21:16
25/7/2018

Chodzi o najzwyklejszą w świecie weryfikację adresu e-mail. W Profilu Zaufanym/ePUAP zwyczajnie jej nie ma. Możecie nawet nie zauważyć, że e-maile o waszych sprawach urzędowych trafiają do kogoś innego. Ba! W niektórych przypadkach to wcale nie Wy będziecie temu winni — a pani w urzędzie, która źle przepisała/usłyszała Wasz adres e-mail.

Kolejny problem ePUAP

Na przestrzeni ostatnich miesięcy kilka razy otrzymaliśmy od Czytelników zgłoszenia związane z tym, że ktoś omyłkowo podał ich e-mail w Profilu Zaufanym (ePUAP), dzięki czemu na ich skrzynki e-mail spływa urzędowa korespondencja która przeznaczona jest dla kogoś innego. Taka sytuacja jest kłopotliwa dla obydwu zamieszanych w sprawie osób.

  • Właściciel omyłkowo podanego adresu nie może go podać w Profilu Zaufanym (ePUAP) (gdyby chciał podnieść sobie ciśnienie testowaniem polskiej e-administracji poprzez założenie konta w ePUAP-ie).
  • Osoba, która pomyliła się w adresie, nie tylko nie dostanie poczty dotyczącej załatwianych przez nią spraw, ale szczegóły spraw i jej dane osobowe trafią na skrzynkę obcego człowieka.

Co więcej, w niektórych przypadkach identyfikator w Profilu Zaufanym jest jednocześnie numerem PESEL. Wspominaliśmy już, że może to powodować ciągłe wyświetlanie PESEL-u w czasie pracy w ePUAP-ie. Z tego samego powodu numer PESEL może się znaleźć w treści e-maili np. tych z powiadomieniami o otrzymaniu UPD (Urzędowego Potwierdzenia Doręczenia). Oto jak wygląda wyglądała taka wiadomość, którą dostawał przypadkowy właściciel mylnie wpisanego przez użytkownika ePUAP adresu e-mail:

“ID nadawcy” to PESEL, a “ADRESAT” to imię i nazwisko

Warto tu zwrócić uwagę, że nie tylko przypadkowy właściciel mylnie wpisanego przez użytkownika ePUAP adresu e-mail może zapoznać się z powyższymi treściami. Jak widać, ePUAP wysyła e-maile nie zestawiając z serwerami pocztowymi połączenia szyfrowanego. A zatem KAŻDY kto jest na trasie pakietów od serwerowni ePUAP do serwerów pocztowych poszczególnych dostawców poczty też może sobie podsłuchiwać i kolekcjonować dane osobowe Polaków. [AKTUALIZACJA: problem został usunięty; obecnie wiadomości są wysyłane z uwzględnieniem szyfrowania komunikacji serwer-serwer.]

Wystarczy zwykła weryfikacja!

Takich problemów można łatwo uniknąć. Wystarczy, by przypisanie e-maila do konta PZ/ePUAP następowało dopiero po weryfikacji polegającej na kliknięciu linka w e-mailu, ewentualnie wpisaniu kodu przesłanego na e-mail. Wiele komercyjnych e-usług ma taki mechanizm weryfikacji (nawet niektóre internetowe sklepy z warzywami, #pdk). Dlaczego Profil Zaufany/ePUAP nie może go mieć?

Spytaliśmy o sprawę Igora Ryciaka, rzecznika prasowego Centralnego Ośrodka Informatyki. Dowiedzieliśmy się, że problem jest do rozwiązania… kiedyś.

Weryfikacja adresów e-mail podawanych przez użytkowników systemu Profil Zaufany (eGO) to możliwa opcja rozwojowa. Dziękujemy za informację o sygnałach nadesłanych przez czytelników Niebezpiecznika. Choć do naszego Ośrodka podobne zgłoszenia nie wpływały, poinformujemy o sprawie właściciela systemu czyli Ministerstwo Cyfryzacji.

Chciałbym zauważyć, że 8 kwietnia br. wyłączona została opcja odbierania haseł jednorazowych Profilu Zaufanego na adres e-mail. Do tego dnia adresy e-mail wprowadzane przez użytkowników w procesie rejestracji podlegały weryfikacji. Obecnie korzystanie z Profilu jest możliwe tylko za pomocą haseł przesyłanych w formie SMS. Dotyczy to wszystkich użytkowników – osób fizycznych oraz pracowników administracji publicznej wykorzystujących Profil do celów służbowych.

Podstawa prawna tej zmiany to § 8 ust. 3 w związku z § 21 ust. 1 rozporządzenia Ministra Cyfryzacji z dnia 5 października 2016 r. w sprawie profilu zaufanego elektronicznej platformy usług administracji publicznej (Dz. U. z 2016 r. poz. 1633).

