Simán létrehoztunk egy hamis személyazonosságot egy e-aláírást kínáló magyar startup felületén

Egyre nagyobb az igény rá, hogy online is minden olyan gördülékenyen menjen, mint élőben, így gombamód szaporodnak a hivatalos ügyek intézésére szakosodott távmegoldásokat kínáló cégek. A magyar piacon is van már több, magyar alapítású startup, amelyek minősített e-aláírási szolgáltatást kínálnak. Ezek közül az egyikkel, a TrustChain Systems Kft.-vel kapcsolatban futott be szerkesztőségünkhöz egy jelzés, miszerint az azonosítási folyamatuk valószínűleg könnyen átverhető.

Teszteltük a rendszert, és kiderült, hogy a platformon évek óta futó megoldással valóban sikerülhet hamis személyazonossággal profilt regisztrálni, majd ezzel hivatalos dokumentumokat (akár banki szerződéseket) aláírni valaki más adataival – a saját példánk alapján a profil létrehozása után egy darabig legalábbis biztosan.

A hibára felhívtuk az érintett szolgáltatók figyelmét, akik azt mondták: biztosak benne, hogy működésük során soha nem történt még ilyesmi, és ígérték, hogy javítanak a folyamatukon. Az eset ugyanakkor felhívja a figyelmet arra, hogy milyen sebezhetőségek fordulhatnak elő még a legprofesszionálisabb hátterűnek látszó, netes ügyintézést kínáló cégek esetében is.

A TrustChain ugyanis nem egy sufnicég, hanem egy multisodó vállalkozás több ezer felhasználóval, startup-díjakkal, amelynek szolgáltatása már 56 országban elérhető, és fejlesztésekhez, piacra lépéshez jelentős tőkebefektetést is kapott állami forrásból gazdálkodó kockázati tőkealapokon keresztül.

Fontos lenne a fokozott biztonság

Nem sok ágazat cégeinek hozott a konyhára a globális koronavírus-járvány, de az online távmegoldásokat kínáló vállalkozások pont ebbe a kategóriába tartoznak. 2020-ban világszinten hatalmasra nőtt az igény a személyes találkozást mellőző ügyintézésre. Ezen nemcsak a Zoom és hozzá hasonló videókonferenciás alkalmazások nyernek, hanem például olyan cégek is, amelyek lehetővé teszik, hogy aláírhassunk hivatalos dokumentumokat egy hitelesített online profilon keresztül.

Ezek a szolgáltatások rendkívül kényelmesek mindenféle offline bürokratikus gyakorlathoz viszonyítva, ám mint minden, részben vagy teljesen automatizált, személyes jelenlétet nélkülöző azonosításnak, megvannak a maguk veszélyei.

Nincs átverhetetlen azonosítási folyamat, de aki ilyen „bizalmi szolgáltatást” kínál, annak néhány alapvető dolgot törvényi kötelezettsége betartani az EU-ban és Magyarországon. Ezen felül pedig vannak olyan technológiai megoldások, amelyek még tovább csökkentik a visszaélések esélyét.

Magyarországon az 541/2020. (XII. 2.) kormányrendelet illetve a 2015 évi bizalmi törvény szabályozza a bizalmi szolgáltatók működését és az online videós azonosítást. Ezek értelmében a szolgáltató köteles ellenőrizni a tanúsítvány alanyának személyazonosságát, az azonosító adatok valódiságát, és közhiteles vagy más központi nyilvántartásban foglalt adatokkal való megegyezőségét. A videotechnológiás azonosítást végző bizalmi szolgáltató köteles megbizonyosodni arról, hogy az okmány alkalmas azonosítás elvégzésére, egyebek mellett felismerhető és sérülésmentes-e a hologram, a kinegram vagy az ezekkel megegyező más biztonsági elemek.

