Idomsoft: Az Ügyfélkapu+-hoz ajánlott oldal orosz mérőkódja semmilyen személyes adathoz nem fér hozzá

Orosz mérőkód fut az oldalon, amelyet az Ügyfélkapu+-hoz ajánl a kormány – írtuk csütörtöki cikkünkben. Arról a TOTP.APP nevű oldalról van szó, amellyel a megerősített Ügyfélkapu+-os belépéshez generálhatnak belépőkódokat a felhasználók. Cikkünkre reagált az Ügyfélkaput üzemeltető IdomSoft Zrt., álláspontjuk szerint

az oldal nem kezel személyes vagy érzékeny adatokat, az orosz kód pedig azért sem tudna Ügyfélkapu-adatokat bárhova továbbítani, mert ilyenekhez maga a TOTP.APP sem fér hozzá.

A kódgenerátorok úgy használhatók, hogy az alkalmazást össze kell kötni a fiókunkkal, ahová be szeretnénk lépni, így a következő bejelentkezéskor már a generált kódot is meg kell adni a felhasználónév és a jelszó után, különben nem enged be az oldal. Az Ügyfélkapu oldalán több ilyen kódgeneráló szolgáltatásra is található ajánlás: azoknak, akik nem szeretnének erre a célra mobilalkalmazást használni, és valamiért az emailes belépőkód sem szimpatikus nekik, az egyik ajánlott alternatíva a böngészőből elérhető TOTP.APP.

Ez a webalkalmazás azonban szakértői körökben több szempontból is kapott kritikát: amellett, hogy nem derül ki, hogy ki üzemelteti és hogyan kezeli az adatokat, egy orosz mérőkód is fut rajta, és más jelek is arra utalnak, hogy orosz fejlesztésű szolgáltatásról van szó. Mérőkódot azért szoktak tenni az oldalak kódjába, hogy az üzemeltető követni tudja, kik és hogyan használják az oldalt, statisztikai adatok rögzítésére alkalmas. Számos oldalon találni ilyen megoldást, ezzel tehát önmagában nincs probléma, az azonban meglepő választás, hogy 2025-ben, az orosz–ukrán háború harmadik évében egy uniós országban a kormány az állami ügyintézés igénybevételéhez egy olyan szolgáltatást ajánl, amelyet az évek óta különféle szankciókkal sújtott agresszor országban, Oroszországban fejlesztenek – írtuk csütörtöki cikkünkben.

Idomsoft: Ügyfélkapu-adat nem is kerül az oldalhoz

„Az Ügyfélkapu+ szolgáltatáshoz 2022 óta ajánljuk a TOTP.APP hitelesítő alkalmazást. A működésével kapcsolatban az internetes weboldalak tartalmi és működési elemzését IT-biztonsági szempontból végző szolgáltatások szerint nem merült fel semmilyen probléma, és mi sem tudunk visszaélésről – írta a Telexnek küldött válaszában az IdomSoft. – A TOTP.APP nem kezel semmilyen személyes adatot, sem az Ügyfélkapuval kapcsolatos adatot. A forráskódjában elhelyezett mérőkód legfeljebb a felhasználók interakcióját összegző statisztikát tudna továbbítani a fejlesztő számára, de azt sem összekapcsolva az Ügyfélkapu-adattal, mert nem kerül át ilyen típusú adat a TOTP.APP felé.”

Az IdomSoft hangsúlyozta azt is, hogy a TOTP.APP csak egy ajánlás, bármi más is választható helyette: „A TOTP.APP hitelesítő alkalmazás nem szerves része az Ügyfélkapu+ szolgáltatásnak, a felhasználók több ajánlott szoftver közül vagy más gyártók által készített terméket is választhatnak a kétfaktoros azonosításhoz. Ezenkívül már él az emailes hitelesítés lehetősége, amely tovább bővíti azoknak a felhasználóknak a választási lehetőségeit, akik nem szeretnének okostelefont használni a bejelentkezéshez” – írták.

Már az Ügyfélkapu+ beállítását segítő cikkünkben is jeleztük, hogy aki teheti, annak érdemes inkább mobilalkalmazással generálnia a kódokat a belépéshez, aki pedig ezt nem tudja vagy szeretné megtenni, annak az időközben elérhetővé vált emailes kódkérést érdemes beállítania.

A Digitális Állampolgárság Program mobilalkalmazását, a Digitális Állampolgárt is fejlesztő IdomSoft egyébként az Ügyfélkapu üzemeltetését – és ezzel a TOTP.APP ajánlását – egy másik állami vállalattól, a Nemzeti Infokommunikációs Szolgáltatótól örökölte meg 2024. elején.