22:10
19/7/2016

Kosztowny państwowy system ePUAP dba o bezpieczeństwo obywateli implementując zalecane mechanizmy bezpieczeństwa. Serwis, jak przystało na kosztujący 120 milionów projekt, oferuje m.in. dwuskładnikowe uwierzytelnienie. Aby się dostać do konta, poza loginem i hasłem, od obywatela wymagany jest dodatkowy kod wysyłany e-mailem lub SMS-em. Problem w tym, że ominięcie wymogu podania kodu jednorazowego podczas logowania jest banalnie proste. Jeszcze w maju problem zgłosiliśmy do COI (Centralnego Ośrodka Informatyki działającego pod kontrolą Ministerstwa Cyfryzacji), ale pomimo wielu zapewnień, że dziurę usunięto, do dziś wymóg podania kodu jednorazowego wciąż można ominąć…

“ePUAP należałoby zaorać”

Wspominaliśmy już na łamach Niebezpiecznika, że obecna Minister Cyfryzacji najchętniej “zaorałaby” projekt ePUAP. Ze swoich źródeł wiemy, że doradcy w Ministerstwie Cyfryzacji jeszcze za czasów ministra Trzaskowskiego doradzali podobnie drastyczne rozwiązanie problemu — “wrzucenie granatu”. Niestety, to niewykonalne i na ePUAP obywatele są po prostu skazani. Trzeba go więc sukcesywnie łatać, ale jak pokazuje ta historia, nawet z tym jest duży problem…

Logowanie prawie dwuskładnikowe

Pewien Czytelnik w drugiej połowie maja zgłosił nam, że w ePUAP-ie można bardzo łatwo ominąć logowanie dwuskładnikowe. Wystarczyło wejść na stronę ePUAP, podać login i hasło, a gdy wyskoczyło okno proszące o podanie jednorazowego kodu (przesyłanego e-mailem lub SMS-em), wystarczyło to okienko zamknąć krzyżykiem… Potem trzeba było odczekać kilkadziesiąt minut i… voila! Po ponownym klinięciu na “Zaloguj” uzyskiwało się dostęp do konta bez konieczności podania kodu autoryzacyjnego.

epuap

Powodem takiego a nie innego zachowania systemu może być błędna obsługa wyjątku. System czeka X czasu na podanie kodu, a kiedy się nie doczeka, mimo wszystko kontynuuje proces logowania lub zmienia stan sesji użytkownika tak, że podczas kolejnego logowania ta sesja jest już traktowana jako uwierzytelniona.

Co ciekawe, w czasie jednego z naszych testów nastąpiło jakieś opóźnienie w wysyłaniu e-maili z kodami — e-mail z kodem w ogóle nie przyszedł. Ale dzięki wykorzystaniu luki i tak udało się uzyskać dostęp do konta!

Kilka razy w trakcie testów zdarzyło się też, że po zalogowaniu z użyciem wspomnianej luki strona ePUAP traciła fason (nie ładował się CSS). Niezależnie od tego, można jednak było wykonywać operacje na koncie.

epuap_po_zalog

Poprawka w (długiej) drodze

Będąc pewnymi co do istnienia błędu, skontaktowaliśmy się z Centralnym Ośrodkiem Informatyki (to oni są obecnie odpowiedzialni za ePUAP, choć nie oni go popsuli). Rzeczniczka COI, Katarzyna Jedlińska, powiedziała nam, że ośrodek wie o problemie i zamówił stosowną poprawkę od “zewnętrznego podmiotu”. Poproszono nas również o nieopisywanie sprawy, dopóki luka nie będzie załatana. To było jeszcze w maju.

Skończył się maj, przeleciał czerwiec, zaczął się lipiec. Mieliśmy być powiadomieni o załataniu luki, ale COI się do nas nie odezwał. Tymczasem, luka wciaż była niezałatana. 11 lipca wciąż udało nam się skutecznie zalogować do ePUAP z pominięciem wymaganego kodu jednorazowego. Wtedy też ponownie zwróciliśmy się z pytaniami do COI. Jego przedstawiciel, Marek Rozbicki, powiedział nam, że firma Comarch wreszcie przygotowała poprawkę:

Otrzymaliśmy poprawkę, która przeszła wszystkie niezbędne testy. Wdrożenie poprawki jest zaplanowane na dzień najmniej inwazyjny, będzie to sobota 16 lipca

I choć poprawka powinna być już dawno wdrożona, to w poniedziałek dalej byliśmy w stanie logować się na konto ePUAP bez podawania kodu jednorazowego. Różnica polegała na tym, że przy logowaniu w ogóle nie padało pytanie o kod jednorazowy. Wystarczyło, że podaliśmy login, hasło i zalogowało nas do systemu, mimo iż w ustawieniach konta wciąż zaznaczona jest opcja “Dodatkowo potwierdzaj logowanie do ePUAP kodami do autoryzacji”.