Az elektronikus aláírások biztonságosságának jelentőségét az adja, hogy ezek segítségével Magyarországon teljes bizonyító erejű magánokiratnak minősülő elektronikus dokumentumot lehet létrehozni.

Onnantól kezdve, hogy regisztráltunk egy profilt egy bizalmi szolgáltatónál, az egyes konkrét esetekben, amikor aláírunk vele, már nem ellenőrzi senki a személyazonosság valódiságát.

Magyarán elég egy ponton, a profil létrehozásakor sikeresen trükközni ahhoz, hogy széles körben használható, szerződéskötésre is alkalmas kamu személyazonosságot kapjunk. Ráadásul az úgynevezett eIDAS Rendelet alapján az Európai Unió országaiban azokon a területeken, ahol nem kötelező a papíralapú ügyintézés, nem lehet megtagadni egy dokumentum elfogadását arra tekintettel, hogy azt elektronikusan írták alá. Szerződhetünk ilyen módon akár banki szolgáltatásokra is.

Ígéretes startup közpénzes befektetőkkel

Látható tehát, hogy mekkora felelőssége van a bizalmi szolgáltatóknak abban, hogy ne kerülhessen sor törvénysértésekre, konkrétan például személyazonosság-lopásokra a felületükön keresztül. Épp ezért volt érdekes az a Kibernyomozó nevű oldalon feltűnt, és a Telexnek is eljuttatott írás, amelyben a kibernyomozó irodát vezető Hubert Csaba arról írt, hogy a TrustChain által kínált szolgáltatásban biztonsági rések lehetnek.

A TrustChain 2017-ben alapított magyar cég, amely komplex szolgáltatást kínál online szerződéskötések terén magánszemélyeknek és vállalatoknak. A cégben pár éves története alapján sok minden megvan, ami egy startupot ígéretessé tesz: alapítóit és magát a vállalatot több körben díjazták, nemzetközi szinten terjeszkedik, az általa kínált minősített elektronikus aláírás az EU minden tagállamában elismert, céges képviseletre is használható.

Az induló szakaszban megszokott módon egyelőre inkább pénzt égető vállalat (tavaly 110 millió forintos mínuszban zártak 14 milliós árbevétel mellett) összesen több százmillió forintnyi tőkebefektetést kapott alakulása óta. Először a Startup Campus Inkubátor finanszírozta 54 millió forint értékben még 2017 nyarán,

később aztán az MFB-csoport alapkezelőjétől, a Hiventurestől jött két körben nagyobb összeg, összesen 356 millió forint.

A Startup Campus és a Hiventures a magyarországi kockázatitőke-szcénában általános (bár nemzetközi szinten megszokottnak nem mondható) módon közpénzből tevékenykedik. Előbbi tisztán uniós (GINOP), utóbbi az EU és az MFB forrásaiból nyújt befektetéseket induló vállalkozásoknak és kkv-knak. A Hiventures által kezelt alapok volumene a régió egyik legjelentősebb szereplőjévé teszi a céget, startup üzletága 80,4 milliárd forintból, kkv-üzletága 41 milliárdos keretösszegből működik, portfóliójában rengeteg cég található. Az alapkezelőt azzal a céllal hozták létre, hogy a magas növekedési potenciállal rendelkező innovatív, induló és korai növekedési szakaszban működő vállalkozások számára tőkeági finanszírozást nyújtson.

Bolgár-magyar folyamat

A részint közpénzes finanszírozás még indokoltabbá tette, hogy kipróbáljuk, valóban átverhető-e a TrustChain által használt azonosítás. Belevágtunk hát, és össze is vetettük egy másik hasonló szolgáltató folyamatával. A dolog végül könnyebben sikerült, mint arra előzetesen számítottunk. Beigazolódott, hogy elsődleges fontosságú, hogy a bizalmi szolgáltatók

  • végezzenek úgynevezett plasztikazonosítást, tehát ténylegesen meg kelljen mutatni az fiókregisztrációnál a személyi igazolványt (ne lehessen csak egy róla készült fotóval regisztrálni);
  • vagy ha ezt nem tudja megugrani a platform, akkor legyen a folyamatba iktatva olyan lépés, amely atombiztosan kiszűri a képmanipulációt.

