administracji - twórca i właściciel ePUAP - został przez nas postawiony w stan likwidacji, a sam ePUAP przeniesiony miesiąc temu do Centralnego Ośrodka Informatyki. Zrobiony audyt wykazał mnóstwo podstawowych błędów, niekorzystna umowę z wykonawcą, brak backupu. COI ma czas do września poprawić ten system i migrować go na stabilną infrastrukturę" - napisała w maju na swoim profilu na Facebooku.
O platformie
Elektroniczna Platforma Usług Administracji Publicznej została powołana do życia ustawą z 2005 roku o informatyzacji działalności podmiotów realizujących zadania publiczne. Uruchomiona została w 2008 roku.
Służy do komunikacji obywateli z jednostkami administracji publicznej w ujednolicony, standardowy sposób.
Za pośrednictwem platformy można m.in. założyć firmę, opłacić składki, dopisać się do spisu wyborców, złożyć skargę lub wniosek, deklarację śmieciową, wniosek o rejestrację pojazdu sprowadzonego z zagranicy, poprosić o odpis akt stanu cywilnego, zmienić adres do korespondencji lub zamieszkania itp.
Zobacz jak możemy zabezpieczyć się przed potencjalnym atakiem hakerów (26.04.2016):
Autor: mb / Źródło: tvn24bis.pl