Kiderült, ki áll az Ügyfélkapu+-hoz ajánlott TOTP.APP mögött, ahol korábban orosz mérőkód futott

Kiderült, ki áll az Ügyfélkapu+-hoz ajánlott TOTP.APP mögött, ahol korábban orosz mérőkód futott
Fotó: Bődey Janó / Telex

584

Orosz mérőkód fut az oldalon, amelyet az Ügyfélkapu+-hoz ajánl a kormány – írtuk múlt csütörtöki cikkünkben. Arról a TOTP.APP nevű oldalról van szó, amellyel a megerősített Ügyfélkapu+-os belépéshez is generálhatnak belépőkódokat a felhasználók. Cikkünk másnapjára ezt az orosz mérőkód eltűnt az oldal kódjából, a fejlesztő törölte.

Azóta viszont az is kiderült, hogy ki ez a fejlesztő, azaz ki áll az oldal mögött, egy kiberbiztonsági szakértőnek beszélnie is sikerült vele.

Mérőkódot azért szoktak tenni az oldalak kódjába, hogy az üzemeltető követni tudja, kik és hogyan használják az oldalt, statisztikai adatok rögzítésére alkalmas. Számos oldalon találni ilyen megoldást, ezzel tehát önmagában nincs probléma, az azonban meglepő választás, hogy 2025-ben, az orosz–ukrán háború harmadik évében egy uniós országban a kormány az állami ügyintézés igénybevételéhez egy olyan szolgáltatást ajánl, amelyet az évek óta különféle szankciókkal sújtott agresszor országban, Oroszországban fejlesztenek.

Látta, hogy sok a magyar felhasználó

Az korábbi cikkeink írásakor hozzánk is eljutott, hogy egy Peredozo vagy PDZ becenevű orosz fejlesztő/hekker azonosítható az oldal üzemeltetőjeként, de mivel ezen kívül más nem derült ki róla biztos forrásból, erről külön nem számoltunk be. Krasznay Csaba kiberbiztonsági szakértő, a Nemzeti Közszolgálati Egyetem docense azonban kiberbiztonsági témákról szóló videósorozata csütörtöki részében további részleteket is megosztott a TOTP.APP gazdájáról.

Krasznay elmondása szerint miután egy előző videójában ő maga is beszámolt a TOTP.APP ügyéről, több nézője is további információkat osztott meg vele az orosz fejlesztőről, akiről kiderült, hogy valószínűleg Helsinkiben él. A Timur Khrotko nevű, orosz származású budapesti kiberbiztonsági szakértő fel is vette vele a kapcsolatot, és elbeszélgetett vele az itthon nagy figyelmet kapott oldalról.

Peredozo állítása szerint a TOTP.APP-ot egy saját privát projekthez hozta létre, nem az Ügyfélkapu+-hoz, de – mint Krasznay fogalmazott – „konstruktív beszélgetést kezdeményezett a magyar hatóságokkal”. A fejlesztő azt mondta, az eredetileg csak orosz és angol nyelven elérhető oldalt akkor magyarította, amikor ezen a bizonyos követőkódon keresztül látta a nagy érdeklődést Magyarországról – azaz amikor az Ügyfélkapu megszüntetése miatt az emberek tömegesen kezdtek áttérni az Ügyfélkapu+-ra, és sokan a hivatalos ajánlásban szereplő TOTP.APP-ot kezdték el ehhez használni. Ő maga azt állította, nincs mögöttes szándéka. „Rosszindulatot ő nem vallott be, én nem feltételezek, de mindenképp rossz döntés volt ezt a megoldást választani” – tette hozzá Krasznay.

Nem csak az orosz kód problémás

A TOTP.APP forráskódja elérhető volt a GitHub kódmegosztó oldalon, ahol követhetők voltak a kódban végrehajtott változtatások is. Egy olvasónk korábban ez alapján jelezte, hogy a vitatott megítélésű orosz mérőkódot törölte a fejlesztő. Ugyanitt a leírásban már korábban is az szerepelt, hogy az oldal eladó. A Wayback Machine archívuma szerint 2020-ban például ezer dollárt kértek érte, a napokban tízezer dollárnyi kriptovaluta (a dollár értékéhez kötött USDT) volt az ára. Múlt pénteken, amikor a fejlesztő a követőkódot törölte, már az volt olvasható a leírásban: „Források és domain eladása 20 000 USDT-ért”, azaz bő nyolcmillió forintért. Mindez mostanra azért múlt idő, mert az oldal forráskódját törölték a GitHubról, így már a változtatások sem elérhetők.