Możliwa opcja rozwojowa? Nasuwa się takie skojarzenie…

Wypowiedź rzecznika COI wypada uzupełnić. Rzeczywiście po zmianie wspomnianego rozporządzenia ePUAP nie korzysta z kodów jednorazowych przesyłanych na e-mail. Trzeba użyć komórki albo skorzystać z mechanizmów uwierzytelniania dostępnych w banku (jeśli wyrobiliśmy Profil Zaufany przez bank).

To niestety nie rozwiązuje problemu braku weryfikacji adresów e-mail, a nawet w pewnym sensie nasila związane z tym problemy. Dlaczego? Ponieważ użytkownik może bez problemu dokonywać czynności w ePUAP-ie w ogóle nie wiedząc, że system wysyła do niego jakiekolwiek e-maile. Wszystko czego trzeba, użytkownik znajdzie na komórce, a dokumenty odczyta bezpośrednio w ePUAPie. Niczego z e-maila nie potrzebuje, więc jeśli go “nie widzi” to nie będzie robił z tego tytułu problemu. Może nawet zakładać, że takie e-maile przez ePUAP w ogóle nie są wysyłane. A są. I mogą trafiać do innych osób.

Swoją drogą, bazowanie na kodach przesyłanych przez SMS, w systemie którym zarządzamy naszymi sprawami urzędowymi to niezbyt bezpieczny pomysł, por. Złodziej wyrobił duplikat karty SIM, odebrał SMS-y z banku i okradł konto na kilkaset tysięcy złotych

Co robić? Jak żyć?

Jeśli korzystasz z Profilu Zaufanego/ePUAP radzimy zalogować się na swoje konto i przejść do “Zarządzania kontem”. Upewnij się, że podany adres e-mail jest prawidłowy. Jeśli nie jest to znaczy, że informacje o Twoich urzędowych czynnościach mogły regularnie trafiać do kogoś innego. W razie czego nieprawidłowy e-mail możesz zmienić na prawidłowy. Operacja będzie błyskawiczna, bo zmiana e-maila nie będzie wymagała żadnej weryfikacji ;)

Na deser. Inne pomniejsze problemy ePAUP-u

EPUAP ma jeszcze inne pomniejsze problemy, o których wiemy od dawna i nie piszemy o nich bo to drobnostki. Ale może czas zacząć?

Załóżmy, że chcecie wykonać czynność w S24 lub CEIDG i musicie tę czynność podpisać Profilem Zaufanym. Po  podpisaniu znów zostaniecie przeniesieni do ekrs.ms.gov.pl lub ceidg.gov.pl, gdzie widnieje informacja o udanej lub nieudanej operacji. Zapewne się wylogujacie (z S24 lub CEIDG) i na tym skończycie, ale nie wiecie o jednym. Wcale nie zostaniecie wylogowani z Profilu Zaufanego!

Co prawda czynności w Profilu Zaufanym potwierdzamy kodem jednorazowym, ale na koncie są wasze dane osobowe i naprawdę nie chcecie aby one wyciekły. A jeśli korzystaliście ze współdzielonego komputera np. w urzędzie, to klops. Zawsze musicie więc przejść jeszcze na Profil Zaufany i tam również się wylogować.

Fikcyjne zabezpieczenie

Jedna z naszych Czytelniczek zauważyła, że weryfikacja dwuetapowa na Profilu Zaufanym może być złudna.

Ostatnio zmieniłam telefon wiec pomyślałam, ze i w profilu zaufanymi zmienię numer do weryfikacji . Zalogowalam sie na konto i zmieniłam numer, ale ku mojemu zaskoczeniu nie musiałam tego w żaden sposób potwierdzić. Czyli wychodzi na to, ze ta weryfikacja telefonem totalnie nie działa, bo mając dostęp do konta można sobie zmienić na inny numer i już z niego potwierdzać.

Uwaga bardzo słuszna, choć tutaj można się w pewien sposób zabezpieczyć. W Profilu Zaufanym można włączyć logowanie dwuskładnikowe. W tym celu wchodzimy w Zarządzanie Kontem >>> Szczegóły konta >>> Edytuj i wybieramy opcję Uwierzytelnianie dwuskładnikowe podczas logowania hasłem. 

Dzięki temu, ewentualny atakujący, nawet jeśli posiada nasz login i hasło, to nie zaloguje się na nasze konto i nie podmieni numeru telefonu na swój bez posiadania dostępu do naszego “starego” numeru telefonu. O ile oczywiście nie atakujący nie zna jakiejś możliwości ominięcia dwuskładnikowego logowania, a takie dziury w ePUAP-ie w przeszłości się zdarzały

Aktualizacja 26.07.2018 19:10

Magdalena Urbańska z COI przesłała do nas prośbę o sprostowanie pewnych informacji w tekście. Przedstawimy uwagi COI po kolei, dodając do nich swoje spostrzeżenia.

Nieprawdą jest : „(…)na ich skrzynki e-mail spływa urzędowa korespondencja która przeznaczona jest dla kogoś innego(…)”

Na skrzynkę e-mail nie spływa korespondencja urzędowa, przekazywana jest informacja o otrzymaniu korespondencji w systemie ePUAP. Aby się z nią zapoznać należy zalogować się do w/w systemu.

