Hekkelhető volt 37 millió magyar e-akta

2014 novemberében a SEARCH-LAB Kft. biztonsági hibát talált több hivatalos elektronikus aláírást ellenőrző alkalmazásban. A sérülékenység az e-akta formátumú állományokat érintette, meg lehetett kerülni a védelmet, a dokumentumokat a hivatalos aláírás után is módosítani lehetett.

Az elektronikus aláírásról szóló 2001-es törvény óta Magyarországon közokirat, teljes bizonyító erejű magánokirat, valamint egyéb, az írásba foglalás követelményének megfelelő bizonyító erejű irat is előállítható elektronikus formában. A közigazgatásban a hiteles elektronikus iratok kezelésére az e-akta formátum terjedt el leginkább: ezt használják a cégbíróságok, a bankok, az ügyvédek, a Földhivatal, felszámoló biztosok, de e-számlázásnál is gyakori. 2008 óta a cégeljárás Magyarországon kötelezően elektronikusan zajlik: minden változásbejegyzési, cégalapítási kérelem csak elektronikus úton intézhető és az ezzel kapcsolatos iratok is kizárólag elektronikus formában tekinthetőek hiteles közokiratnak.

A SEARCH-LAB kutatói olyan hibát találtak, amivel megoldható az elektronikus közokiratok hamisítása. Egy rosszindulatú támadó a cégbírósági bejegyző végzés nála lévő példányában utólag észrevétlenül megemelhette volna a törzstőke összegét úgy, hogy a számlanyitáskor a banki ellenőrzés az iratot kibocsátó cégbíró aláírását továbbra is hitelesnek találta volna.

Nem az elektronikus aláírás rendszere és nem maguk az elektronikus akták lyukasak, csak az érintett szoftverek hibájáról van szó. Maga az elektronikus aláírás technológiája és a kriptográfiai eljárás változatlanul erős. Vagyis a biztonsági hiba nem érinti a dokumentumok elektronikus aláírását, illetve az e-akták érvényességét, csak egyes e-akták megjelenítésére, feldolgozására szolgáló alkalmazások korábbi verzióit. A manipuláció minden e-akta esetében utólag kimutatható. Az archívumokban tárolt több mint 37 millió e-akta hitelességét megvizsgálták az érintettek, de nem találtak visszaélést.

A hibát a Microsec e-Szignó és a NetLock MOKKA alkalmazásában is megtalálták, de 2014. decemberben javították a szoftvereket. Ezeket a szoftverek rendszeresen ellenőrzik, így a két tanúsító szervezettel együtt összességében négy egymástól független piaci szereplő figyelmét is elkerülte ez a speciális támadási lehetőség. A javításban részt vett a Magyar Elektronikus Aláírás Szövetség (MELASZ) és a kormányzati elektronikus veszélyek feltárásával foglalkozó GovCERT-Hungary is.