Ezen a ponton meg kell jegyeznünk, hogy a TrustChain nem saját fejlesztésű technológiát használ a felhasználók azonosítására: egy bolgár céggel, az Evrotrusttal szerződtek erre a feladatra. Ez egyúttal azt is eredményezi, hogy

hiába magyar a cég, a hazánkban nem letelepedett szolgáltató által végzett azonosítási folyamatára nem vonatkozik a magyar bizalmi törvény.

Ettől függetlenül joggal gondolhatnánk, hogy a bolgár jogszabályok alapján működő, minősített bizalmi szolgálató Evrotrust ki tudott dolgozni egy teljesen biztonságos regisztrációs folyamatot, hiszen ügyfelei között olyan nagy cégeket találunk, mint a francia Société Générale bank, az Unicredit BulBank vagy a Raiffeisen Bank Bulgaria. Próbánk nem egészen ezt mutatta.

A plasztikkártya fontossága

Első körben két dologra voltunk kíváncsiak:

  • beveszi-e a felület, ha nem a valódi igazolványunkkal a kezünkben kíséreljük meg a regisztrációt, hanem csak egy arról készült – egyébként nem kimagasló minőségű, mobillal készült – fotót mutatunk be egy laptop monitorjáról;
  • kapunk-e úgy e-aláírást, ha néhány adatunkat (ebben az esetben a személyi igazolvány számát) utólag, kézzel átírjuk a felületen, ami erre lehetőséget biztosít.

Az adatátírás próbáját kiállta a rendszer, első kísérletünk során nem kaptunk minősített e-aláírást a módosított számokkal.

A képről beolvasást viszont az Evrotrust nem jelezte mint külön problémát, ezért gyanítottuk, hogy ezen a fronton még lehet tennivaló. De mi is a gond azzal, ha kártya helyett elég egy kép is? Egyrészt az, hogy egy személyiről készült képet elég könnyen szerezhet bárki, akinek esetleg rossz szándékai vannak: elég csak arra gondolni, hányszor kell különféle regisztrációk, hivatali ügyintézések miatt fotókat vagy épp fénymásolatokat készítenünk a személyinkről, amelyek aztán illetéktelen kezekbe kerülhetnek. A személyikről készült fényképeknek külön piaca van a darkweben, akár országokra szűrve is lehet válogatni közülük, majd megvásárolni őket.

1628661566 temp npaimd 20210811 720 0 90 cr

Eladó személyikép a darkweben – Fotó: Hubert Csaba

Másrészről pedig az a gond ezzel, hogy egy képet sokkal könnyebb hitelesnek látszóan manipulálni, mint egy fizikai valójában létező igazolványt.

Erre szüksége is van annak, aki vissza akar élni a rendszerrel, azt ugyanis minden platform ellenőrzi, hogy a személyiigazolvány-képen szereplő arc egyezik-e azéval, aki regisztrálni próbál. Ha tehát valaki kamu személyazonosságot akar létrehozni egy minősített aláírást nyújtó platformon (amire természetesen senkit sem biztatunk), annak ki kell cserélnie a személyin lévő képet a magáéra.

Ezt egy valódi plasztikkártyán igencsak nehéz úgy megtenni, úgy hogy ne ismerje fel bármilyen fapados automatika vagy szakértői szem a manipulációt, egy képpel azonban már nem ilyen egyszerű a helyzet. Aki ért képszerkesztéshez, az könnyűszerrel hozhat létre első blikkre hitelesnek látszó, de valójában kamu személyit, amelyen egy másik arc van, mint amihez eredetileg tartozott. Tüzetesebb vizsgálat során persze itt is ki kellene jönnie, hogy valami nem stimmel, hiszen a valódi igazolványképeken egy sor biztonsági elem van. De tény, hogy egy 2D-s fényképen ezek nyilván kevésbé nyilvánvalóak, pont ezért találták ki a 3D-s plasztikazonosítást.