To zależy co rozumiemy pod pojęciem “urzędowa korespondencja”. Owszem, dokumenty jako takie nie spływają na skrzynkę e-mail, ale samo powiadomienie o otrzymaniu UPD jest w pewnym sensie “urzędową korespondencją”. Innymi słowy – coś jednak na tę skrzynkę spływa, więc w tym kontekście weryfikacja e-maila nie traci całkowicie znaczenia. Bo zasadniczy problem jest taki, że nie ma weryfikacji e-maila!

Nieprawdą jest : „ (…)Właściciel omyłkowo podanego adresu nie może go podać w Profilu Zaufanym (ePUAP) (gdyby chciał podnieść sobie ciśnienie testowaniem polskiej e-administracji poprzez założenie konta w ePUAP-ie). (…)”

Właściciel omyłkowo podanego adresu może go podać w PZ przy rejestracji swojego konta nawet jeśli wcześniej ten adres został omyłkowo podany przez inną osobę.

Czyli można również omyłkowo podać adres przy rejestracji, jeśli ktoś wcześniej podał go prawidłowo? Nadal widzimy tu pewien problem, choć oczywiście uwaga COI nie jest tutaj bez znaczenia.

Nieprawdą jest :  „ (…) ale szczegóły spraw i jej dane osobowe trafią na skrzynkę obcego człowieka. (…)”

Na skrzynkę e-mail nie spływa korespondencja urzędowa a tym bardziej dane osobowe obywatela, przekazywana jest informacja o otrzymaniu korespondencji w systemie ePUAP. Aby się z nią zapoznać należy zalogować się do systemu ePUAP.

Wiemy, ze ta informacja o korespondencji zawierała ID adresata, a ID w niektórych przypadkach było PESEL-em (np. dla kont zarejestrowanych przez bank). Cieszymy się, że od momentu tworzenia tego artykułu do jego publikacji (a przeleżał on w naszej redakcyjnej szufladzie dość długo — przyznajemy) zmieniło się to na plus.

Nieprawdą jest : „(..) Oto jak wygląda taka wiadomość, którą dostanie przypadkowy właściciel mylnie wpisanego przez użytkownika ePUAP adresu e-mail (…)” – Print Screen

Właściciel adresu email otrzymuje informację o treści:„ Dostałeś wiadomość z urzędu. Aby się z nią zapoznać, należy podpisać i odesłać UPD (Urzędowe Poświadczenie Doręczenia). Pozostało Ci 7 dni na wykonanie tej czynności. Aby to zrobić, zaloguj się na swoje konto ePuap.”

Cieszymy się, że zostało to zmienione.

Nieprawdą jest : „(…)Jak widać, ePUAP wysyła e-maile nie zestawiając z serwerami pocztowymi połączenia szyfrowanego.(…)”

Jeśli serwer docelowy obsługuje TLS’a to komunikacja jest szyfrowana (podawana jest informacja: Standardowe szyfrowanie (TLS)).

Potwierdzamy, obecnie serwer szyfruje korespondencję. I jeszcze jedna  uwaga COI:

„Ostatnio zmieniłam telefon wiec pomyślałam, ze i w profilu zaufanymi zmienię numer do weryfikacji . Zalogowalam sie na konto i zmieniłam numer, ale ku mojemu zaskoczeniu nie musiałam tego w żaden sposób potwierdzić. Czyli wychodzi na to, ze ta weryfikacja telefonem totalnie nie działa, bo mając dostęp do konta można sobie zmienić na inny numer i już z niego potwierdzać.”

Za autoryzację w zakresie podpisywania dokumentów urzędowych przy wykorzystaniu Profilu Zaufanego w ePUAP odpowiada numer telefonu podawany podczas potwierdzania Profilu Zaufanego. Numer ten można wyświetlić w ścieżce: Profil Zaufany – Mój profil zaufany – szczegóły Profilu Zaufanego. Zmiana tego numeru telefonu wymaga autoryzacji.

Przed publikacją tego tekstu sprawdzaliśmy jak odbywa się zmiana tego numeru. Nie zauważyliśmy autoryzacji  (nie licząc tego, że rzecz jasna musieliśmy być zalogowani na konto). Nasza Czytelniczka też tego nie zauważyła, więc albo czegoś nie widzimy jak należy, albo ta autoryzacja nie przebiega zawsze tak jak twierdzi COI.

Aktualizacja 30.07.2018 10:10

Jeden z Czytelników podesłał nam interesujący zapis swojej korespondencji z Service Deskiem COI. Korespondencja (z maja 2017 roku) dotyczyła właśnie sytuacji, gdy inna osoba powiązała swój profil zaufany z adresem e-mail naszego Czytelnika. Przez to nasz Czytelnik nie mógł się zalogować.

Czytelnik najpierw zadzwonił na Service Desk i uzyskał poradę, by… uruchomić przypomnienie hasła podając nieswój login. Następnie miał się zalogować i usunąć Profil Zaufany, czyli… usunąć profil innej osoby. Mail z resetem hasła jednak nie przyszedł, więc nasz Czytelnik napisał do COI.

