Αλαλούμ με τα στοιχεία πολιτών στο Κτηματολόγιο – «Καμπανάκι» για κενά ασφαλείας
1 min read
Κενά ασφαλείας στην ιστοσελίδα της αναδόχου εταιρίας για το δήμο Αθηναίων διαπιστώνει η Ένωση Πληροφορικών Ελλάδας. «Δεν συντρέχει κανένας λόγος ανησυχίας για τους πολίτες» διευκρινίζει το Ελληνικό Κτηματολόγιο
Σημαντικά κενά ασφαλείας ως προς τον κίνδυνο υποκλοπής ευαίσθητων προσωπικών και φορολογικών δεδομένων εκατομμυρίων χρηστών – ιδιοκτητών ακινήτων εντοπίζει η Ενωση Πληροφορικών Ελλάδας, στην ιστοσελίδα του αναδόχου, ο οποίος έχει αναλάβει την προνάρτηση, η οποία ολοκληρώθηκε, και την ανάρτηση που αναμένεται να ξεκινήσει εντός του Φεβρυαρίου των κτηματολογικών στοιχείων για τον δήμο Αθηναίων.
Η Ενωση με επιστολή της στο Κτηματολόγιο επεσήμανε την ενέργεια και ζήτησε να γίνουν άμεσα οι απαραίτητες κινήσεις, ώστε να διερευνηθούν τυχόν κενά ασφαλείας. Η επιστολή κοινοποιήθηκε επίσης και στο υπουργείο Ψηφιακής Διακυβέρνησης, το υπουργείο Οικονομικών, την Ανεξάρτητη Αρχή Δημοσίων Εσόδων, την Γενική Γραμματεία Πληροφοριακών Συστημάτων, την Εθνική Επιτροπή Τηλεπικοινωνιών & Ταχυδρομείων και τα πολιτικά κόμματα.
Παρά το γεγονός ότι το «Ελληνικό Κτηματολόγιο» έσπευσε με ανακοίνωσή του να ενημερώσει με αφορμή τις επισημάνσεις της Ένωσης Πληροφορικών Ελλάδας ότι «καμία προσπάθεια υποκλοπής προσωπικών στοιχείων δεν υφίσταται», το ζήτημα έχει προκαλέσει ανησυχία σε πολλούς πολίτες. Επιπλέον εγείρονται ερωτήματα ως προς το εάν αντίστοιχα κενά ασφαλείας εμφανίζουν και οι ιστοσελίδες αναδόχων εταιριών, οι οποίες έχουν αναλάβει την κτηματογράφηση άλλων περιοχών της χώρας.
Ο φορέας του Κτηματολογίου, πάντως, σημειώνει πως «το μήνυμα που απεστάλη στους πολίτες, προέρχεται από την ανάδοχο ιδιωτική εταιρεία, υπεύθυνη για την διαδικασία Κτηματογράφησης στο Δήμο Αθηναίων. Ζητήματα ασφαλείας και προστασίας των προσωπικών δεδομένων αντιμετωπίζονται με απόλυτη προτεραιότητα και δεν συντρέχει κανένας λόγος ανησυχίας για τους πολίτες».
Να σημειωθεί ότι, σύμφωνα με πηγές κοντά στην υπόθεση, υπάρχουν κοινές προδιαγραφές ασφαλείας για τις ιστοσελίδες των αναδόχων. Ωστόσο, όπως φαίνεται, προκύπτει ζήτημα ελέγχου της τήρησής τους. Γεγονός είναι, πάντως, ότι ύστερα από τις επισημάνσεις της Ενωσης Πληροφορικών, η ιστοσελίδα της συγκεκριμένης αναδόχου εταιρίας δε δέχεται πλέον στοιχεία ιδιοκτητών.
Ολα ξεκίνησαν από την επιστολή της αναδόχου εταιρίας που έχει αναλάβει την κτηματογράφηση του δήμου Αθηναίων, με την οποία ενημερώνει τους ιδιοκτήτες ακινήτων ότι στο πλαίσιο της ανάρτησης των προσωρινών κτηματολογικών διαγραμμάτων και πινάκων για τα ακίνητα του δήμου αποστέλλει προς ενημέρωσή, το κτηματολογικό απόσπασμα για τα ακίνητά που έχουν στην κατοχή τους. Παράλληλα παρέχει οδηγίες επεξήγησης του αποσπάσματος και επιστολή ενημέρωσης για τις διαδικασίες της ανάρτησης.
Σύμφωνα με την Ενωση Πληροφορικών, η οποία έλαβε αναφορά από μέλος της, ο πρώτος ιστότοπος (.com) παραπέμπει αυτομάτως (redirect) σε δεύτερο ιστότοπο “www.ktimatologio-athina.gr”. «Πρακτικά ο πρώτος ιστότοπος δεν είναι ορατός στον επισκέπτη, ούτε καν σε σελίδα που παραπέμπει σε φόρμα τροποποίησης προσωπικών στοιχείων» σημειώνει.
Τονίζει μάλιστα ότι στη συνέχεια της διαδικασίας συμπλήρωσης στοιχείων, «στη σελίδα (.gr) όπου ζητούνται προσωπικά και φορολογικά δεδομένα δεν υπάρχει ούτε καν κρυπτογράφηση της σύνδεσης (SSL/TLS), κάτι υποχρεωτικό βάσει νόμου σε ανάλογες υπηρεσίες. Επιπρόσθετα, η επισκόπηση των πληροφοριών ασφάλειας των συνδέσεων στην αρχική σελίδα (.com) όπου ζητείται η εισαγωγή ΑΦΜ δείχνει ότι δεν υπάρχουν στοιχεία πιστοποίησης του ιδιοκτήτη».
«Επίθεση ή κάκιστη πρακτική»
Η Ενωση Πληροφορικών επισημαίνει δύο πιθανά ενδεχόμενα για το περιστατικό:
Είτε πρόκειται για «περίπτωση επίθεσης για υποκλοπή προσωπικών και φορολογικών δεδομένων πολιτών (phishing attack)», (κάτι το οποίο το Ελληνικό Κτηματολόγιο ξεκαθάρισε ήδη ότι δε συμβαίνει).
Είτε «σε περίπτωση που δεν ισχύει το παραπάνω, δηλαδή πρόκειται για επίσημους ιστοτόπους του νόμιμου φορέα “Κτηματολόγιο Α.Ε.”, διαπιστώνονται σωρεία σοβαρότατων παραλείψεων ασφάλειας, οι οποίες ισοδυναμούν με παράνομες ενέργειες και νομικές διαδικασίες εναντίον όσων ενέκριναν ή/και υλοποίησαν τις παραπάνω υπηρεσίες».
Για τους λόγους αυτούς η Ενωση ζήτησε εξηγήσεις από το Ελληνικό Κτηματολόγιο επισημαίνοντας στην επιστολή της ότι «για λόγους προστασίας του δημοσίου συμφέροντος και βάσει του Κώδικα Δεοντολογίας μας όπως προβλέπεται από το Καταστατικό μας, αποτελεί συμβατική υποχρέωσή μας να ενημερώσουμε τους πολίτες άμεσα και λεπτομερώς, ανεξάρτητα από το αν πρόκειται για επίθεση ή κάκιστη πρακτική, καθώς και στις δύο περιπτώσεις τίθεται σε άμεσο κίνδυνο η ακεραιότητα και η εμπιστευτικότητα των προσωπικών και φορολογικών δεδομένων εκατομμυρίων πολιτών».