Miután az Evrotrustnál úgy tűnt, átmegy a monitorról beolvasott személyikép, kipróbáltuk, mennyire általános ez. Például működik-e a módszer a Netlock nevű szolgáltató azonosításánál, de itt nem jártunk sikerrel: itt egy komolyabb folyamattal találkoztunk, melynek során számos különféle szögben, illetve az arcunk mellett is kellett mozgatni, forgatni az igazolványt, így esély sem volt arra, hogy a monitorról mutogatás elég legyen a minősített aláírás megszerzéséhez.

Hamis személyazonosság könnyedén

Ezek után felvetettük a TrustChain tulajdonos-ügyvezetőjének, Romhány Gergelynek, hogy részint megalapozottnak látjuk a Hubert Csaba által felvetett aggályokat, és valóban visszaélésekre adhat lehetőséget ez a működésmód. Romhány megkeresésünkre egyebek mellett azt írta, hogy mivel az Evrotrust személyazonosító megoldása mesterséges intelligencia technológiát használva automatikusan ellenőrzi az igazolvány valamennyi biztonsági elemét a beolvasáskor, nincs szükség külön utasításokra, speciális folyamatokra (például arra, hogy a regisztráló az arca mellett mutassa fel az igazolványát). A felhasználók adatait pedig utólag ellenőrzik a bárki számára hozzáférhető webes ügysegéd felületen. Ez saját tesztünk alapján valóban kivédi például azt, hogy hamis adatokkal töltsük fel a profilunkat (pl. megváltoztassuk az igazolványszámot, születési helyet, stb.) ugyanakkor

a webes ügysegéd nem tartalmazza az emberek fotóját, így arról továbbra sem voltunk meggyőződve, hogy a képmanipulálást kivédi bármi a folyamat során.

A TrustChain ügyvezetője azt írta, a hamis adatokkal való azonosítás elvégzése rendkívül nehezen megvalósítható, „mivel a használt technológia képes kiszűrni az igazolványoknál akár azt is, ha azoknak a széle elmosódik, illetve a fotókba ágyazott kis méretű biztonsági elemeket is”. Hozzátette, hogy az Evrotrustnál az azonosítást végző operátorokat, illetve a felülvizsgálat során ellenőrzést végző személyeket arra képezték ki, hogy az eltéréseket, anomáliákat kiszűrjék, egy későbbi levelében pedig hozzátette, hogy amennyiben mégis tudomásunk van arról, hogy lehetséges az általunk jelzett módon kijátszani a rendszert, jelezzük nekik, mert tudniuk kell a hibáról.

Ezután próbáltuk ki, hogy mit kezd az Evrotrust azzal, ha valódi rossz szándékot imitálva kicseréljük a személyiképet Photoshoppal, és így próbálunk kamu profilt létrehozni. Mivel a teszthez használt személyiknek még a típusa sem egyezett (az egyik évekkel régebbi kibocsátású, még más biztonsági elemeket használó volt, a másik egy frissebb), még csak azt sem mondhatjuk, hogy a lehető legsimábban meg lehetett valósítani a képcserét. Ennek ellenére a Molnár Réka kollégám személyijéről készült, de az én képemmel ellátott, monitorról bemutatott kép simán átment az azonosításon.

Röviddel ezután az Evrotrust appban kézhez kaptam a minősített aláírásra feljogosító tanúsítványt, összekötöttem a TrustChain és az Evrotrust-fiókomat, majd próbaképpen egy üres dokumentumot alá is írtam az újdonsült személyazonosságommal: működött.

