Az Ügyfélkapu+-belépéshez javasolt oldalon orosz mérőkód működik.
A Telex felkereste a Nemzeti Kibervédelmi Intézetet, hogy alaposan áttekintsék az ajánlott szolgáltatások biztonsági szempontjait és azok mögötti hátteret.
Az Ügyfélkapu megszűnésével az állampolgárok számára a digitális ügyintézés új alternatívái, mint az Ügyfélkapu+ és a Digitális Állampolgár alkalmazás, váltak elérhetővé. Az új rendszer elsődleges célja a biztonság fokozása, azonban a TOTP.APP nevű kódgenerátor körüli helyzet több szempontból is figyelemre méltó. Egyfelől, a szolgáltatás üzemeltetője és az adatkezelési gyakorlat nem világos, ami aggodalomra adhat okot. Ráadásul, a kódgenerátor működésében egy orosz mérőkód is felfedezhető, és további jelek is arra utalnak, hogy a háttérben orosz fejlesztés állhat - írja a Telex.
Az Ügyfélkapu oldalán található egy segédlet az Ügyfélkapu+ beállításához, ebben mindenfajta eszközre található javasolt kódgenerátor, emiatt ez tekinthető hivatalos ajánlásnak. Azoknak, akik telefon nélküli megoldást keresnek, két lehetőséget ajánl a kormány: a Verifyr és a TOTP.APP szolgáltatásokat. Ezek a Központi Azonosítási Ügynök oldalán is szerepelnek, mint ajánlott bejelentkezési módok. Az Ügyfélkapu oldalán pedig részletes útmutató is elérhető a TOTP.APP beállításához, ami jelzi, hogy a szolgáltatás hivatalos támogatást élvez.
A Telex olvasója felhívta a figyelmet arra, hogy a TOTP.APP weboldalon egy orosz mérőkód működik. Ezt bárki könnyedén ellenőrizheti: elegendő, ha ellátogat az oldalra, majd a böngésző fejlesztői eszközeivel alaposan átnézi a háttérkódot. Itt felfedezheti a Yadro nevű orosz cég mérőkódját (counter.yadro.ru).
A mérőkódokat azért helyezik el az oldalak kódjában, hogy az üzemeltető statisztikai adatokat gyűjthessen a látogatók használati szokásairól. Sok weboldalon használnak ilyen megoldást, így önmagában ez nem jelent problémát. Azonban 2025-ben, az orosz-ukrán háború harmadik évében meglepő, hogy egy uniós országban a kormány egy olyan szolgáltatást ajánl, amelyet egy évek óta szankciókkal sújtott agresszor ország, Oroszország fejleszt.
"Kétségtelen, hogy a TOTP.APP alkalmazás részletes vizsgálata nélkül nem lehet megmondani, hogy nem jelent-e az alkalmazás veszélyt a magyar állampolgárokra. Remélem, hogy ezt valaki hivatalosan megvizsgálta és megállapította" - nyilatkozta a lapnak egy névtelenséget kérő kiberbiztonsági szakértő.
A portál felvette a kapcsolatot a Nemzeti Kibervédelmi Intézettel, hogy információt szerezzen az Ügyfélkapu+-hoz ajánlott szolgáltatások biztonsági átvilágításáról és hátteréről. Különös figyelmet fordítottak a TOTP.APP weboldalon fellelhető orosz mérőkódra is. Emellett érdeklődésük középpontjában állt, hogy terveznek-e hasonló állami kódgeneráló szolgáltatást bevezetni, hiszen egy mobilos megoldás már létezik a Nemzeti Infokommunikációs Szolgáltató keretein belül.
A lap arról számolt be, hogy a kérdések elküldése előtt a TOTP.APP szerepelt az Ügyfélkapu ajánlásai között, de amíg a válaszra vártak, eltűnt, majd visszakerült. A Központi Azonosítási Ügynök oldalán is egy időben csak a TOTP.APP-ot ajánlották, mostanra viszont a Verifyr is felkerült mellé.
A Nemzetbiztonsági Szakszolgálat válaszában hangsúlyozta, hogy az Ügyfélkapu+ 2022 óta népszerűsíti a TOTP.APP alkalmazást, és eddig nem észleltek semmiféle visszaélést. A szolgáltatás működésével kapcsolatban a nyilvános elemzések alapján nem merültek fel aggályok. Amennyiben további kérdéseik lennének, javasolják, hogy közvetlenül az Ügyfélkapu szolgáltatóját keressék meg.
