Η Αρχή Προστασίας Δεδομένων ενημερώθηκε στις 18 Μαΐου από την Ένωση Πληροφορικών Ελλάδας (ΕΠΕ) σχετικά με πιθανό πρόβλημα ασφάλειας κατά την επικύρωση εγγράφων που παράγονται από τις υπηρεσίες του ιστότοπου gov.gr.
Συγκεκριμένα, στο έγγραφο της ΕΠΕ αναφέρεται ότι είναι δυνατόν κάποιος με απλή αναζήτηση στο Google να αποκτήσει πρόσβαση στον υπερσύνδεσμο (URL) που εμφανίζει την υπεύθυνη δήλωση πολίτη και ότι, επιπρόσθετα, αν λάβει γνώση μέσω κάποιας πηγής ή εντελώς τυχαία του κωδικού hash key που χρησιμοποιείται για την επικύρωση (validation), μπορεί να αποκτήσει αντίγραφο του εγγράφου.
Αναφέρεται, επίσης, ότι η προστασία των εγγράφων μόνο με ένα hash key, χωρίς έλεγχο πρόσβασης, χωρίς αυθεντικοποίηση (login) του χρήστη και χωρίς διαδικασία ρητής άδειας μεταβίβασης μεταξύ κατόχου-παραλήπτη, βρίσκεται εκτός των ελάχιστων υποχρεωτικών προδιαγραφών, όπως ορίζονται από τη σχετική νομοθεσία.
Ερευνα της Αρχής Προστασίας Δεδομένων
Η Αρχή διερεύνησε άμεσα τα αναφερόμενα στο δελτίο Τύπου της ΕΠΕ, ενώ περαιτέρω, την 19 Μαΐου, πραγματοποιήθηκε τηλεδιάσκεψη στελεχών της Αρχής και του υπουργείου Ψηφιακής Διακυβέρνησης για την παροχή αναλυτικών πληροφοριών σε σχέση με τα μέτρα ασφάλειας του εν λόγω συστήματος.
Έπειτα από αξιολόγηση των στοιχείων και σχετικής διερεύνησης, η Αρχή συμπέρανε ότι εν όψει της φύσης, του πεδίου εφαρμογής, του πλαισίου και του σκοπού της επεξεργασίας, καθώς και των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο καθένας εκ των οποίων έχει διαφορετική πιθανότητα να επέλθει και διαφορετική σοβαρότητα, τα εφαρμοζόμενα μέτρα ασφάλειας για την ανωτέρω επεξεργασία είναι επαρκή.