Za drugim podejściem Service Desk przekazał Czytelnikowi kolejną poradę by “zalogować się za pomocą loginu, a nie hasła”. To co było tu najdziwniejsze to fakt, że Service Desk nadal doradzał zalogowanie się na cudze konto.

Trudno było zrozumieć tę poradę więc nasz Czytelnik drążył dalej. Uzyskał kolejną poradę.

Czytelnik nie poddał się więc skorzystał z funkcji przypominania loginu i na jego adres przyszedł e-mail informujący o… dwóch loginach przypisanych do konta.

Loginy zostały zmienione. W miejscu gdzie widzimy MÓJ_LOGIN_DO_PZ znajdował się login naszego Czytelnika. LOGIN_003 był loginem innej osoby.

Użytkownik spytał Service Desk, czy teraz login innej osoby (tutaj figurujący jako LOGIN_003) będzie na stałe przypisany do jego konta. Otrzymał kolejną odpowiedź z instrukcją jak się zalogować. Postarał się zatem wyjaśnić, że nie uważa tego konta za własne i dlatego nie chce zmieniać w nim hasła albo usuwać profilu. Chciał tylko jakkolwiek sprawić, aby jego adres e-mail nie był wiązany z czyimś kontem. Zasugerował też, aby wprowadzić jakąkolwiek weryfikacje e-maili. Service Desk odpisał…

To jest korespondencja sprzed roku. Widzisie zatem, że COI powinien informować Ministerstwo Cyfryzacji o problemie z brakiem weryfikacji e-mail. Te problemy rozwiązano częściowo, ale weryfikacji jako takiej nie ma. Ciekawe jak duże byłoby nasilenie problemu, gdyby każdy pełnoletni obywatel korzystał z Profilu Zaufanego?

 

 


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

56 komentarzy

Dodaj komentarz
  1. Dla mnie brakuje najważniejszego pytania. Kiedy odpowiedzialny za to urzędnik i minister zostaną pociągnięci do odpowiedzialności za to co się stało?

    • Ale co się stało, przecież nic się nie stało. Pan jakimś wariatem jest i tyle (tak to jest sarkazm … jeszcze)

    • Osobiście jestem myśli, że zamiast witchhuntu najważniejsze jest by jak najszybciej zostało to zaadresowane. Metoda kija nie brzmi najlepiej w takim wypadku, ponieważ nikt nie chce tego później ruszać bo w razie jakieś kuchy zostanie potencjalnie obwiniony.

      Dużo chętniej bym widział akcje gdzie powstałby publiczny issue tracker dla projektów rządowych typu epuap, gdzie technicznie ogarnięci użytkownicy mogliby zgłaszać problemy, a zespół programistów by miał wtedy większy kontakt z rzeczywistością, niż odhaczanie wymagań zapisanych w zamówieniu publicznym.

    • Ulży ci jak zlinczują/utną palec/wyrzucą dyscyplinarnie jakiegoś urzędasa? Tobie nigdy nie zdarzyło się popełnić błędu w pracy? Nie myli się tylko ten kto nic nie robi.

    • Czego innego można oczekiwać po wrogich urzędnikach dodatkowo w okupywanym przez euro-kołchoz państwie ?

      W Polsce realne są tylko podatki . Cała reszta w tym przepisy prawa , dyrektywy wydaje UE co potwierdza ,że Polska istnieje co najwyżej tylko w teorii ,a politycy to marionetki .

    • @Maciej Urbański No to adresujemy:
      ul. Królewska 27
      00-060 Warszawa

      ;-)

    • Uwielbiam takie komunistyczne podejście rodem z naszego wielkiego polaka Feliksa Dzierżyńskiego. Głowa jest, paragraf zawsze się znajdzie. A myślisz, że po wywaleniu ludzi system cudownie się “naprawi”. Wiesz jaki jest efekt takich działań na dłuższą metę? Wszystkich sensownych i ogarniających szybko zwolnisz, zostaną tylko ludzie, którzy na pewno nie będą chcieli się niczego dotknąć bez ryzy papierów, zgód i procedur. Wprowadzisz tylko zamordyzm w organizacji który niczego nie zmieni a tylko spowolni jej działanie. To jest efekt właśnie szukania winnych.

    • Gal 2018.07.31 12:41
      Sam sobie zaprzeczasz. Skoro byli tacy dobrzy to dlaczego tak źle pracowali ?
      Według twojej logiki lepiej trzymać niewyedukowanych nieudaczników bo potrafią zrobić kawę ? niż zatrudnić normalnych ludzi , którzy po wdrożeniu ogarnęli by temat ?