Dziś system znów pyta o kod jednorazowy, ale dalej można pominąć jego podawanie, dokładnie w ten sposób, jaki w maju opisaliśmy COI. Łatka Comarchu chyba mimo wszystko jednak coś naprawiła — teraz style CSS ładują się bez problemów… ;)

Ta dziura może pomóc niektórym użytkownikom ePUAP-u doświadczającym innego błędu systemu

Skoro dziury nie da się usunąć, spróbujmy doszukać się w niej jakiegoś pozytywnego aspektu. Ta luka może przydać się osobom, które całkowicie utraciły dostęp do konta ePUAP ze względu na stratę dostępu do swojej skrzynki e-mail lub telefonu, które wykorzystały podczas rejestracji w systemie.

Problem takich nieszczęśników był poruszany w Dzienniku Internautów — w razie utraty dostępu do telefonu lub e-maila (tego używanego do autoryzacji) nie da się bowiem odzyskać swojego konta nawet idąc do urzędu i stając przed urzędnikiem. Można tylko unieważnić profil zaufany w jednym z punktów potwierdzających, następnie trzeba założyć nowe konto oraz złożyć nowy wniosek o profil zaufany, który trzeba potwierdzić kolejną wizytą w urzędzie. Niestety traci się w ten sposób dostęp do dokumentów zgromadzonych na pierwszym koncie. Osobną sprawą jest czasochłonność tej procedury.

Korzystajcie więc, póki możecie, zablokowani użytkownicy ePUAP-u. Po ominięciu dwuskładnikowego uwierzytelnienia, wyłączcie je w ustawieniach konta — możecie to zrobić bez dostępu do telefonu i e-maila. Potem na spokojnie możecie zgrać dokumenty z konta.

Pozorne zabezpieczenia w ePUAP…

“Niezałatanie” luki zajęło COI i Comarchowi dokładnie 54 dni od czasu, gdy my się o niej dowiedzieliśmy. Sama luka istniała jednak już wcześniej i została do ePUAP-u zgłoszona przez naszego czytelnika. Zdajemy sobie sprawę, że logowanie dwuskładnikowe nie jest obowiązkiem na ePUAP, niemniej część użytkowników życzy sobie tego dodatkowego zabezpieczenia i nie jest dobrze, jeśli to zabezpieczenie jest jedynie pozorne.

Na koniec przypomnijmy, że Ministerstwo Cyfryzacji zleciło audyt systemu ePUAP. Wykazał on wiele nieprawidłowości, które opisaliśmy w artykule “ePUAP należałoby zaorać“, bazując na fragmentach ministerialnego raportu, jakie wpłynęły do redakcji Niebezpiecznika.

Jakiś czas temu, członek stowarzyszenia Sieć Obywatelska, Karol Breguła (vel Adam Dobrawy) złożył wniosek o dostęp do informacji publicznej, którego celem było pozyskanie pełnego raportu z wspomnianego wyżej audytu. Z Ministerstwa Cyfryzacji Karol otrzymał ocenzurowaną kopię raportu, bez podania podstawy prawnej usunięcia poszczególnych fragmentów. Z tego powodu, Karol złożył skargę do sądu, w odpowiedzi na którą otrzymał od pełnomocnika COI pismo, w którym COI twierdzi, że adres e-mail Karola według CERT i McAfee jest w złośliwej domenie .tk, a w dodatku utrzymuje on kontakty z hackerspace.pl (brzmi groźnie, prawda?).

missing_filename
missing_filename-1

Idąc tym tokiem myślenia, ostrzegamy, że BMW to samochód gangsterów. A Karolowi radzimy pobranie plakietki McAfee “Hackerproof” — wystawiają ją każdemu. Jej wstawienie na stronę powinno udowodnić, że domena jest wolna od zagrożeń. O ile oczywiście pełnomocnicy COI nie mają w umysłach zahardcodowanego regexa, że każde wystąpienie ciągu .*hacker.* == zło. Gdyby mieli, to do każdego pisma sugerujemy dołączać ten kamień antywirusowy (działa, potwierdzone info!)

