Feltárult a titok, hogy ki áll a TOTP.APP mögött, amelyet az Ügyfélkapu+ szolgáltatáshoz ajánlottak, és amely korábban orosz mérőkódokat használt.
Az elmúlt csütörtökön közzétett cikkünkben beszámoltunk arról, hogy egy orosz mérőkód futott az Ügyfélkapu+-hoz kapcsolódó TOTP.APP weboldalon, amelyet a kormány ajánlott. Ez az oldal lehetőséget biztosított a felhasználóknak, hogy megerősített belépőkódokat generáljanak az Ügyfélkapu+-os bejelentkezéshez. Ám a cikk megjelenését követően, egy nappal később, a mérőkód hirtelen eltűnt az oldal forráskódjából, mivel a fejlesztő eltávolította azt.
Azóta viszont az is kiderült, hogy ki ez a fejlesztő, azaz ki áll az oldal mögött, egy kiberbiztonsági szakértőnek beszélnie is sikerült vele.
A mérőkódok elhelyezése a weboldalak kódjában lehetővé teszi az üzemeltetők számára, hogy nyomon követhessék a felhasználók aktivitását és rögzíthessék a statisztikai adatokat. Számos weboldalon találkozhatunk ilyen megoldásokkal, amelyek önmagukban nem jelentenek problémát. Azonban meglepő, hogy 2025-ben, az orosz-ukrán konfliktus harmadik évében egy uniós ország kormánya olyan szolgáltatást kínál az állami ügyintézéshez, amelyet évek óta különböző szankciókkal sújtott Oroszországban fejlesztenek.
Korábbi cikkeink során értesültünk arról, hogy egy Peredozo vagy PDZ néven ismert orosz fejlesztő vagy hekkert azonosítottak az oldal üzemeltetőjeként. Mivel azonban nem álltak rendelkezésre megbízható források, amelyek további információkat nyújtottak volna róla, nem foglalkoztunk ezzel részletesebben. Krasznay Csaba, a kiberbiztonsági szakértő és a Nemzeti Közszolgálati Egyetem docense, azonban a legújabb videósorozatának csütörtöki epizódjában újabb érdekességeket osztott meg a TOTP.APP mögött álló személyről.
Krasznay elmondása szerint miután egy előző videójában ő maga is beszámolt a TOTP.APP ügyéről, több nézője is további információkat osztott meg vele az orosz fejlesztőről, akiről kiderült, hogy valószínűleg Helsinkiben él. A Timur Khrotko nevű, orosz származású budapesti kiberbiztonsági szakértő fel is vette vele a kapcsolatot, és elbeszélgetett vele az itthon nagy figyelmet kapott oldalról.
Peredozo állítása szerint a TOTP.APP egy saját, privát projekt keretein belül készült, nem pedig az Ügyfélkapu+-hoz kapcsolódóan. Krasznay megjegyzése szerint a fejlesztő "konstruktív párbeszédet kezdeményezett a magyar hatóságokkal". A fejlesztő elmondása alapján az oldal, amely kezdetben csupán orosz és angol nyelven volt elérhető, akkor kapott magyar verziót, amikor a követőkód segítségével észlelte a Magyarországról érkező jelentős érdeklődést. Ez a figyelem főként annak volt köszönhető, hogy az Ügyfélkapu leállítása miatt sokan a TOTP.APP-ot kezdték használni az Ügyfélkapu+-ra való áttérés során, ahogyan azt a hivatalos ajánlás is sugallta. Peredozo azt állította, hogy nem áll mögötte semmiféle rejtett szándék. Krasznay viszont úgy véli, hogy "rosszindulatot nem tapasztaltam, de mindenképpen rossz döntés volt ezt az utat választani".
A TOTP.APP forráskódja korábban elérhető volt a GitHub kódmegosztó platformon, ahol nyomon követhetőek voltak a kódban eszközölt módosítások. Egy olvasónk jelezte, hogy a fejlesztő eltávolította a vitatott orosz mérőkódot. Emellett a leírásban már régóta feltüntették, hogy az oldal eladó. A Wayback Machine archívuma szerint 2020-ban az ár ezer dollár volt, azonban a közelmúltban már tízezer dollárnyi kriptovalutát (USDT-t, amely a dollárhoz van kötve) kértek érte. Múlt pénteken, amikor a fejlesztő törölte a követőkódot, a leírásban ez állt: "Források és domain eladása 20 000 USDT-ért", ami körülbelül nyolcmillió forintnak felel meg. Jelenleg azonban már nem aktuális, mivel a forráskódot törölték a GitHubról, így a korábbi változtatások sem érhetők el.