  2. Próbowaliście usunąć konto ?

  3. Nie rozumiem problemu, przynajmniej ministerstwo wystawiło łatkę, pozwalającą szybko zmienić maila, bez jakiejś weryfikacji :P

  4. A od kiedy “pani w urzędzie” zakłada konta na PZ lub EPUAP?

  5. Inna sprawa – kurde, serio wiadomości tego rodzaju nie są nawet podpisane cyfrowo? Już nie wspominając o poprawnym ustawieniu DKIM, bo to faktycznie parodia. Tyle o podpisach, cały ePUAP opiera się przecież między innymi o PKCS#7 i prostego podpisu S/MIME nie są w stanie ogarnąć?

    • Ja się nie dziwię, znając sporo ludzi z działów IT pracujących w urzędach i ministerstwach mam wyrobioną opinię o dość niskich kompetencjach, gdzie których ludzie o większej wiedzy i umiejętnościach szybko uciekają do lepiej płatnych i przede wszystkich mniej zbiurokratyzowanych miejsc pracy.
      W końcu najważniejsze, aby była napisana procedura wysyłki maila, a nie by miała sens i obsługiwała dzisiejsze standardy.

  6. Kiedy to się skończy? Banki, smsy, apki, profile, strony rządowe – czemu ciągle coś wypływa? Taka fuszerka? Przecież podobno polscy programiści top 5 (top 3?) na świecie. WTF?

    • Programistów tak, ale system sam się nie wymyśli. Potrzebny jest ktoś kto przeprowadzi analizę biznesową, systemową a na końcu zaprojektuje całość i dopiero weźmie się za pisanie kodu.

  7. Zapewne ePuap tworzono po kosztach za użędniczą pensję, cieszmy się że go mamy!
    A gdyby tak podniesc pensje 5 krotnie informatykom którzy za 2000zł miesięcznie piszą narzedzia na skalę krajową, mieli by więcej marchewki na zachętę a my mniej narzekania. Firmy komercyjne zrobią to za miliony po przetargu a urzędy płacą swoim grosze … i jak ma być dobrze ?

    • Po kosztach? Epuap napisał Comarch. Państwo polskie wydało na to fortunę, na system który był tworzony przez komercyjnego dostawcę, właśnie w nadziei iż duży komercyjny dostawca się sprawdzi. Efekt jest taki jaki jest. Epuap to GNIOT. System, który od początku był źle zaprojektowany, źle rozwiązany i źle napisany. A kosztował na prawdę kupę kasy. Po tym jak wyszło, że draco jest dziurawe jak sito, powstał PZ, który był stworzony w przeciągu pół roku. Analizy były kończone jak była oddawana pierwsza wersja tego systemu. A potem powietrze z balonika zeszło i jest jak jest.

  8. ePUAPka^2 to przecież wszyscy wiedzą, że do zaorania jest… używam codziennie gdyż muszę i codziennie nie mogę się nadziwić jaki to knot państwo nam obywatelom zrobiło. Za grosz intuicyjności czy sensownego UI. Ale są jeszcze lepsze knoty (a może lepiej gnioty?) typu np. lsi.slaskie.pl (lokalny system informatyczny) które mam wrażenie są wyprodukowane przez (nie)skończoną liczbę kandydatów na informatyków. W kwestii publicznego IT Państwo Polskie jest nadal bardziej niż teoretyczne :-/

    • Wiesz, ten problem można bardzo prosto zdefiniować. Nazywa się – mieszanie polityki do merytoryki. Głównym problemem systemów państwowych jest to iż Ministerstwa czasami same nie wiedzą czego chcą. Powstała ustawa, która nierzadko jest wewnętrzne sprzeczna ze sobą, potem brakuje rozporządzeń które tłumaczą, co ustawodawca miał na “myśli”, potem do życia trzeba powołać kolejny rejestr o którym tak na prawdę nikt nic nie wie, ani jak ma działać, ani jak wyglądać. W między czasie zaczynają się ze sobą ścierać różne instytucje i interesy którym jest/nie jest na rękę powstanie danego rejestru. Efekt – masz zamkniętą analizę biznesową i systemową. Interfejs jest zaprojektowany tak “jak nam się wydaje że będzie OK”. Rozpoczynasz development. Przychodzi nowy Pan Minister i mówi iż w systemie chce mieć jeszcze to, to i to, a tego to nie robimy. W końcu pan Minister nie jest kontynuatorem polityki poprzednika tylko sam musi mieć sukcesy. Różne grupy nacisku dokładają swoje trzy grosze. Analiza biznesowa idzie do piachu. Systemowcy łamią sobie głowę jak to posklejać do kupy aby oszczędzić czas programistów bo przecież ten kod który już powstał, jest bez sensu bo nie spełnia założeń biznesowych. Witamy w Gov.

  9. Ok, ale problem dotyczy tych którzy zakładali profil przez rządowa stronę, jeżeli dobrze rozumiem. Można też zakładać poprzez niektóre banki…

  10. Dla mnie ta cała cyfryzacja wygląda na totalną amatorszczyznę portal S24 jest nie do przejścia dla przeciętnego Kowalskiego. Składanie dokumentów i instrukcje to jakaś parodia. Pisma do pobrania w doc ze strony ms.gov można w szkołach prezentować jako przykłady jak nie powinno się tworzyć dokumentów.