Aktualizacja 20.07.2016, godz. 16:00
Otrzymaliśmy oświadczenie w powyższej sprawie od Marka Rozbickiego z COI:

W nawiązaniu do naszej rozmowy oraz publikacji, która została umieszczona w serwisie Niebezpiecznik.pl chcemy poinformować, że temat dwuskładnikowego logowania jest pod stałym monitoringiem COI, a za realizację odpowiada wykonawca systemu.

W ostatni weekend wdrożyliśmy kilkadziesiąt poprawek dotyczących ePUAP wgrywanych kaskadowo, w tej grupie znalazły się także zagadnienia dotyczące bezpieczeństwa.

Poprawka odnosząca się do dwuskładnikowego uwierzytelniania niestety została zwrócona do dostawcy. Pilnujemy tej sprawy i dokładamy wszelkich starań, by wykonawca wywiązał się ze swoich zobowiązań.

Pamiętajmy jednak, że funkcjonalność dwuskładnikowego uwierzytelniania jest dodatkową opcją zabezpieczenia, którą stosuje obecnie ok. 18 000 użytkowników ePUAP (użytkownicy logujący się w lipcu 2016 r.) spośród ponad 1 550 000 wszystkich użytkowników ePUAP, co stanowi ok. 1,2% wspomnianych użytkowników korzystających z tego sposobu uwierzytelniania.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

77 komentarzy

Dodaj komentarz
  1. No i mamy naszego zero-day’a “epuap” – za angielska brzmi prawie jak “dupe” ;]

  2. #zaorać!

    • i las zasadzić

    • ale chyba nie krzyży?

    • BRZÓZ! :D

  3. Ja wciaz jestem pelen podziwu ze CBA i NIK nadal nie zabraly sie za interesy Comarchu z instytucjami panstwowymi…
    Chociaz moze i lepiej. Bez nich cala idea ePanstwa leglaby w gruzach bo zadna inna firma nie chcialaby sie babrac w ich programistycznych potworach :O

    • Comarch, Sygnity itp. i zawsze jest płacz. Jak przychodzi co do czego to Asseco Jednak jest spoko :)

    • A czego się można spodziewać po firmie której maksyma to:
      „Każdego programistę można zastąpić skończoną ilością studentów.”

    • ponoć prezes ma tą maxymę wypisaną dużą czcionką na ścianie obok portretu Gomułki (czy który to tu teraz rządzi, nie jestem na bieżąco), tak żeby pracownik “stojąc na dywaniku” nie omieszkał ją zauważyć.

    • Chyba już się zabrały – był dziś jakiś nalot CBA na Comarch…
      http://www.bankier.pl/wiadomosc/CBA-weszlo-do-IBM-i-Comarchu-7441572.html

    • Mnie to ciekawi raczej co za debil przyjmował tak dziurawe oprogramowanie? Przecież jak dostajesz G.. i masz za to płacisz to mówisz że nie przyjmujesz dopóki to nie zacznie działać… Kod też warto zaudytować

    • 1. Odnośnie Comarchu i IBM słyszałem jakieś 2 dni temu, że CBA ich odwiedziła.. chyba
      2. Jeżeli chodzi o maksymę o zastępowaniu specjalistów studentami, słyszałem kiedy 2m-ce temu w Radiu Maryja, jako jakiś gościu z MONu wytykał błędy poprzedniego rządu mówiąc coś w stylu: wyobraźcie sobie Państwo, że mamy tylu zdolnych informatyków, a PO zatrudniała firmy zewnętrzne i płaciła in nawet 590 PLN/h …” i po chwili “… sam bym chciał tyle zarabiać”
      Ludzie myślą że da się to zrobić jak w niektórych grach: praca czterech tańszych chłopków = praca jednego droższego chłopka.

  4. Ciągle jest też niezałatana luka (zgłaszałem to jeszcze w zeszłym roku), która umożliwia założenie profilu dowolnej osoby w ePUAP (trzeba znać tylko PESEL, imię i nazwisko) i za jego pomocą zalogować się do ZUS, podpisywać w ZUS dokumenty, wydawać dyspozycje, przeglądać swoje saldo, informacje o podstawach składek, historię L4, sprawdzić numer dowodu osobistego, numer rachunku, adres zamieszkania informację o członkach rodziny, świadczeniach itp. Wystarczy 3 min. klikania. :))))

    • łooooo :O nie wiem czy powinieneś się tym tak publicznie dzielić :D

    • Możesz rozwinąć? Mówisz że da się zalogować do PUE ZUS korzystając z konta na ePUAPie bez profilu zaufanego ?

