Η εταιρεία που έφερε δίπλωμα και ταυτότητα στο κινητό έχει “τρύπιο” site…
Πριν αρκετό καιρό στο TechValue είχαμε εντοπίσει διαρροή προσωπικών δεδομένων από την Ελληνική Αστυνομία. Η ίδια εννοείται αρνήθηκε την κατηγορία μέχρι που ανέλαβε δράση η αρχή προστασίας προσωπικών δεδομένων και μετά από έρευνα και πιέσεις το παραδέχτηκαν και μάλιστα υπάρχει μέχρι και επίσημη επίπληξη με την οποία κανένα μεγάλο μέσο δεν ασχολήθηκε…
Σε αυτό το σημείο έχω ένα παράπονο που θέλω να μοιραστώ μαζί σας. Η αρχή προστασίας προσωπικών δεδομένων μας είχε ενημερώσει προφορικά πως θα υπάρχει και το όνομα μας στην επίπληξη, καθώς ο ρόλος μας στην υπόθεση ήταν καθοριστικός, παρόλα αυτά δεν μας ανέφεραν ποτέ.
Η εταιρεία πίσω από το ψηφιακό δίπλωμα οδήγησης και ταυτότητας
Τότε είχαμε αναφέρει πως ένας από τους λόγους της διαρροής προσωπικών δεδομένων από την Ελληνική Αστυνομία ενδεχομένως να ήταν η έλλειψη προστασίας SSL στη σελίδα τους που είναι πολύ πιθανό να απουσίαζε και από τα email επικοινωνίας από τα οποία και έγινε η διαρροή.
Μία παρόμοια, αλλά διαφορετική από τεχνικής άποψης περίπτωση συναντάμε τώρα και με την εταιρεία από την οποία δημιούργησε την εφαρμογή με την οποία οι πολίτες καλούνται να έχουν αποθηκευμένα ταυτότητα και δίπλωμα οδήγησης ψηφιακά στο κινητό τους. Η σελίδα της εταιρείας, που φαίνεται στο παρακάτω στιγμιότυπο οθόνης, χαρακτηρίζεται ακόμα και από τον Chrome της Google ως “Μη Ασφαλής” γιατί απουσιάζει η πιστοποίηση SSL.
Για όποιον δεν γνωρίζει τι ακριβώς είναι η προστασία SSL ας δούμε συνοπτικά ποιοι είναι οι κίνδυνοι όπως ακριβώς περιγράφoνται, όχι από εμάς, αλλά από τους ειδικούς:
Χωρίς SSL, οι επισκέπτες και οι πελάτες του ιστότοπού διατρέχουν μεγαλύτερο κίνδυνο κλοπής των δεδομένων τους. Η ασφάλεια του ιστότοπού κινδυνεύει επίσης χωρίς κρυπτογράφηση. Το SSL προστατεύει τον ιστότοπο από απάτες phishing, παραβιάσεις δεδομένων και πολλές άλλες απειλές. Τελικά, δημιουργεί ένα ασφαλές περιβάλλον τόσο για τους επισκέπτες όσο και για τους ιδιοκτήτες ιστότοπων.
namecheap.com | Το πρώτο αποτέλεσμα που επιστρέφει η Google
Υπάρχει Ενδεχόμενο Να Διαρρεύσουν Τα Δεδομένα Σου;
Δεν γνωρίζουμε αν η απαράδεκτη σελίδα της εταιρείας ( από θέμα ασφάλειας ) θα μπορούσε να επηρεάσει την εφαρμογή που έφτιαξαν, καθώς δεν γνωρίζουμε που, αλλά και με ποιο τρόπο αποθηκεύονται τα προσωπικά δεδομένα των πολιτών, αλλά σίγουρα δεν είναι και ότι καλύτερο για την συνολική εικόνα της εταιρίας που οι πολίτες καλούνται να εμπιστευτούν…
Ακόμα, η σελίδα τους είναι προχειροφτιαγμένη, ενώ στο τέλος της φαίνεται ότι δεν την έχουν αγγίξει από το 2019! Είναι σχεδόν απορίας άξιο πως μία εταιρεία με ψηφιακές υπηρεσίες και τέτοια σελίδα μπορεί και προσελκύει πελάτες… Προσωπικά λυπάμαι αλλά δεν μπορώ να τους εμπιστευτώ.
ΕΝΗΜΕΡΩΣΗ: Μέσα σε λίγα λεπτά από την στιγμή της δημοσίευσης αυτού του άρθρου η εταιρεία ενεργοποίησε την προστασία SSL. Για του λόγου το αληθές, ότι η εταιρεία δεν είχε την προστασία που έπρεπε, οι αποδείξεις υπάρχουν και φαίνονται και στο παρακάτω screenshot από το http που ξεκινάει η σελίδα τους και όχι το https που θα σήμαινε προστασία SSL. Αυτό θα αλλάξει όταν η Google κάνει ξανά crawl την σελίδα τους και θα αλλάξει και εκεί σε https. Όπως φαίνεται μετά από περαιτέρω έρευνα, οι developers της σελίδα δεν είχαν ενεργοποιήσει το σωστό http σε https redirect που ισοδυναμεί με απουσία προστασίας SSL όπως και αρχικά υποστηρίξαμε σε αυτό το άρθρο.