Az orosz mérőkód jelenlétéről szóló cikkünkre reagált az Ügyfélkaput üzemeltető IdomSoft Zrt., álláspontjuk szerint az oldal nem kezel személyes vagy érzékeny adatokat, az orosz kód pedig azért sem tudna Ügyfélkapu-adatokat bárhova továbbítani, mert ilyenekhez maga a TOTP.APP sem fér hozzá. A TOTP.APP „működésével kapcsolatban az internetes weboldalak tartalmi és működési elemzését IT-biztonsági szempontból végző szolgáltatások szerint nem merült fel semmilyen probléma, és mi sem tudunk visszaélésről” – írták, hozzátéve, hogy a szolgáltatás „nem szerves része az Ügyfélkapu+ szolgáltatásnak”, a felhasználók a többi ajánlott szoftvert vagy bármilyen más megoldást is használhatnak az ügyfélkapu+-os hitelesítés beállításához.

Kiberbiztonsági szakértők azonban nemcsak az orosz mérőkód miatt kritizálták az oldalt és annak ajánlását, hanem mert egyébként is ködös a háttere. Nem derül ki például magán az oldalon, hogy ki üzemelteti, és hogyan kezeli a felhasználói adatokat. Krasznay Csaba a videójában azt is megjegyezte, hogy maga az oldal kódja sem kifejezetten bizalomgerjesztő, fércmunkának tűnik.

Makay József kiberbiztonsági szakértő még első cikkünk után azt írta az orosz oldalra mutató kódrészletről, hogy „ezzel a követőkóddal az IP-címünket, a hozzávetőleges tartózkodási helyünket, az általunk használt eszköz típusát, annak operációs rendszerét, a böngészőnk típusát, annak nyelvét és a képernyőnk felbontását követik”, amelyeket „ideális esetben ezeket az adatokat a felhasználói élmény javítására szokták használni”. Minderről viszont a felhasználók nem kapnak tájékoztatást, mert „a szolgáltatás nem teljesíti a GDPR követelményeit, és adatkezelési tájékoztató sem található az oldalon”.

Mindez persze önmagában nem ad lehetőséget komoly visszaélésre, de ettől még nem is megnyugtató – mondta a Telexnek egy név nélkül nyilatkozó szakértő. „A kiberbiztonságban mindig elmondjuk, hogy nem azt kell nézni, hogy az adott incidens mekkora problémát okoz, hanem azt, hogy ezek az incidensek építőkockák, van száz piszlicsáré ilyen dolog, egyenként nem gond, de együtt óriási kockázatot is jelenthet. Újabb kis építőkocka az is, hogy már 2020-ban is eladó volt az oldal. Újabb, hogy múlt héten is az volt. Újabb lesz az is, ha eladják valami ismeretlennek, és így tovább” – mondta, arra utalva ezzel, hogy korábban megírtuk: az oldalt már 2020-ban is árulta a fejlesztője, miközben a Nemzeti Kibervédelmi Intézet a Telexnek azt írta, a TOTP.APP az Ügyfélkapu+ 2022-es indulása óta szerepel a hivatalos ajánlásban. Azaz addigra már két éve azt írta róla a fejlesztője, hogy eladó.

Cikkeink után más szakértők is arra hívták fel a figyelmet, hogy az oldallal nem kifejezetten az orosz mérőkód jelenléte a probléma, hanem hogy a zavaros háttere miatt bármikor kerülhet rá akár észrevétlenül bármilyen kód. Egyébként követőkód is került azóta újra az oldalra, csak most már nem a Yadro nevű orosz cég megoldása van közvetlenül bekötve, hanem saját domain alá került ez a statisztikai megoldás:

Az új követőkód a TOTP.APP oldalon – Forrás: totp.app / Telex
Az új követőkód a TOTP.APP oldalon – Forrás: totp.app / Telex

„Hiba volt, ezt a hibát javítani kell, és az a szükséges, hogy legyen magyarországi megoldás erre” – mondta Krasznay egy korábbi videójában a TOTP.APP hivatalos ajánlásáról. „Magyar égre magyar authentikátort, legyen a DÁP applikációban kódgenerátor is!” – tette hozzá egy Facebook-bejegyzésben, a Digitális Állampolgárság Program mobilalkalmazására utalva, amely az Ügyfélkapu megszűnése után, az Ügyfélkapu+ mellett a másik bejelentkezési lehetőség az állami ügyintézési felületekre.

Már az Ügyfélkapu+ beállítását segítő cikkünkben is jeleztük, hogy aki teheti, annak érdemes inkább mobilalkalmazással generálnia a kódokat a belépéshez, aki pedig ezt nem tudja vagy szeretné megtenni, annak az időközben elérhetővé vált emailes kódkérést érdemes beállítania.

Kedvenceink
Partnereinktől
Kövess minket Facebookon is!