Orosz mérőkódot tartalmaz az Ügyfélkapu+-hoz ajánlott TOTP.APP nevű webalkalmazás, amely a kétfaktoros hitelesítéshez szükséges belépőkódokat generálja - írta a Telex. Az alkalmazás használata során több kérdés is felmerült, különösen az orosz fejlesztésű mérőkóddal kapcsolatban, amely statisztikai adatgyűjtésre alkalmas. Az Ügyfélkaput üzemeltető IdomSoft Zrt. szerint azonban a TOTP.APP nem fér hozzá semmilyen személyes adathoz, és a mérőkód kizárólag anonim statisztikai adatokat gyűjt.
Az IdomSoft hivatalos álláspontja
Az IdomSoft hangsúlyozta, hogy a TOTP.APP nem kezel semmilyen személyes vagy Ügyfélkapuval kapcsolatos adatot.
„Az Ügyfélkapu+ szolgáltatáshoz 2022 óta ajánljuk a TOTP.APP hitelesítő alkalmazást. A működésével kapcsolatban az internetes weboldalak tartalmi és működési elemzését IT-biztonsági szempontból végző szolgáltatások szerint nem merült fel semmilyen probléma, és mi sem tudunk visszaélésről. A TOTP.APP nem kezel semmilyen személyes adatot, sem az Ügyfélkapuval kapcsolatos adatot. A forráskódjában elhelyezett mérőkód legfeljebb a felhasználók interakcióját összegző statisztikát tudna továbbítani a fejlesztő számára, de azt sem összekapcsolva az Ügyfélkapu-adattal, mert nem kerül át ilyen típusú adat a TOTP.APP felé” – közölte a Telex.
A TOTP.APP vitatott elemei
A TOTP.APP szakmai körökben több kritikát kapott. Az alkalmazás működéséről és üzemeltetőjéről kevés információ áll rendelkezésre, és az oldalon található orosz mérőkód is kérdéseket vetett fel, különösen az orosz–ukrán háború idején. A mérőkódok használata alapvetően statisztikai célokat szolgál, azonban felmerült, hogy miért választott a kormány egy olyan szolgáltatást, amelynek hátterében egy szankciókkal sújtott ország, Oroszország fejlesztése állhat.
Nem kötelező a TOTP.APP használata
Az IdomSoft hangsúlyozta, hogy a TOTP.APP csupán egy az ajánlott megoldások közül, és a felhasználók számos alternatív lehetőség közül választhatnak.
„A TOTP.APP hitelesítő alkalmazás nem szerves része az Ügyfélkapu+ szolgáltatásnak, a felhasználók több ajánlott szoftver közül vagy más gyártók által készített terméket is választhatnak a kétfaktoros azonosításhoz. Ezenkívül már él az emailes hitelesítés lehetősége, amely tovább bővíti azoknak a felhasználóknak a választási lehetőségeit, akik nem szeretnének okostelefont használni a bejelentkezéshez.”
A cég továbbá kiemelte, hogy a kétfaktoros azonosítás beállításához több megoldás is rendelkezésre áll, például a mobilalkalmazások használata vagy az időközben elérhetővé vált emailes hitelesítés.
A TOTP.APP története
Az IdomSoft 2024 elején vette át az Ügyfélkapu üzemeltetését, ezzel együtt a TOTP.APP ajánlását is a Nemzeti Infokommunikációs Szolgáltatótól. A cég a Digitális Állampolgárság Program keretében már fejlesztett mobilalkalmazásokat, például a Digitális Állampolgárt, és továbbra is elkötelezett az IT-biztonság iránt. Az Ügyfélkapuval kapcsolatos bármilyen adatvédelmi visszaélésről az IdomSoft szerint eddig nem érkezett jelentés.
Itt számoltunk be arról korábban, hogy már e-mailben is kérhető kód az Ügyfélkapu+ bejelentkezéshez, ahogy arról is, hogy milyen következményekkel jár, ha valaki nem regisztrál az új felületre.