    • Sprawdzałem ten trick z zusem, nie wiem kiedy to sprawdzałeś ale na obecną chwilę nie da rady, potrzebny jest profil zaufany ;)

    • Sprawdziłem – da się, ale trzeba to tylko odpowiednio wyklikać.
      Nie wiem, dlaczego nie powinienem otwarcie o tym pisać? Skoro blisko rok temu zgłaszałem to do ZUS, GIODO oraz Ministerstwa Administracji i Cyfryzacji i zostałem “zlany”, to chyba dlatego, że jest to taka funkcjonalność, a nie błąd.

    • oi, profil zaufany owszem też jest potrzebny (i chyba to jest główne zabezpieczenie w całym rozwiązaniu). Po utworzeniu nowego profilu, musisz nadać mu prawa administracyjne zaufanemu profilowi. Następnie w profilu zaufanym je akceptujesz. Wylogowujesz się i logujesz do ZUS profilem zaufanym. Jesteś proszony o wybór podmiotu, którym chcesz się zalogować. Ot i cała ukryta funkcja. :)

    • Państwo ufa swoim obywatelom, czego potwierdzenie jest nadanie profilu zaufanego. I skoro ktoś robi z takiego profilu zaufanego administratora swojego konta, to czemu on miałby nie być zaufany, skoro każdy mu ufa? ;)
      Tylko pamiętajcie, żeby zaufania nie nadużywać, bo jeżeli np. w ten sposób zaufa osoba, która ma firmę, to ‘zarządca’ tym profilem ma oczywiście także dostęp do danych pracowników tej firmy. Nie wiem jak to jest z lekarzami. Tzn. czy w ten sposób także można np. wystawiać L4 w nowym systemie.
      Gdyby ktoś sprawdził, to dajcie znać. ;)

    • Mietek – chyba juz nie dziala to w ten sposob lub cos zle robie – po uzyskaniu roota nad obcym kontem epuap z mojego zaufanego profilu przy probie rejestracji konta w ZUS dostaje blad:

      https://pue.zus.pl/portal/bladEPUAP.npi

      Błąd uwierzytelnienia poprzez EPUAP.

    • Pewnie nie wylogowałeś się na stronie ePUAP.

    • takie głupie pytanie zadam…
      jak się nadaje prawo administratora w epuapie?

    • Zarządzanie kontem -> Uprawnienia -> Zaproś osobę. :)
      Potem musisz się przelogować, zaprosić zaproszenie i się wylogować.

  5. Przepraszam. Drobna poprawka do tego co wyżej. Nie swoje saldo w ZUS, tylko osoby, której profil tworzymy. :)

    • Mieciu a kto Ci ten profil sąsiada potwierdził ???. Fakt, wyklikać można wiele ale bez szaleństw. Żeby twój plan się powiódł musisz znać dane czyli tak jak pisałeś złożyć wniosek prze e-PUAP i tu się temat kończy bo z dokumentem tożsamości musisz się przespacerować w ciągu 14 dni do urzędu skarbowego lub wojewody lub ZUS lub konsula. Jak Ci sąsiad pożyczy dowód lub prawko, założysz czapkę i okulary słoneczne twój plan może się udać ;-). Pozdrawiam

    • Raf nie musi iść iść do żadnego urzędu. Wystarczy że taki niezaufany profil samodzielnie podepnie sobie pod swój zaufany ePUAP (nadając uprawnienia administratora) i w ZUSie przejdzie.

  6. Czytam i nie wierze, co za gowno comarch stworzyl …. Przepraszam za slowa ale to sie nie miesci w glowie, kto za to zaplacil i dlaczego jeszcze nie siedzi w wiezieniu , ja uzywam epuap i uwazam sama w sobie inicjatywe za sluszna , sam kilka razy uzywalem i uratowala mi kilkaset kilometrow podrozy , ale sorry , to jest efekt jednego slusznego uslugodawcy , gruba kasa tam poszla w swoja strone , i ktos za to powinien zaplacic wiezieniem … sam kiedys trafilem na sytuacje ze certyfikat epuap nie byl autoryzowany na starszej przegladarce poniewaz lista CA nie byla uaktualniona a CI totalnie nie wiedzieli wtf …
    pozdrawiam caly team niebezpiecznika !!!!!

