Orosz mérőkód fut az oldalon, amelyet az Ügyfélkapu+-hoz ajánl a kormány

Január 15-én megszűnt az Ügyfélkapu, hogy biztonságosabb belépési módoknak adja át a helyét. Aki ezentúl interneten akar állami ügyeket intézni, annak most már csak az Ügyfélkapu+ vagy a Digitális Állampolgár mobilalkalmazás marad. Az Ügyfélkapu+ lényege, hogy a régi felhasználónév és jelszó mellé egy minden alkalommal változó bejelentkezési kódot is meg kell adni. Az éppen aktuálisan felhasználható kód érkezhet emailben, vagy lehet erre alkalmas alkalmazással generálni. A kormány ajánlásokat is tesz arra, hogy melyik kódgenerátorok használatát javasolja. Az egyik ilyen javaslat a TOTP.APP nevű oldal, amely körül azonban több furcsaság is van:

amellett, hogy nem derül ki, hogy ki üzemelteti és hogyan kezeli az adatokat, egy orosz mérőkód is fut rajta, és más jelek is arra utalnak, hogy orosz fejlesztésű szolgáltatásról van szó.

A kódgenerátorok úgy használhatók, hogy az alkalmazást össze kell kötni a fiókunkkal, ahová be szeretnénk lépni, így a következő bejelentkezéskor már a generált kódot is meg kell adni a felhasználónév és a jelszó után, különben nem enged be az oldal. A TOTP.APP is így működik, de nem okostelefonos alkalmazásként, hanem weboldalként, amelyet böngészőben lehet megnyitni, így akinek gondot okoz az okostelefonos megoldás, vagy csak nem szimpatikus neki, anélkül is tudja használni az Ügyfélkapu+-t (vagy bármilyen más szolgáltatást, amelyhez a biztonságosabb belépés érdekében hozzárendelhető kódgenerátor).

Az Ügyfélkapu oldalán található egy segédlet az Ügyfélkapu+ beállításához, ebben mindenfajta eszközre található javasolt kódgenerátor, ezért ez tekinthető hivatalos ajánlásnak. Itt azoknak, akik telefon nélküli megoldást keresnek, két szolgáltatás szerepel: a Verifyr és a TOTP.APP. Egy másik kapcsolódó kormányzati oldalon, a különféle bejelentkezési módokat kezelő Központi Azonosítási Ügynök oldalán is ezek az ajánlások szerepelnek. Az Ügyfélkapu oldalán egy részletes leírás is található arról, hogyan kell beállítani a TOTP.APP-ot. A szolgáltatás tehát megkapta a kormányzati zöld lámpát.

Orosz kód, homályos háttér

Egy olvasónk azonban arra hívta fel a figyelmünket, hogy az oldalon egy orosz mérőkód fut. Ezt bárki le is tudja ellenőrizni: ha meglátogatja a TOTP.APP oldalát, és a böngészőbe épített fejlesztői eszközökkel belenéz abba, mi fut rajta a háttérben, a Yadro nevű orosz cég counter.yadro.ru kezdetű mérőkódját is megtalálhatja:

Mérőkódot azért szoktak tenni az oldalak kódjába, hogy az üzemeltető követni tudja, kik és hogyan használják az oldalt, statisztikai adatok rögzítésére alkalmas. Számos oldalon találni ilyen megoldást, ezzel tehát önmagában nincs probléma, az azonban meglepő választás, hogy 2025-ben, az orosz–ukrán háború harmadik évében egy uniós országban a kormány az állami ügyintézés igénybevételéhez egy olyan szolgáltatást ajánl, amelyet az évek óta különféle szankciókkal sújtott agresszor országban, Oroszországban fejlesztenek.

„A TOTP.APP nem rendelkezik szerverkóddal. Ez statikus szkriptek halmaza, amelyek csak a böngészőben futnak. Ezért nincs regisztrációnk, és minden adata csak az Ön böngészőjében tárolódik, és az Ön böngészőjén kívül senki sem fér hozzá” – ígéri maga az oldal leírása, és ennek ellenkezőjére valóban nem is utal semmi.

„Kétségtelen, hogy a TOTP.APP alkalmazás részletes vizsgálata nélkül nem lehet megmondani, hogy nem jelent-e az alkalmazás veszélyt a magyar állampolgárokra. Remélem, hogy ezt valaki hivatalosan megvizsgálta és megállapította – mondta a Telexnek egy névtelenséget kérő kiberbiztonsági szakértő. –

Az azonban, hogy 2025-ben egy EU-tagállamban az állampolgárok legféltettebb személyes adataihoz való hozzáféréshez hivatalosan egy eléggé orosz fejlesztésűnek kinéző alkalmazást ajánlanak, az véleményem szerint égbekiáltó.”