  11. Hmmm…. a na moim koncie nie ma opcji uwierzytelniania dwuskładnikowego, czy coś gdzieś powinno być jeszcze odhaczone, żeby się pojawiło?

  12. No tak, bo “rzecznika prasowego Centralnego Ośrodka Informatyki” po takim emailu, to powinien był siąść i zakodować nową funkcjonalność na produkcji od reki… Żeby dodać funkcjonalność do projektu, nawet jeśli to poprawka bezpieczeństwa, a tu to raczej nie jest to trzeba wejść w cykl rozwojowy, czyli zgłosić dostawcy zapotrzebowanie, potem priorytety, analiza, implementacja, testy i ewentualne wdrożenie… I każda firma “nie krzak” będzie tak funkcjonowała…

  13. Problem ‘niewylogowywania’ zniknął po ostatnim padzie wszystkiego kilka tygodni temu

  14. Chciałbym jeszcze zwrócić uwagę na pojęcie “adres elektroniczny”. Obecnie nie musi to być skrzynka na epuapie. Może być zwykły email. I Jeśli taki podamy – bierzemy na siebie odpowiedzialność za nieodebranie pisma.

    http://www.orzeczenia-nsa.pl/wyrok/ii-sa-rz-411-17/.html

    Dodam że testowałem to rozwiązanie… Kolega z zaprzyjaźnionego urzędu podesłał mi w ten sposób jakieś pismo na maila…. Podkreślam słowo “jakieś” . Bo pomimo posiadania niezbędnego do odczytania podpisu kwalifikowanego do dziś nie udało mi się przeczytać pisma … i nie wiem czy to aby nie była np. decyzja o przejęciu mojego domu … A fikcja doręczenia działa w tym przypadku ….

    • Nooo, heheh.
      Zapomniałem o sprawie, ale pewnie nie dałeś rady go odebrać i już nie odbierzesz. Ja natomiast mam poprawną fikcję doręczenia :)
      Zapomniałem powiedzieć komornikowi, że już nie masz gdzie mieszkać ;)

  15. Ja przez błąd Pani w urzędzie, przez 16 lat byłem zameldowany na mojej ulicy, ale pod całkowicie innym adresem, różniącym się o kilkanaście numerów. Na szczęście przez większość tego czasu byłem niepełnoletni, ale ciekawi mnie czy i jaka korespondencja urzędową dotarła do właściciela mieszkania w którym byłem zameldowany…
    Z drugiej strony ktoś zameldowany w ten sposób spokojnie mógłby zniszczyć życie właścicielowi mieszkania, a przynajmniej zmusić go do biegania po urzędach i komisariatach…
    Wg KRUSu z kolei jestem zameldowany 100km od mojego miejsca zameldowania. Też fajnie

    • > Z drugiej strony ktoś zameldowany w ten sposób spokojnie mógłby zniszczyć życie właścicielowi mieszkania, a przynajmniej zmusić go do biegania po urzędach i komisariatach…

      Zniszczyć życie? Przesadzasz. Kolejny, który wierzy w magiczną moc sprawczą meldunku?

    • Phi, u mnie rodzice byli zameldowani 18 lat pod różnymi adresami: mama prawdziwym, ale nieaktualnym panieńskim, a tata pod prawdziwym, ale przekręconym (nr. mieszkania zamiast nr. domu). Sprawa wyprostowała się dopiero jak wyrabiałem dowód i podałem w piśmie adres, którego pani nie miała w ewidencji, więc z ciekawości sprawdziła, gdzie mieszkają rodzice…

      A poczta? Miejscowość mała, listonosz jeden od lat, wszystkich zna, listy dochodziły.

  16. następny kwiatek, wysyłanie sms-a weryfikującego z numeru zastrzeżonego!! Pomijając możliwość nadużyć, to jeżeli masz załączony filtr dla tego typu wiadomości – z numerów zastrzeżonych – rzecz wiadoma!! Ach szkoda słów!!

    • Ale serio mają całkowicie puste pole sender? Bo alfanumeryczne to standard przy wysyłkach po API :)

  17. A tam daleko szukać urzędowych “pomyłek”. Po pewnym czasie okazało się, że mój kumpel ma kilka dokumentów, kont czy innych “rekordów” w różnych urzędowych miejscach pod różnymi imionami. Raz Bogdan. Inny raz Bogusław a inny Bogumił. Gdy zawsze i wszędzie podawał Bogdana. Panie po prostu wychodziły z założenia, że jak podaje Bogdan to trzeba to wpisać “poprawnie” na zasadzie: skoro podaje “Zenek” znaczy “Zenon”. “Tomek” to “Tomasz”. Więc sobie “poprawiały”. Odkręcenie tego trwało miesiącami

  18. Ale zdajecie sobie sprawę, ile się zarabia w Urzedzie, i że aktualnie urzędnicy idą pracować do biedy bo tam więcej płacą ? Dalej proponuje k****ić na “urzędasów”, że siedzą za wasze pieniądze, i żeby płacić mniej. Z pewnością wszystko będzie lepiej wyglądać.