Az orosz mérőkód jelenlétéről szóló cikkünkre reagált az Ügyfélkaput üzemeltető IdomSoft Zrt., álláspontjuk szerint az oldal nem kezel személyes vagy érzékeny adatokat, az orosz kód pedig azért sem tudna Ügyfélkapu-adatokat bárhova továbbítani, mert ilyenekhez maga a TOTP.APP sem fér hozzá. A TOTP.APP "működésével kapcsolatban az internetes weboldalak tartalmi és működési elemzését IT-biztonsági szempontból végző szolgáltatások szerint nem merült fel semmilyen probléma, és mi sem tudunk visszaélésről" - írták, hozzátéve, hogy a szolgáltatás "nem szerves része az Ügyfélkapu+ szolgáltatásnak", a felhasználók a többi ajánlott szoftvert vagy bármilyen más megoldást is használhatnak az ügyfélkapu+-os hitelesítés beállításához.
A kiberbiztonsági szakértők nem csupán az orosz mérőkód miatt fejezték ki aggályaikat az oldal és ajánlásai kapcsán; a háttérinformációk is zavarosnak tűnnek. Például az oldal látogatói számára nem világos, hogy ki üzemelteti azt, illetve milyen módon kezeli a felhasználói adatokat. Krasznay Csaba videójában arra is felhívta a figyelmet, hogy az oldal kódja sem kelt bizalmat, inkább fércmunkának látszik.
Makay József, a kiberbiztonsági szakértő, már az első cikkünk megjelenése után észrevette, hogy az orosz weboldalra mutató kódrészlet révén "a követőkóddal rögzítik az IP-címünket, a körülbelüli tartózkodási helyünket, az általunk használt eszköz típusát, annak operációs rendszerét, a böngészőnk típusát, a nyelvi beállításainkat, valamint a képernyő felbontását". Ezeket az adatokat "ideális esetben a felhasználói élmény optimalizálására alkalmazzák". Azonban a felhasználók nincsenek meg megfelelően tájékoztatva erről, mivel "a szolgáltatás nem felel meg a GDPR követelményeinek, és az oldalon adatkezelési tájékoztató sem érhető el".
Bár önmagában nem tűnik komoly fenyegetésnek, mégis aggasztó - nyilatkozta névtelenséget kérő szakértő a Telexnek. "A kiberbiztonság területén mindig hangsúlyozzuk, hogy nem csupán az egyes incidensek súlyát kell figyelembe venni, hanem azt, hogy ezek az események építőkockáként működnek. Számtalan kisebb probléma létezik, amelyek önállóan nem jelentenek gondot, de együtt már hatalmas kockázatot hordozhatnak. Például, az is figyelemre méltó, hogy az oldal már 2020-ban is elérhető volt eladásra. Ráadásul, ez nemcsak egy egyszeri eset, hiszen múlt héten is hasonló hirdetés volt. Ha pedig egy ismeretlen személynek értékesítik, az újabb aggodalomra ad okot" - tette hozzá, utalva arra, hogy korábbi híreink alapján a fejlesztő már évekkel ezelőtt is árulta az oldalt, miközben a Nemzeti Kibervédelmi Intézet megerősítette, hogy a TOTP.APP az Ügyfélkapu+ 2022-es bevezetése óta a hivatalos ajánlások között szerepel. Vagyis, már két éve azt állította a fejlesztő, hogy az oldal eladó.
Cikkeink nyomán más szakértők is felhívták a figyelmet arra, hogy az oldallal kapcsolatos problémák nem csupán az orosz mérőkódok jelenlétéből fakadnak, hanem inkább a zavaros háttér miatt, amely lehetővé teszi, hogy bármilyen kód észrevétlenül kerülhessen a rendszerbe. Emellett fontos megemlíteni, hogy az oldalra ismét került követőkód, ám ezúttal nem a Yadro nevű orosz vállalat megoldása érhető el, hanem egy saját domain alatt működő statisztikai rendszer került bevezetésre.
„Hiba történt, ezt a problémát sürgősen orvosolni szükséges, és elengedhetetlen, hogy magyarországi megoldással éljünk” - nyilatkozta Krasznay egy korábbi videóban a TOTP.APP hivatalos ajánlásával kapcsolatban. „A hazai égre hazai authentikátor dukál, ezért a DÁP applikációban legyen kódgenerátor is!” - tette hozzá egy Facebook-bejegyzésében, utalva a Digitális Állampolgárság Program mobilalkalmazására, amely az Ügyfélkapu megszűnése után, az Ügyfélkapu+ mellett egy újabb bejelentkezési lehetőséget kínál az állami ügyintézéshez.
Már az Ügyfélkapu+ beállítását segítő cikkünkben is jeleztük, hogy aki teheti, annak érdemes inkább mobilalkalmazással generálnia a kódokat a belépéshez, aki pedig ezt nem tudja vagy szeretné megtenni, annak az időközben elérhetővé vált emailes kódkérést érdemes beállítania.