    • TO NEI COMARCH!! – to asseco stworzylo na jakims najdrozszym i najgorszym na rynku systemie xml – comarch dopiero to niedawno dostal w spadku bo nikt nei chial w Polsce sie tym zajać – a nadzor ma COI ktore naprawde dobrze pracuje – sa tam ludzie ze swiata opensource dl aktorych dzialanie i nierzawodnosc systemu sa wazniejsze niz zakup gownianego systemu zeby sie nahapac

    • Asseco, Comarch, Accenture – to są firmy które zrobią g… z każdego oprogramowania którego tworzenia się podejmą… Złamanego grosza za ich soft bym nie dał, zwłaszcza ten pisany dla dużych firm i instytucji. Ale tak jak już ktoś pisał : zatrudniają jak najtańszych studentów i każą im siedzieć nadgodziny to nie dziwne….

  7. Aż się prosi do nich wysłać maila z domeny hackedby.tk na której by widniał napis “Hacked by hackspace.pl” z czarnym tłem i obrazkiem Anonymous.
    Ciekawe co by wtedy zrobili ? Otworzyli by maila czy raczej walnęli do kosza ?
    Bo skoro otworzyli i przeczytali e-mail oraz korespondowali to gdzie tutaj logiczne myślenie ?

  8. Spróbujcie też zmienić hasło po resecie, mi wywala błąd, że: “Nowe hasło musi się różnić od aktualnego hasła”. Nie wiem, czy mojego starego, czy wygenerowanego przez epuap, ale wpisałem coś zuepłnie randomowego i taki sam komunikat otrzymuję.

    • A może nowe hasło ma się różnić od hasła po zmianie? :-)

  9. dobrze ze nawet nie wiem co to epuap? :)

    • Zależy. Jak nie przeszkadza Ci, że Twój sąsiad, czy kolega z działu obok weźmie Twój PESEL i sprawdzi sobie np. ile zarabiasz, to faktycznie nie musisz wiedzieć, co to ePUAP.

  10. Czy się COI podoba, czy nie, skarga jest zasadna, czy nie, to ma obowiązek przekazać ją do sądu. Co sąd z tym zrobi, to inna sprawa. W tym przypadku przypuszczam, że nakaże usunąć braki formalne – podstawę wyłączenia części raportu a o nią tu nie trudno.

  11. Podobne problemy są na platformie Polskiej Straży granicznej, gdzie zaleca się stosowanie Firefoxa w wersji 42.0.1 do dodania podpisu kwalifikowanego, co jest nie możliwe, przy użyciu Explorera w AAD(akt absolutnej desperacji) CSS-y rozwalają się tak, że nie można się zalogować.
    Problem zgłaszamy od ponad miesiąca…i nic się nie zmienia.

  12. Nawet jeśli ktoś włamie się na moje konto w ePułapce to i tak nic nie zrobi.
    Głupie wysłanie wniosku o dowód osobisty graniczy z cudem. System co chwilę się wiesza lub trzeba zapisywać wypełniany wniosek co 15 sekund bo zostanie się wylogowanym (tak zmniejszają obciążenie serwerów ;-) ) – timeout max 30 s. Do tego wnioski mają błędy.
    Następnym kuriozum jest to, że urzędnicy mają problem z wysyłaniem zwrotnej informacji na moją skrzynkę. Wielkie LOL i brawa.
    Niech tylko MC weźmie się za eDowód lub o zgrozo dane medyczne! Uciekam z tego kraju wtedy.

    • Kiedyś chciałem złożyć wniosek o dowód osobisty przez epuap. Przerwa techniczna. No nic, to wypełniam i drukuję wniosek, zanoszę do urzędu. A tam jak zobaczyli że wpisałem adres do powiadamiania w epuap to powiedzieli “to nie trzeba, i tak nie powiadamiamy” :D
      Przynajmniej tyle że dało się sprawdzić stan realizacji po wpisaniu numeru wniosku na obywatel.gov.pl

  13. Odniosę się do samej kwestii poprawki z Comarchu. Kiedyś znajomy dyrektor z pewnego ministerstwa mówił mi jak wygląda u nich drobna/głupia zmiana “czegoś” na stronie internetowej. Nawet pytał czy za bajońską jak dla mnie w tamtym czasie kwotę mogę mu to zmienić bez przetargu i rozpoczynania całej wielomiesięcznej procedury. Mowa była o kwocie maksymalnie możliwej aby nie robić przetargu ale i tak stanowiła 1/5 tego co musiałby zapłacić jednej z firm “informatyzujących” Polskę. Jak to w ministerstwach bywa, przyszły wybory, miotła pozamiatała i kontraktu nie było. Na stronie pozostał jednak syf i nieaktualne informacje. Jak ktoś ma kontakt z administracją publiczną to nie dziwi go ta cała sytuacja z ePUAP-em aka eDupą i wie, że to codzienność.

