Orosz mérőkód fut az oldalon, amelyet az Ügyfélkapu+-hoz ajánl a kormány – írja a Telex. Az említett, az Ügyfélkapu+ kétfaktoros azonosításához használható oldal a TOTP.APP, amely körül a lap cikke szerint több furcsaság is tapasztalható: az említett orosz mérőkód futtatása mellett nem derül ki, hogy ki üzemelteti és hogyan kezeli az adatokat (nincs adatkezelési tájékoztató), illetve más jelek is arra utalnak, hogy orosz fejlesztésű szolgáltatásról van szó.

Kétségtelen, hogy a TOTP.APP alkalmazás részletes vizsgálata nélkül nem lehet megmondani, hogy nem jelent-e az alkalmazás veszélyt a magyar állampolgárokra. Remélem, hogy ezt valaki hivatalosan megvizsgálta és megállapította

– mondta a Telexnek egy névtelenséget kérő kiberbiztonsági szakértő, aki hozzátette, véleménye szerint égbekiáltó, hogy 2025-ben az Európai Unió egyik tagállamban az állampolgárok legféltettebb személyes adataihoz való hozzáféréshez hivatalosan egy eléggé orosz fejlesztésűnek kinéző alkalmazást ajánlanak.

A lap megkereste a Nemzetbiztonsági Szakszolgálathoz tartozó Nemzeti Kibervédelmi Intézetetet is, ahonnan többek között az a válasz érkezett, hogy „Visszaélésről ez idő alatt nem tudunk. A publikus szolgáltatásokat rendszeresen elemző oldalak szerint nincs probléma a működésével kapcsolatban. További kérdésekkel kérjük az Ügyfélkapu szolgáltatóját megkeresni”. A szolgáltató az IdomSoft, ami a kérdésekre nem reagált.

Az ügy kapcsán Makay József kiberbiztonsági szakértő a kapcsolódó Facebook-bejegyzésében arról ír, hogy az említett orosz követőkód az IP-címet, a hozzávetőleges tartózkodási helyet, a használt eszköz típusát, annak operációs rendszerét, a böngésző típusát, annak nyelvét és a képernyő felbontását követi. A szakember hozzátette: ideális esetben ezeket az adatokat a felhasználói élmény javítására szokták használni, de a szolgáltatás nem teljesíti a GDPR követelményeit és adatkezelési tájékoztató sem található az oldalon, a felhasználók nem kapnak tájékoztatást a fentiekről.

Ahogy a Telexnek nyilatkozó szakértő is utalt rá, egyelőre nem bizonyított, hogy a TOTP.APP veszélyt jelent a magyar állampolgárokra. Ugyanakkor, ha valaki (például a 24.hu cikke nyomán) elkezdte használni ezt a szolgáltatást kétfaktoros azonosításra, és aggódik az adatai miatt, annak adott a lehetősége arra, hogy „érvénytelenítse„ (ezáltal saját maga és más számára is használhatatlanná tegye) a regisztrációkor megadott, a működéshez nélkülözhetetlen titkos kódot, majd használjon egy másik megoldást.

Két megoldás is van

Első megoldás: azonosító szolgáltatás váltása

Ha valaki a TOTP.APP-ot használja az Ügyfélkapu+ belépéskor szükséges kétfaktoros azonosításra, és a fenti információk alapján váltani szeretne, méghozzá úgy, hogy az említett szolgáltatásban az első beállításkor megadott kód egyúttal használhatatlanná is váljon, annak a következő lépéseken kell végigmennie.

Nulladik lépés: mindenek előtt el kell dönteni, hogy milyen azonosító megoldást szeretnénk használni a TOTP.APP helyett. Ez lehet a fejlesztők által ajánlott mobilos Google Hitelesítő okostelefonon (útmutató itt), ez lehet a szintén a fejlesztők által ajánlott, mobilt nem igénylő, böngészős Verifyr (útmutató itt), de lehet bármelyik másik hitelesítő alkalmazás, amiben a felhasználó megbízik. Ha valaki nem akar okostelefont használni, de a fejlesztők által ajánlott Verifyr-t sem találja szimpatikusnak, annak adott a magyar nyelven is elérhető Hitelesítő (Authenticator) böngészős kiegészítő/bővítmény, ami működik Chrome, Firefox és Edge esetében is.

Látogasson el az ugyfelkapu.gov.hu oldalra.
Kattintson a Bejelentkezés gombra.
Válassza ki az Ügyfélkapu+ hitelesítő alkalmazással lehetőséget.
Adja meg a felhasználónevet és jelszót, majd nyomjon a Bejelentkezés gombra.
Adja meg a hitelesítő alkalmazásban szereplő kódot, majd nyomjon a Bejelentkezés gombra.
Belépve válassza a Hitelesítő Ügyfélkapu+ beállítások opciót.
Kattintson a Beállítás másik eszközre lehetőséget.
Végezze el újra a regisztrációt a választott szolgáltatás/alkalmazást használva az itt kapott új titkos kóddal (a folyamat során a régi kód használhatatlanná válik). Az okostelefonos Google Hitelesítő alkalmazáshoz itt találja az útmutatónkat, a Verifyr szoftveres regisztrációs folyamatot pedig itt vettük át lépésről-lépésre.

Második megoldás: váltás e-mailes hitelesítésre

Ha valaki a TOTP.APP-ot használja az Ügyfélkapu+ belépéskor szükséges kétfaktoros azonosításra, és a fenti információk alapján váltani szeretne, de a kétfaktoros hitelesítést nem valamilyen alkalmazással/szolgáltatással szeretné tovább használni, hanem a január 14-én élesedett, e-mailben érkező kódos azonosítással, és emellé szeretné, hogy a TOTP.APP-ban használt titkos kód is érvénytelenné váljon, annak a következő lépéseket kell megtennie.

Nulladik lépés: kezdésnek mindenképpen be kell állítani az e-mailes hitelesítést, amihez itt található részletes útmutató, méghozzá a Ha már van Ügyfélkapu+ regisztrációnk résznél – a két hitelesítési megoldás használható párhuzamosan. Ha az itt olvasható lépéseket sikeresen végrehajtottuk, és ellenőriztük is, hogy működik-e a belépés az e-mailben érkező kóddal, akkor utána jöhetnek a következő lépések. NAGYON FONTOS: a lenti lépéseket semmiképp ne hajtsuk végre, ha előtte nincs beállítva az Ügyfélkapu+ e-mailes kóddal hitelesítési lehetőség.

Látogasson el az ugyfelkapu.gov.hu oldalra.
Válassza ki a Hitelesítős Ügyfélkapu+ megszüntetése opciót.
Adja meg a felhasználónevét, a jelszavát és az Ügyfélkapu+ regisztrációkor kapott törlőkódot, majd nyomjon a Hitelesítős Ügyfélkapu+ megszüntetése gombra. Ha nincs meg a kód, akkor be kell lépni a felületre az Ügyfélkapu+ hitelesítő alkalmazással opcióval, majd a Hitelesítős Ügyfélkapu+ beállítások menüponton belül a Törlőkód megtekintése opciónál lejegyezni az ott szereplő kódot, kijelentkezni, majd elölről elkezdeni az egész folyamatot.
A sikeres megszüntetést követően az ugyfelkapu.gov.hu oldalon, illetve bármelyik állami felületen a Belépés gomb megnyomása után az Ügyfélkapu+ e-mailes kóddal opciót kell választani.

The post Ügyfélkapu+: ezt tegye, ha aggódik az orosz mérőkódos TOTP.APP miatt first appeared on 24.hu.