  19. Podobno ten system trzeba było zaorać. Co on jeszcze robi?

    • Zaorano pomysłodawczynię zaorania. Widocznie ma być tak, jak jest.

    • Owszem. Powinno się go zaorać i napisać od początku, ale problem w tym, że został zrobiony
      za pieniądze z UE, więc do końca projektu i trochę jeszcze dłużej (nie wiem, na jaki okres był rozpisany projekt) nic z tym nie zrobią, bo musieli by oddać całe dofinansowanie do niego, a to podejrzewam naprawdę grube pieniądze :)

      Niestety będziemy skazani na ePUAP w takiej formie jeszcze długo …

  20. Ja już po elektronicznym zgłoszeniu chęci założenia profilu, umówieniu się w stosownym urzędzie i ZAŁOŻENIU profilu (przyszedł mail potwierdzający ten fakt) otrzymywałem informacje że mam jeszcze 6 dni na dokończenie formalności, a następnie, że wniosek utracił swą ważność. Wszystko już będąc posiadaczem Profilu Zaufanego. Brawo !

  21. Niestety banki również mają z tym kłopot. Wiem, że przynajmniej T-Mobile Usługi Bankowe oraz Nest Bank nie weryfikuje adresu e-mail przy zakładaniu konta. Chociaż przynajmniej w tym ostatnim przypadku przesyłają w ten sposób dane do pierwszego logowania. Czyli nie dokończysz procedury otwierania kąta bez dostępu do tej korespondencji.

    • A kąt ten ile stopni ma?

  22. Netia ma to samo. Jakiś koleś (wygląda na to, że ma to samo imię i nazwisko co ja) z Legnicy wykupił tam abonament i podał przez omyłkę mój e-mail (lub w salonie źle przepisali z formularza).

    Dostaję od nich wszystko – informacje o fakturach, wezwania do zapłaty, ponaglenia (on regularnie nie płaci w terminie). Nie mogę z tym nic zrobić, gdyż Netia nie uznaje mnie za abonenta i parokrotne zgłoszenia im tego nic nie dały.

    W pewnym momencie dostałem nawet (przez kuriera GLS) adres domowy tego delikwenta, gdyż system kurierski GLS wygenerował automatyczną informację o jakiejś paczce i wysłał na mojego maila. Chyba się zbiorę i wyślę mu w końcu zwykły list.

    Najśmieszniejsze jest to, że w pewnym momencie wykupiłem u nich internet i podałem tego samego maila. Teraz przychodzą na niego również moje faktury. :-)

    • Hint: jest coś takiego jak recipient-delimiter (i Exchange, i Postfix, a z dostawców chyba wszyscy poza WP/o2 i interią mają to ustawione standardowo, czyli na “+”). Sprawdź – zarówno jakisadres@example.com jak i jakisadres+test@example.com czy nawet jakisadres+blablablablabla12335245345@example.com powinny dojść na tę samą skrzynkę – a potem można takie maile katalogować po zawartości pola “do” albo wręcz dyrektywy RCPT TO, jak się ma dostęp do regułek Exchange’a ;)

  23. > Z drugiej strony ktoś zameldowany w ten sposób spokojnie mógłby zniszczyć życie właścicielowi mieszkania, a przynajmniej zmusić go do biegania po urzędach i komisariatach…

    > Zniszczyć życie? Przesadzasz. Kolejny, który wierzy w magiczną moc sprawczą meldunku?

    To ja proponuję dla przykładu kogoś sobie zameldować i spróbować potem to odkręcić bez wiedzy tej osoby, albo nie wpuszczać do miejsca zamieszkania. Rozrywka gwarantowana

    • Bzdura. Co do zasady do przebywania w lokalu uprawnia tytuł prawny do tego lokalu (własność, najem, itp.) – to samo zresztą, co potrzebne jest do dokonania czynności zameldowania. Samo zameldowanie jest czynnością materialno-techniczną i nie ma wpływ na cywilnoprawną stronę prawa do lokalu.
      W praktyce urzędy mocno czepiają się o konieczność zameldowania tam, gdzie się mieszka – zwłaszcza skarbówka.

  24. “ewentualny atakujący, nawet jeśli posiada nasz login i hasło, to nie zaloguje się na nasze konto i nie podmieni numeru telefonu na swój bez posiadania dostępu do naszego “starego” numeru telefonu”
    A co z duplikatami kart SIM? Czytajcie czasem własne artykuły :)

    • “Bez posiadania dostępu do starego numeru”

  25. Tylko jedno ale – by taka weryfikacja była skuteczna – przy potwierdzeniu z linka należałoby nie jak w sklepach wymagać samego kliknięcia w e-mailu, ale wymagać jeszcze przed zatwierdzeniem podania numeru PESEL (w tej wersji – ograniczenie do 3 prób użycia) lub bycia w tym czasie zalogowanym / zalogowaną do systemu ePUAP.