    Popieram Panią minister choć zupełnie mi nie leży jej przełożona – ePUAP trzeba zaorać i zbudować od zera z uwzględnieniem minimum dobrych praktyk i rozsądku. Łatanie nic nie da bo każdy wie jak wygląda łatana na okrągło jezdnia a jak nowo wylana nawierzchnia. Tak samo jest z oprogramowaniem.

    • Ciągle jesteśmy na etapie – Pan minister itd jak sam piszesz. Dopóki będą się takimi rzeczami zajmowali politycy + ich pociotki w ministerstwie + urzędasy, a nie ludzie którzy się na tym znają, to nadal będą przyjmować taki soft od badziewnych firm. O BTW jeszcze zapomniałem o PKW, jako kolejny przykład nie rozumienia tematu. Leśne dziadki myślały że soft się zrobi w miesiąc…..

  14. Dzisiaj się logowałem i nie pyta w ogóle o kod jednorazowy.

  15. Dziwne że tyle lat nie wypływa sprawa tzw. Nowego SIO tam dopiero się popisali, ale widać zbyt wąskie grono w tym się orientuje by sprawa była medialna …

    • A to ciekawe
      Możesz rozwinąć?

  16. Jak czytam takie odpowiedzi z MC jak na obrazkach powyżej, to normalnie skacze mi ciśnienie. Zastanawiam się, kto tam pracuje. Normalnie aż mi szkoda moich podatków. Aż mam ochotę również wysłać do nich wniosek o dostęp do informacji publicznej w tej samej sprawie (nigdy tego jeszcze nie robiłem, będę wdzięczny za wszelkie wskazówki co i jak zatytułować, na jakie art. prawne się powołać itp.) i zobaczyć, czy cenzura takiej informacji “publicznej” obejmuje wszystkich obywateli, czy może jest to jawna dyskryminacja “wybrańców” ze strony urzędu. Oczywiście w takim przypadku korespondencję z MC mogę prowadzić tylko ze swojego służbowego maila, albo założę nowego dla zmyłki… wróć, dla wybielenia mojej osoby w oczach urzędu – z obecnego prywatnego maila nie mogę do nich pisać, bo też udzielam się na liście dyskusyjnej warszawskiego hackerspace :P i jeszcze zostałbym uznany za kryminalistę. Normalnie witki opadają.

    • art. 2 ust. 1 ustawy o dostępie do informacji publicznej z dnia 6 września 2001 r. (Dz. U. z 2001 r. Nr 12, poz. 1198)

  17. Robiłem trochę rzeczy dla Min. Finansów i Min. Zdrowia jako podwykonawca podwykonawcy wykonawcy :) Wszystko najgorsze, co można sobie próbować wymyślić na temat realizacji projektów informatycznych, tam już jest. Książki można by o tym pisać, tylko trzeba mieć stalowe nerwy. Ja odpadam, nie wchodzę w to więcej.

  18. CHDIKK wyłazi gdziekolwiek nie spojrzeć.

  19. Najwidoczniej w naszym państwie krąży wewnętrzny dokument, który nakazuje urzędniką, instytucją państwowym i wszystkim firmą wykonującym projekty dla państwa opóźnić wszystkie sprawy tak bardzo jak to tylko możliwe.

    • A ja Ci nakazuje sprawdzić jak pisze się urzędnik, instytucja i firma w celowniku liczby mnogiej ;)
      A co do eDupy… No cóż tak bywa jak za gruby hajs zyja prezesi, a zadania wykonuja studenci na stażach ;)

  20. “Łatka Comarchu”
    i wszystko jasne

  21. Sprawdzaliście w SIWZ? Może tam było tak wyspecyfikowane, że ma tak działać ? xD

  22. Drogi Niebezpieczniku!

    Dlaczego jest tu tyle ciekawych artykułów, a brakuje news’a, który przebija wszystkie inne newsy związane z bezpieczeństwem odkąd tylko Internet jest w Polsce?

    Otóż ustawa hazardowa zakłada stworzenie podwalin technologicznych i organizacyjnych pod Państwowy Firewall, który prędzej czy później może przerodzić się w coś na wzór “Great Firewall of China”.

    To będzie piękny Proof of Concept dla blokowania innych stron – wystarczy je wpisać do tego rejestru stron “zakazanych” i po sprawie, później najwyżej dostosuje się przepisy, żeby zalegalizować wpisanie tam stron nie związanych z hazardem, ale np. “zagrażających bezpieczeństwu publicznemu”.