1627657524 temp igpgdi 20210730 720 0 90 cr

A hamis profil és az azzal aláírt dokumentumok

Azonnal jeleztük Romhány Gergelynek a problémát, aki továbbította az Evrotrust felé, mi történt, a hamis fiókot pedig két nappal később felfüggesztették. A bolgár cég tájékoztatása szerint a jelzéstől függetlenül, „standard ellenőrzés” során vették észre, hogy nincs rendben a fiók – amennyiben ez így van, úgy a standard ellenőrzés éppen vasárnapra, és egy kicsivel az utánra esett, hogy a TrustChain részéről felhívták a partner figyelmét a tesztünkre.

Az Evrotrust mindenesetre közölte, 48 órán belül ellenőriznek minden profilt. Az erre az – akár kétnaposra nyúló – intervallumon belülre eső, esetleges visszaélésekre védelmet nyújt a biztosításuk. Próbánk után mindenesetre átmenetileg, a folyamat felülvizsgálatáig és javításáig az Evrtotrust átállt a teljesen operátoros azonosításra, így ezzel az egyszerű trükkel nem kaphat már minősített aláírást hamis profil. Néhány nappal később az Evrotrust arról tájékoztatott minket, hogy megtalálták a hibát, ami miatt a rendszer nem szűrte ki a magyar személyikkel való babrálást, és folyamatban van annak kijavítása.

Közpénz a projektben

Miközben a láthatólag nem túl acélos lábakon álló azonosítási folyamatot teszteltük, párhuzamosan a TrustChainbe fektető Startup Campus Inkubátort és a Hiventures-t is megkerestük, hiszen az egész vizsgálatot részben a projekt közpénzes érintettsége miatt kezdtük el.

Felvetettük azokat az aggályokat, amelyeket Hubert a blogbejegyzésében megfogalmazott a technológiával, illetve a közpénzes hátterű befektetésekről szóló döntésekkel kapcsolatban, és ami miatt a kibernyomozó iroda vezetője hűtlen kezelést gyanítva feljelentést is tett: álláspontja szerint ugyanis a TrustChain „mint vállalkozás és mint megoldás egyaránt komolytalannak tűnik”, mivel saját fejlesztésük helyett az Evrotrust alkalmazását használják. Hubert ezzel összefüggésben mutyit és haveri közbenjárást gyanít a mögött, hogy a Hiventures két körben összesen több mint 350 millió forintot fektetett a startupba. A Telexnek azt írta, a hatóság arról tájékoztatta, hogy az ügyben elrendelték a nyomozást.

A Hiventures és TrustChain részéről elutasították ezt a feltételezést. A Telexszel az alapkezelő azt közölte, hogy ebben az esetben is szakmai szempontok mentén döntöttek a befektetésről, vagyis a megcélzott piac méretét, a termék innovációs tartalmát, a csapat tapasztalatát vették alapul. Hozzátették, hogy a TrustChainnél „jelenleg pénzügyi befektetők állnak sorban, hogy további növekedésüket és sikertörténetüket finanszírozzák”. Az Evrotrust egy több bank által is használt, valamennyi szükséges nemzetközi és hazai hatósági engedéllyel, tanúsítvánnyal rendelkező, számos országban jelen lévő cég – írták.

A TrustChain ügyvezetője úgy kommentálta az ügyet, hogy az általuk kapott befektetés nem támogatás vagy ingyen pénz: „ezt a tőke és tagi kölcsön formájában kapott forrást nagyon komoly hozammal növelten vissza kell fizetnie a cégnek, ha pedig bármit szabálytalanul csinálunk, akkor anyagi felelősségünk van” – írta. Szerinte Hubertnek a TrustChainnel kapcsolatban eddig megjelent blogbejegyzései egy „üzleti érdekből származó rágalomhadjárat” részei, ezért a cég nevében feljelentést tett rágalmazás bűncselekménye miatt. Ebben az ügyben is megindult a nyomozás.

Forrás: Telex