Olvasónk visszakövette a mérőkódban található paraméterek alapján, hogy ki állhat az oldal mögött, de a feltételezéseit nem tudjuk ennyi információ alapján ellenőrizni, annyi mindenesetre biztosnak tűnik, hogy orosz fejlesztőről lehet szó. Erre utal az is, hogy az oldal a Wayback Machine archívuma szerint 2018-ban még kizárólag orosz nyelven volt elérhető, de egészen a közelmúltig is csak orosz és angol nyelven lehetett használni. Erről a legkésőbbi mentés tavaly decemberi, de még az Ügyfélkapu+ működését bemutató, néhány napja megjelent cikkünk írásakor is ez volt a helyzet. Azóta az oldal már az orosz és az angol mellett magyarul és németül is elérhető. Olvasónk a Wayback Machine archívuma alapján azt is megállapította, hogy 2018-as indulásakor az oldal bevételszerzési célból használatos kriptobányász kódot futtatott a háttérben – ilyesmi ma már nincs az oldalon.

Ami szintén nincs, az az adatvédelmi tájékoztató. Bár erre az oldalra a uniós adatvédelmi rendelet, a GDPR feltehetően nem vonatkozik, EU-s országban szokatlan, hogy a kormány egy olyan szolgáltatást ajánl, amely nem árulja el, hogyan kezeli az adatokat. Emellett, mint már írtuk, annak is ki kellene derülnie, hogy egyáltalán ki üzemelteti az oldalt.

Nem látnak problémát

Kérdéseinkkel megkerestük a Nemzetbiztonsági Szakszolgálathoz tartozó Nemzeti Kibervédelmi Intézetet (NKI). Arra voltunk kíváncsiak, hogy ők vizsgálták-e az Ügyfélkapu+-hoz hivatalosan ajánlott szolgáltatások biztonságosságát, illetve hátterét, és ha igen, mire jutottak. Külön rákérdeztünk arra is, hogy a TOTP.APP oldalon található orosz mérőkód jelenlétéről mi az álláspontjuk, kockázatnak tartják-e. Arról is érdeklődtünk, hogy nincs-e tervben hasonló állami kódgeneráló szolgáltatás (hiszen mobilra létezik a Nemzeti Infokommunikációs Szolgáltató fejlesztésében).

Érdekesség, hogy a kérdések elküldése előtt az Ügyfélkapu oldalán szerepelt az ajánlások között a TOTP.APP, de amíg vártam a válaszra, az oldal eltűnt az ajánlások közül, végül a válasz befutása előtt visszakerült, és azóta is megtalálható rajta. A Központi Azonosítási Ügynök oldalán néhány napja még csak a TOTP.APP-ot ajánlották, oda frissen került fel mellé a Verifyr is.

„Megkeresésére válaszolva tájékoztatjuk, hogy az Ügyfélkapu+ 2022 évben indult, a szolgáltató azóta ajánlja a TOTP.APP-ot, mint webes második faktoros szolgáltatást. Visszaélésről ez idő alatt nem tudunk. A publikus szolgáltatásokat rendszeresen elemző oldalak szerint nincs probléma a működésével kapcsolatban. További kérdésekkel kérjük az Ügyfélkapu szolgáltatóját megkeresni”

– írta tömör válaszában a Nemzetbiztonsági Szakszolgálat Sajtóiroda. Ugyanezekkel a kérdésekkel az Ügyfélkapu+-t is fejlesztő IdomSoftot is kerestük, tőlük cikkünk megjelenése után érkezett reakció, amely megismétli az NKI válaszának főbb pontjait, illetve hozzáteszi, hogy a TOTP.APP nem kezel személyes vagy érzékeny adatokat, az orosz kód pedig álláspontjuk szerint azért sem tudna Ügyfélkapu-adatokat bárhova továbbítani, mert ilyenekhez maga a TOTP.APP sem fér hozzá.

Már az Ügyfélkapu+ beállítását segítő cikkünkben is jeleztük, hogy aki teheti, annak érdemes inkább mobilalkalmazással generálnia a kódokat a belépéshez, aki pedig ezt nem tudja vagy szeretné megtenni, annak az időközben elérhetővé vált emailes kódkérést érdemes beállítania. A TOTP.APP körülményesebb és kevésbé biztonságos, illetve a készítőiről se tudni semmit – írtuk akkor, ezért kevésbé ajánlottuk. Ezt az ajánlásunkat csak megerősíteni tudjuk.

Orosz mérőkód egyébként okozott már nagy felhördülést Magyarországon: 2017-ben a 444 vette észre, hogy a Yandex kódja megtalálható a kormány nemzeti konzultációs oldalán. Az az eset sokkal komolyabb volt, mert maga a kód alkalmas volt arra, hogy a konzultációt kitöltő felhasználók által az oldalra beírt személyes adatokat is az orosz cégnek továbbítsa. A Nemzeti Adatvédelmi és Információszabadság Hatóság akkori vizsgálata arra jutott, hogy a kódot az oldal fejlesztésével megbízott alvállalkozó helyezte el, illetve felejtette ott, de kikapcsolt állapotban, ezért a Yandex állítása szerint, bár a kód valóban továbbított adatokat, azt a szerverük nem fogadta.

Cikkünket frissítettük az IdomSoft válaszával.