    Oddajemy władzę nad tym, co możemy, a co nie czytać i oglądać URZĘDNIKOM. Czy to nie jest początek cenzury?

  23. My tu o ePupie (skądinąd słusznie ) a w Polsce poziom zagrożenia w strecie cyber na poziomie Delta…

  24. A co to jest za skrypt

    blockUI plugin

    https://hetman.epuap.gov.pl/DracoEngine2/javascripts/jquery.blockUI.min.js

  25. A może zamiast systemu za kilkaset mln zł, wykorzystać dowolne konto e-mail + podpisy i szyfrowanie GPG?
    Weryfikacja podpisu odbywałaby się podobnie jak przy epuap w urzędzie, a więc później możnaby już wysyłać korespondencję poprzez zwykły e-mail. Prosto, tanio, bezpiecznie.

    • Urząd, który karze zamykać konto tylko dlatego, że straciłeś np. kartę SIM to chyba urząd made in stodoła. Urzędnik co nic nie może to lepiej go zwolnić, bo on i tak nic nie może. To tak jakby kazaliby komuś w banku skasować konto tylko dlatego, że zgubiłeś kartę bankomatową.

  26. Póki nas nie zalali betonem, nie powinniśmy się poddawać – niezależnie od przepisów. Państwowe “dziurawce”, nienależycie chroniace nasze dane (które przecież MUSIMY przekazywać), zdecydowanie powinny być poddane pod presję społeczeństwa. Dobrze się zaczęło ze społecznymi konsultacjami do założeń strategii cyberbezpieczeństwa, być może dobrze byłoby wykorzystać i tę okazję: https://mc.gov.pl/aktualnosci/rozpoczelismy-konsultacje-programu-zintegrowanej-informatyzacji-panstwa

  27. Dziwi mnie że pozwala na takie cos …

    https://epuap.gov.pl/themes/standard/HELLO….ff%20%20%20Explanation:%20Either%20the%20file%20requested%20is%20specifically%20blocked%20by%20a%20Fail%20directive%20or%20it%20does%20not%20match%20any%20of%20the%20files%20that%20are%20allowed%20to%20be%20accessed%20according%20to%20other%20request%20mapping%20directives.%20….MY…….Friend..jjj%20fggg%20%20URL:%20/themes/standard/HELLO……..MY…….Friend..jjjjjjj%20https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…..https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…….Niebezpiecznik/..Niebezpiecznik/%20https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…….Niebezpiecznik/,,,https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…….Niebezpiecznik/https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…….Niebezpiecznik/%20%20https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…….Niebezpiecznik/%20%20%20%20%20%20%20%20%20jjjjjjjjjjj%20%3C!DOCTYPE%20html%3E%3Chtml%20lang=%22pl%22%20prefix=%22og:%20https://ogp.me/ns%20%20URL:%20/themes/standard/HELLO……..MY…….Friend..jjjjjjj%20https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…..https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…….Niebezpiecznik/..Niebezpiecznik/%20https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…….Niebezpiecznik/,,,https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…….Niebezpiecznik/https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…….Niebezpiecznik/%20%20https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…….Niebezpiecznik/%20%20%20%20%20%20%20%20%20jjjjjjjjjjj%20%3C!DOCTYPE%20html%3E%3Chtml%20lang=%22pl%22%20prefix=%22og:%20https://ogp.me/ns%20jjjj%20https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…..https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…….Niebezpiecznik/..Niebezpiecznik/%20https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…….Niebezpiecznik/,,,https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…….Niebezpiecznik/https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…….Niebezpiecznik/%20%20https://epuap.gov.pl/eprThemeStandardStatic/themes/standard/HELLO……..MY…….Friend..KTO…TU….RZADZI…….Niebezpiecznik/%20%20%20%20%20%20%20%20%20jjjjjjjjjjj%20%3C!DOCTYPE%20html%3E%3Chtml%20lang=%22pl%22%20prefix=%22og:%20https://ogp.me/ns

  28. A to chłoptasie… 1,2% to potencjalnie właśnie ci użytkownicy którzy korzystają z tej luki…. ? Do celów niezgodnych z prawem.