    Inaczej taka weryfikacja się na nic zda, bo od czasu powrotu z urzędu do komputera z klientem pocztowym mija zbyt wiele czasu. Osoba zainteresowana czyimiś danymi może kliknąć to za adresata.

  26. “Jeśli serwer docelowy obsługuje TLS’a to komunikacja jest szyfrowana (podawana jest informacja: Standardowe szyfrowanie (TLS)).” – czyli wystarczy się wciąć między serwery mailowe i kłamać, że TLS’a nie ma. Czy wtedy pójdzie mail nieszyfrowany, który można sobie przeczytać?

  27. Daleko szukacie. Jeśli jako urzędnik podpiszę pismo do Kowalskiego profilem zaufanym, to Kowalski dostanie dokument z informacją, że pismo podpisał Maciej XXXX, a jak kliknie w celu potwierdzenia, to widzi mój PESEL – i to dla Ministerstwa nie jest problemem, że numer ewidencyjny PESEL, który często używany jest do weryfikacji, idzie w świat.

    Samo korzystanie z EPUAPu to temat rzeka, zresztą po stronie urzędniczej znam 1 JEDEN system, który działa całkiem sprawnie (przynajmniej w testach) – ale jeszcze nie wszedł do użytku :) A jako obywatel, to tylko KRS działa w miarę sensownie – chociaż bywają kwiatki, że tydzień jest niedostępny :)

    • Urzędnik jest osobą publiczną, więc jego dane są w podpisie na tej samej zasadzie, jak prezesa spółki z o.o. czy jej udziałowców znaczących w KRS ;)

  28. Niezaszyfrowane wiadomości w gmailu ostatnio to jakaś plaga, szukam pracy wysłam cv i inne dokumenty itp i też dostałem kilka maili nie zabezpieczonych nawet przez gmaila.
    A niektóre mają dziwnie ustawione nazwy adresu/domeny dodatkowo.

    • Mylisz szyfrowanie z poprawnie ustawionym DKIM, bo właśnie to triggeruje “czerwoną kłódkę” w g****mailu.

  29. Nieprawdą jest: Na skrzynkę e-mail nie spływa korespondencja urzędowa – właśnie otrzymałem odpowiedź wysłaną na skrzynkę e-mail podaną w ePUAP.

    • A kto powiedział, że nie spływa? Spływa jak najbardziej, ale jeśli jest ona wysłana w trybie doręczenia (musisz potwierdzić podpisem elektronicznym odebranie, żeby zobaczyć wiadomość), to jej nie zobaczysz, bo nie uda Ci się potwierdzić odbioru.

  30. A wiecie jak wygląda dodawanie pracowników do konta ePUAP urzędu? Człek zakłada konto na ePUAP i przekazuje administratorowi login. Wtedy administrator wysyła zaproszenie do takiego delikwenta (weryfikacja loginu działa tylko na zasadzie “jest czy nie ma takiego loginu na liście kont). Problem się zaczyna, kiedy pani Zosia (która miała być dodana do konta urzędu) mówi, że nie otrzymała żadnego zaproszenia. Po krótkiej weryfikacji pani Zosia mówi “Ojej! Pomyliłam się w loginie”. Administrator, spocony i z trzęsącymi się rękami szuka opcji wycofania takiego zaproszenia, żeby obcy człek nie zalogował się do systemu o północy np. i nie pościągał wszystkich pism urzędu coby sobie je później do poduszki poczytać. I tu niespodzianka, nie ma takiej opcji, a infolinia ePUAPU mówi “oj tam, oj tam, CHYBA to zaproszenie jest ograniczone czasowo, a potem można sobie to konto wyciąć z systemu”. Tylko zaraz po tym jak sobie ściągnie ten typ wszystkie pisma czy zaraz po tym jak wpadną smutni panowie w sprawie wycieku danych?

  31. Brak weryfikacji emaila to problem także w systemach bankowych – Orange Finanse prowadzone przez mBank również w tym zakresie ma bezpieczeństwo mniejsze niż byle blog na wordpressie.
    Otrzymuję na mój email wszystkie wyciągi i komunikaty od mbanku / orange finanse innej osoby o takim samym nazwisku. Ona albo urzędnik pomylili przy wpisywaniu kolejność imienia i nazwiska, a że żadnej weryfikacji nie ma, to całą tajemnicę bankową szlag trafia.

    Podobnie zresztą jak własne formularze wymagane przez banki do potwierdzenia przez pracodawców zatrudnienia i zarobków, wyjawiają fakt ubiegania się o kredyt w tych bankach pracodawcom. Stawia to pracowników od razu na niekorzystnej pozycji w jakichkolwiek negocjacjach i z RODO oraz zachowaniem tajemnicy bankowej ma niewiele wspólnego. Niestety mało który bank powstrzymuje się przed umieszczeniem swojego logo na takich formularzach.

  32. przecież rejstracej robi uzytkownik, urzędnik jedynie spr dowód

Odpowiadasz na komentarz Gazag

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: