ePUAP mozolnie niełatany. Mimo prac Comarchu, łatwo obejść dwuskładnikowe uwierzytelnianie

Po którejś kolejnej awarii systemu ePUAP, minister CyfryzacjiAnna Streżyńska powiedziała,że należałoby go „zaorać”, gdyby nie powiązane z nim środkiunijne. Może jednak się okazać, że naprawianie i łatanie systemubędzie podatnika kosztowało więcej, niż wynosi wartość unijnegodofinansowania. O tym, jak bowiem wygląda w praktyce naprawianieePUAP-u pod egidą nowego Centralnego Ośrodka Informatyki (COI)niech świadczy wpisw Niebezpieczniku, przedstawiający historię luki, którapozwalała na obejście dwuskładnikowego uwierzytelnienia.

Jak każdy nowoczesny serwis, przechowujący wrażliwe daneosobowe, ePUAP oferuje dwuskładnikowe uwierzytelnianie. Poza loginemi hasłem wymagany jest dodatkowy kod, przesyłany oddzielnym kanałemkomunikacji. W maju jeden z czytelników Niebezpiecznika odkryłjednak, że zabezpieczenie to łatwo obejść. Wystarczy na stronieePUAP-u podać login i hasło, a po wyświetleniu okna dialogowego zpytaniem o kod autoryzacyjny, wystarczy okno to zamknąć, poczekaćkilkadziesiąt minut – i gotowe. Podczas kolejnej próby logowaniauzyskiwało się dostęp bez pytania o kod. Prawdopodobnie problemdotyczył obsługi wyjątku: gdy system nie doczekał się kodu,wciąż kontynuował proces logowania, zmieniając stan sesji tak, żeprzy następnym logowaniu uznawana ona była już za uwierzytelnioną.

COI, które miało się zająć z woli minister Streżyńskiejnaprawianiem ePUAP-u, otrzymało jeszcze w maju zgłoszenie obłędzie. W odpowiedzi poinformowało Niebezpiecznik, że problemjest znany, łatkę zamówiono zaś od zewnętrznej firmy. Poproszonoteż o trzymanie sprawy w tajemnicy do momentu usunięcia luki wzabezpieczeniach, o czym COI oczywiście poinformuje. Mijały kolejnetygodnie, luka wciąż była niezałatana, aż w końcu 11 lipcaNiebezpiecznik odezwał się do COI. Wtedy wyjaśniono, że Comarch(ten sam Comarch, którego prezes tak bardzo wątpi w wartośćstartupów) już łatkę dostarczył, a wdrożenie zaplanowano nanajmniej inwazyjny dzień – sobotę, 16 lipca.

Faktycznie, poprawkę wdrożono w deklarowanym czasie. Efekt byłtaki, że na konto ePUAP można było wciąż zalogować się bezkodu jednorazowego, ponieważ… serwis w ogóle przestał pytać okodu jednorazowy (mimo że w ustawieniach konta włączona byłaopcja o taki kod pytania). Wczoraj musiano znów coś zmienić,ponieważ serwis zaczął ponownie pytać się o kod jednorazowy,tyle że pytanie to można było przeczekać tak samo, jak poprzednimrazem. Jedyne, co naprawiła łatka Comarchu, to ładowanie stylówCSS: wcześniej po obejściu weryfikacji dodatkowym hasłem stronaczasem ładowała się nieostylowana, teraz ten „problem” jużnie występuje.

COI i Comarchowi zajęło więc 54 dni niezałatanie luki, któraniewątpliwie była znana tym podmiotom jeszcze dłużej. Ilekosztowała ta niepoprawka?

Niebezpiecznik słusznie jednak zauważa, że może taki stanrzeczy ma też swoje dobre strony, pomoże tym wszystkimnieszczęśnikom, którzy utracili dostęp do swojego konta e-mailczy telefonu, a miały włączone dwuskładnikowe uwierzytelnianie.Okazuje się bowiem, że nie ma żadnej procedury odzyskania dostępuw takich wypadkach, nawet udanie się do urzędu i wylegitymowanienic nie pomaga. Jedynym rozwiązaniem jest unieważnienie profiluzaufanego, a następnie przejście całej procedury rejestracjinowego profilu zaufanego, tracąc w ten sposób dokumenty naunieważnionym koncie i marnując mnóstwo czasu. Dzięki tej wciążniezałatanej luce można zalogować się normalnie, na login ihasło, a potem wyłączyć dwuetapowe uwierzytelnianie wustawieniach konta.