    Zabezpieczenie luki w tego typu sytuacji to jakieś ~15-20minut no… dla laika pewnie z 1h pracy. Wraz z wrzuceniem aktualizacji. No ale na łatce też pewnie trzeba zarobić :)

  29. To z ciekawostek w temacie powiem wam o zauważonej przeze mnie przypadłości z ePuap, a mianowicie pewne operacje istotnie wymagały potwierdzenia kodem jednorazowym. Niestety na mój adres e-mail przychodzi zawsze CO DRUGI kod :/ Przykładowo chcę podpisać dokument profilem zaufanym i wyskakuje prośba o potwierdzenie kodem – ale go nie otrzymuję. Klikam anuluj, wykonuję tą samą operację, znów prośba o kod – i tym razem na moją skrzynkę trafia kod nr 2. Inne dalsze operacje to samo – kod nr 3 nie przychodzi, dopiero kod nr 4 przychodzi mi na skrzynkę.

    Przypadek? Nie sądzę!

    • Potwierdzam, mam to samo. Dodatkowo jeśli podpisujesz dokument z zewnętrznego systemu (np. s24) to po próbie podpisania pozostajesz zalogowany do epuap. Jeśli dokument podpisuje kilka osób, to za każdym razem trzeba w osobnym oknie otworzyć epuap i wylogować się.

  30. Spokojnie, bo jeszcze wsdl’ki zaktualizują.. xD

  31. Normalnie ten system mozna porownac do polskich drog.lata na lacie a i tak dziura na dziurze.

  32. Korzystam z ePUAP. Jak żyć?

  33. Prośba o weryfikację:

    Temat: EPUAP – Fwd: Zabezpieczenia.
    Usługa: ePUAP : Realizacja sprawy w ramach usługi administracji publicznej : Obsługa skrytki i składu dokumentów
    Status: Rozwiązane
    Priorytet: Standardowy
    Data rejestracji: 2016-07-20 13:32:55
    Data rozwiązania: 2016-07-16 12:00:00

  34. […] Przestępcy dokonując ataków starają się upodobnić do zwykłych usług. Redakcja serwisu poświęconego bezpieczeństwu teleinformatycznemu Niebezpiecznik.pl zwraca uwagę, że w ostatnich atakach na polskich użytkowników Internetu wykorzystywano domenę ‚.pl”. Wyraziła więc żartobliwie nadzieje, że w kolejnym kroku „zabezpieczania się” COI nie odetnie od osób mających e-mail w domenie ‚.pl”. Taki tok myślenia porównała również do kategorycznego twierdzenia, że BMW to samochód gangsterów. […]

  35. Telefon, który miałam na autoryzację nie istnieje od pół roku. Po wyskoczeniu weryfikacji dwuetapowej dałam anuluj, wstecz, spróbowałam jeszcze raz i zalogowało mnie na konto O_o Zmieniłam szybko numer na aktualny. Widzę, że dziura jest dalej.

  36. 2020. Dzięki. Luka pomaga. Można liczyć na ten rząd :D

  37. W dniu dzisiejszym wyrwałem się jak Filip z konopi i zaznaczyłem opcję “Uwierzytelnianie dwuskładnikowe”. Na całe szczęście nie wylogowałem się z ePUAP2 tylko zacząłem szukać w artykułach Pomocy coś o U2F, bo mnie tknęło, że to może mieli na myśli dając opcję: “Uwierzytelnianie dwuskładnikowe”. Zgłosiłem postulat żeby w Pomocy pojawiły się artykuły z odpowiedzią, jakim kanałem jest doręczany kod do autoryzacji. Nie musi być wcale na telefon komórkowy, prawda? Gdyby słali na e-mail podany przy rejestracji to zafundowaliby użytkownikom Profili Zaufanych straszliwą dłużyznę. Gdyby mieli jednak na myśli klucze z U2F, to kaszana na całego. Odhaczyłem “Uwierzytelnianie dwuskładnikowe”. Czekam na odpowiedź z ePUAP (MC). Może odpowiedzą kontrolerowi społecznemu z ramienia Stowarzyszenia RKW-RKW? Prezes UODO “molestuje” Ministerstwo Cyfryzacji żeby nie szastało na prawo i na lewo numerami PESEL osób, które składają na dokumentach podpis zaufany. Z mojego wniosku PUODO wszedł w tej sprawie w polemikę z MC. Naiwnie jestem skłonny uważać, że dla mnie zrobią coś dobrego. Przecież wiedzą, że jestem sympatykiem “Drobnej Zmiany”.

  38. […] autoryzacji, możliwość podrobienia podpisu ePUAP, ujawnianie numeru PESEL użytkownika PZ, niedociągnięcia w 2FA albo brak weryfikacji e-maila. To wszystko łączyło się z niedoróbkami w innych rządowych […]

  39. hasłem loginem emailem peselem można dostac się na gabinet .gov .pl jako lekarz bez numeru komórkowego? pisz email o zarobek

Odpowiadasz na komentarz Izabela

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: