Nová aktualizace eDokladů
Digitální a informační agentura vydala novou verzi aplikace eDoklady (1.5.0), která opravuje odesílání diagnostických dat a provádí další drobné uživatelské úpravy. Aplikace odesílala data za účelem detekce a odstraňování chyb, ale nesprávně odesílala i podrobnější informace.
Tyto informace byly před zpracováním anonymizovány, ale jejich odesílání i proto nebylo potřeba. Digitální a informační agentura (DIA) v těchto dnech provádí mimořádný audit zabezpečení aplikace, který má potvrdit jak omezení odesílaných dat, tak i zkontrolovat samotný kód aplikace, který poté DIA plánuje zveřejnit.
Aktualizace aplikace eDoklady je pro všechna zařízení povinná a starší verze aplikace nejde nadále používat. K plánované aktualizaci bylo v posledních dnech připojeno několik dalších úprav, které mají za úkol omezit rozsah odesílaných logů, které aplikace posílá vývojářskému týmu. Logování bylo donedávna nastaveno tak, aby odesílalo větší množství dat, než bylo pro opravy třeba. Agentura dále provádí mimořádný bezpečnostní audit, který potvrdí správné nastavení nového rozsahu pořizovaných logů, ale také se bude věnovat předchozímu odesílání dat.
Data byla odesílána skrz cloudové servery do služby Sentry, na kterou se spoléhají světoznámé společnosti jako Microsoft, Disney, Slack, SONOS, reddit a další. Odesílání dat na servery, které se nachází v Nizozemsku, je zabezpečené a šifrované pomocí SSL. Data nikdy neopustila Evropskou unii. Služba Sentry veškeré osobní či potenciálně citlivé informace anonymizuje. Data byla ukládána po dobu 60 dní a poté byla smazána.
Aktualizací DIA vychází vstříc některým obavám, které kolem tématu odesílání diagnostických dat v posledních dnech nastaly. Odesílání jiných, než čistě technických dat je od nové verze aplikace 1.5.0 extrémně omezeno, což v následujících dnech potvrdí mimořádný bezpečnostní audit agentury. Po něm bude následovat navazující audit celého kódu aplikace, aby bylo do budoucnosti zamezeno podobným obavám. Po tomto auditu plánuje Digitální a informační agentura kód aplikace zveřejnit. O tomto kroku bude DIA podrobněji informovat v blízké budoucnosti, až bude procesně a legislativně naplánován jeho konkrétní postup.
**
Použití digitální občanky v mobilu nemělo podle autorů aplikace zanechávat elektronickou stopu. Přesto se tak děje a data končí na serverech v zahraničí. Expert na kyberbezpečnost Vladimír Smejkal to označil za „skutečně velký průšvih“. V rozhovoru pro CNN Prima NEWS upozornil, že informace o každém z nás může mít v podstatě kdokoliv. Ministerstvo pro místní rozvoj přitom opakovaně ujišťovalo občany, že používání digitálních dokladů je zcela bezpečné.
Únik citlivých údajů odhalila analýza, kterou provedl server iRozhlas.czspolu s Radiožurnálem. „Přestože jsme tuto funkcionalitu nikdy nepožadovali, aplikace skutečně z důvodu odstraňování chyb odesílala určité technické informace, mezi nimiž bohužel byly i osobní údaje uživatelů,“ uvedl pro CNN Prima NEWS ředitel Digitální a informační agentury Martin Mesršmíd.
Podle aktuálně dostupných informací má v telefonu eObčanku skoro půl milionu Čechů a přijímá ji přes 1 200 míst.
„Přístup k jejich datům může mít prakticky každý, kdo se nachází ve zpracovatelském řetězci. To znamená firma, která e-občanku provozuje, kdokoliv na trase k serveru, provozovatel serveru a také jakákoliv třetí strana, která se k těm datům dostane. Tato data mohou být zdrojem velmi zajímavých informací o každém z nás,“ zdůraznil Smejkal.
Podle Mesršmída mohou uživatelé očekávat v nejbližších dnech automatickou aktualizaci aplikace, která pak bude odesílat výrazně méně dat. Viz informace na počátku tohoto textu.