Az online szerződéskötés kockázatai

A digitalizáció terjedésével megnőtt az igény arra, hogy olyan esetekben is lehessen szerződéseket kötni, amikor a szerződő felek előzetesen nem találkoztak fizikailag. Például egy bank tudjon hitelszerződést kötni egy magánszeméllyel akkor is, ha az illető korábban nem volt a bank ügyfele, így a bank nem rendelkezik a személy azonosításához szükséges adatokkal. A koronavírus járvány miatt ez a megoldás még jobban felértékelődött és egyre több cég kínál erre megoldásokat. Ezen blogbejegyzésemben egy magyar "startup" szolgáltatót fogok alaposabban megvizsgálni, mely során kiderül, hogy milyen súlyos problémák vannak az általa alkalmazott eljárással és ez miért nagy kockázat.

Ahhoz, hogy egy cég vagy magánszemély elektronikus aláírást használhasson előzetesen egy azonosítási folyamatot kell lefolytasson, amely során igazolja a személyazonosságát. Ezt egy un. hitelesítés szolgáltatónál tudja megtenni a regisztrációs folyamat alkalmával.

Az 541/2020. (XII. 2.) Korm. rendelet a bizalmi szolgáltatások esetében a személyes jelenléttel egyenértékű biztosítékot nyújtó, nemzeti szinten elismert egyéb azonosítási módszerekről 3. § (1) bekezdése alapján videotechnológiás azonosítás esetén a bizalmi szolgáltató élő telekommunikációs kapcsolat során videófelvétel útján képmást készít az ügyfélről, majd összeveti az ügyfélről készített fényképet és az azonosításhoz felhasznált okmányban szereplő képmást. Az azonosítás akkor megfelelő, ha a bizalmi szolgáltató által egyértelműen megállapítható, hogy az okmányban szereplő személy azonos a videófelvételen szereplő ügyféllel.

A videotechnológiás azonosítást végző bizalmi szolgáltató köteles megbizonyosodni arról, hogy az okmány alkalmas és megfelel videotechnológiás azonosítás elvégzésére, így:
a) az okmány megfelel az okmányt kiállító hatóság előírásainak,
b) az egyes biztonsági elemek – különösen a hologram, a kinegram vagy ezekkel megegyező más biztonsági elemek – felismerhetőek és sérülésmentesek, és
c) az okmány azonosítója megegyezik az ügyfél által közölt okmányazonosítóval, felismerhető és sérülésmentes.

Az elektronikus aláírást – amely valójában egy kriptográfiai módszerekkel védett azonosító – a hitelesítés szolgáltató állítja ki az azonosítást követően. Az ügyfél az aláíráshoz ezt az azonosítót használja, oly módon, hogy azt a szolgáltató teszi rá arra a dokumentumra, amelyet alá szeretne írni, így lesz az hiteles. Két aláírás típust különböztetünk meg a fokozott biztonságú aláírást, melynek használatával magánokiratok készíthetők és a minősített aláírást, amely alkalmazásával a kézzel írott aláírással egyenértékű, teljes bizonyító erejű okiratot lehet létrehozni.

Fontos kiemelni, hogy az ilyen módon aláírt dokumentum, szerződés esetében nincs állandó ellenőrzés az aláíró felek személyazonosságát illetően. A folyamat során egyetlen alkalommal, a hitelesítési szolgáltatónál történt sikeres azonosítás alapján a szolgáltató kiad egy igazolást arról, hogy a digitális térben alkalmazott elektronikus aláírás mögött valóban az a személy áll, akinek az ügyfél mondja magát. Az elektronikus aláírás önmagában azonosítja a személyt, úgy tekinthető, mint egy hivatalos okmány, amely a személyazonosságot igazolja.

Figyelemmel arra, hogy az EU tagállamokban kötelezően alkalmazandó eIDAS Rendelet alapján nem lehet megtagadni egy dokumentum elfogadását arra tekintettel, hogy az nem papíralapon, hanem elektronikusan lett aláírva, azokon a területeken, ahol nem kötelező a papíralapú ügyintézés, az elektronikus aláírást el kell fogadni.

A fentieket figyelembe véve jól látható, hogy az elektronikus aláírás előtt, a hitelesítési szolgáltatónál végzett azonosítási folyamat kiemelten kritikus a visszaélések, csalások szempontjából, hiszen az az a folyamat, amely során a megadott adattartalommal kiadott igazolás készül.

Az elektronikus aláírás kibocsájtásának és szerepének megértéséhez a legjobb analógiaként a személyi igazolvány szolgálhat: a kiállított okmány tulajdonosa, saját (közokiratba foglalt) tényei és adatai alapján illetve azok felhasználásával jogosult szerződések és egyéb jogügyletek megkötésére. Amennyiben a feltüntetett adatok hibásak vagy valótlanok, úgy a megkötött jogügyletek vagy érvénytelenné válhatnak vagy nem a jogosult nevében köttettek, így megkárosítva egyik, vagy mindkét felet.

Kiemelten fontos állami feladat tehát, hogy az elektronikus aláírások kapcsán is megteremtődjön az a magas fokú biztonság és bizalom, ami az állami igazolások, dokumentumok kapcsán már régóta fennáll.

