STRUČNJAK za informacijsku sigurnost Marko Rakar upozorio je na ozbiljne sigurnosne propuste unutar sustava ePorezna. U svojoj objavi detaljno je opisao kako je uspio kreirati korisničke račune bez provjere identiteta, a zatim se prijaviti u sustav koristeći samo korisničko ime i lozinku te odabrati posrednike za tri tvrtke koje zastupa, o čemu je izvijestio na svojem LinkedIn profilu.

Sustav otvoren bez provjere

Rakar ističe kako je problem uočio prije više od tjedan dana prilikom testiranja sustava informacijskih posrednika. "Prije osam dana sam pokazao da je moguće kreirati korisnički račun kod najmanje dva informacijska posrednika bez ikakve provjere identiteta i ovlasti osobe koja se prijavljuje", naveo je u objavi.

Prebacivanje odgovornosti

Nakon što je javno ukazao na problem, uslijedile su, kako kaže, kontradiktorne reakcije. Dok je jedan posrednik tvrdio da je sve funkcioniralo kako je i zamišljeno, drugi je za istu aplikaciju naveo da je u testnoj fazi. Osvrnuo se i na stav Porezne uprave. "Možda ste vidjeli i objavu Porezne uprave da je odgovornost na primateljima i da posrednici navodno nemaju nikakvu odgovornost? (...) ePorezna je sigurna, to svi znamo?", ironično je prokomentirao Rakar.

Prijava najnesigurnijom metodom

Kao ključni dokaz ranjivosti sustava, Rakar je naveo da je uspio pristupiti ePoreznoj koristeći metodu prijave koja se smatra izrazito nesigurnom. "Jutros sam se ulogirao u ePoreznu korisničkim imenom i passwordom - dakle inherentno najnesigurnijom metodom autentikacije koju treba izbjegavati na svaki mogući način - i uspješno odabrao informacijske posrednike u tri pravna subjekta koje zastupam", pojasnio je.

Svoju analizu zaključio je oštrim upozorenjem o stanju digitalne sigurnosti ključnih državnih servisa. "Sigurnost je iluzija. Sami smo", poručio je Rakar.

Podsjetimo, kako bi dokazao razmjere problema, Rakar je izveo test registracije kod dvaju informacijskih posrednika - eRačuna Hrvatske pošte i Tvoj-eRačuna. U oba slučaja uspio je otvoriti račun koristeći lažnu e-mail adresu i OIB potpuno nasumičnog poslovnog subjekta, bez ikakve provjere identiteta. Nakon registracije sustav mu je odmah omogućio slanje eRačuna u ime tih tvrtki, uključujući i mogućnost navođenja IBAN-a u inozemstvu.

Takav propust, upozorava Rakar, otvara prostor za širok spektar zloupotreba – od krađe poslovnih tajni do masovnih financijskih prijevara nalik onima koje su se već dogodile u Mađarskoj, gdje su napadači programski mijenjali IBAN-e na računima i preusmjeravali novac na vlastite račune.