A TrustChain Systems Kft.-t 2017-ben alapították, a weboldalukon található leírás szerint a cél egy olyan felület létrehozása volt, amely a Magyarországon belüli és a nemzetközi kereskedelmi ügyleteket és finanszírozásukat egyszerűbbé és gyorsabbá teszi a KKV szektorba tartozó cégek számára. Az általuk kifejlesztett TrustChain Platform egy olyan eszköz, amely online környezetben, részben automatizált módon valósítja meg a cégek közötti partner-azonosítás, szerződéskötés és a kapcsolódó pénzügyi elszámolás folyamatát.  A felhasználó számára könnyen kezelhető online felületen teszi hozzáférhetővé a rendszerben létrehozott elektronikus dokumentumokat; a tranzakciók jóváhagyása, az elektronikus dokumentumok aláírása pedig a bizalmi szolgáltatást végző Evrotrust okostelefonos applikációján keresztül történik. 

A cégbe több, piaci szereplő is befektetett (Startup Campus Inkubator Zrt.53 millió HUF, Hiventures Kockázati Tőkealap-kezelő Zrt.két részletben összesen kb. 356 millió HUF). 

A cég aktuális és korábbi tulajdonosi szerkezetét megvizsgálva két személy válik érdekessé:

Dr. Fahn Gábor , aki 2002-ben szerzett jogi diplomát a Pázmány Péter Katolikus Egyetemen, azóta számos gazdasági vállalkozás alapítója, tulajdonosa volt, illetve ügyvédként is praktizál. Neve több esetben is különböző visszaélések és uniós források pályázatainak kapcsán merült fel. („PPO-botrány”, horvát letelepedési kötvények, stb.) 

Dr. Romhány Gergely, aki jelenleg is a cég ügyvezetője, 2006 és 2013 között több magyar és lengyel egyetemen is tanult, hazánkban az ELTE jogi karán és a Corvinus egyetemen szerzett diplomát. 

A két férfi neve a TrustChain alapítását megelőzően is felmerült közös gazdasági vállalkozásban. Romhány ügyvezetője, Fahn társalapítója volt a Repon Consulting and Research Kft.-nek, melynek köze volt a Csonticar céggel kapcsolatos botrányhoz is, melyről többek között a PestiSrácok internetes oldal is írt. Később a cégből MerkIT Consulting Kft. lett, mely a mai napig működik, és amely 2019-ben a Trustchain tesztelését is elvégezte. 

Dr. Romhány Gergely és a Hiventures-höz köthető személyek kapcsolata nem pusztán a TrustChain vonatkozásában észlelhető. Dr. Romhány alapítója a fent jelzett MerkIT Consulting Kft.-nek, amely tulajdonosa az RnD Strategy Kft. Utóbbi gazdasági vállalkozásban tulajdonos még maga Dr. Romhány Gergely, illetve a Hiventures vezérigazgatójának, Katona Bencének a felesége, Dr. Katona-Dobos Klára Luca is. A cég által készített Sciencer platform – amire kaptak 27 millió forintos állami támogatást – 2020 elején indult, azonban a regisztrált felhasználók száma a mai napig nem éri el a százat, marketing tevékenységet szinte egyáltalán nem folytatnak, így okkal feltételezhető, hogy valódi projekt nem valósult meg, és felmerül a gyanú, hogy az érintettek pusztán az állami támogatás megszerzésére törekedtek (a Trustchain és a Hiventures saját oldalaikon megjelenítik, mint együttműködő vállalkozást). A Sciencer honlapján továbbá mentorként jelölik meg Mikesy Álmost, aki jelenleg a Hiventures vezérigazgató helyettese. 

A Trustchain az elektronikus aláíráshoz szükséges hitelesítést a bolgár Evrotrust Technologies céggel kooperálva végzi. A bizalmi szolgáltatót 2015-ben alapították Bulgáriában, az általuk kifejlesztett telefonos applikáció segítségével az ügyfélnek – a sikeres validációt és regisztrációt követően – lehetősége van hiteles e-aláírással ellátni a különböző okiratokat. 

A cég vezetője Konstantin Stanislavov Bezuhanov, aki a kutatásaim alapján középiskolai és egyetemi tanulmányait Nagy-Britanniában folytatta, ahol feltehetően jelenleg is él. Magánéletéről az iskoláin és munkahelyein kívül egyáltalán nem oszt meg információkat, elektronikus lábnyoma kicsi. Mindezek a körülmények arra engednek következtetni, hogy az érintett rejtőzködő életmódja mögött adott esetben külföldi titkosszolgálati elemek (kötődés, kiképezettség…stb) húzódnak.

Nyílt forrású adatgyűjtésem feltárta, hogy Bezuhanov édesapja, Stanislav Konstantinov Bezuhanov 1989. február 09-én szerelt fel a bolgár Tudományos és Műszaki Hírszerzési Minisztérium állambiztonsági főosztályához hadnagyként. Később a bolgár InvestBank egyik vezetője lett (1997-ig), amelynek megalapításában az egykori bolgár állambiztonság is részt vehetett. A pénzintézet vezetőségében mintegy 10 olyan személy volt, akik egykor az állampárti titkosszolgálatnál dolgoztak, így felmerül annak alapos gyanúja, hogy a vállalkozás fedőcégként működött. 

Stanislav egyik testvére, Sasha Bezuhanova Bulgária egyik, ha nem a legismertebb női IT-szakembere. A nővel kapcsolatban több cikkben is megemlítették, hogy abban az időben, amikor a Hewlett-Packardnál volt vezető, akkor a bolgár belügyminisztérium IT projektjét az amerikai nagykövetséggel fennálló kapcsolata és így vélhetően a diplomáciai nyomásgyakorlás révén sikerült a cégnek elnyernie. Kiemelendő, hogy Sasha Bezuhonava az Evrotrust igazgatósági tagja.

Az információgyűjtés után megvizsgáltam a TrustChain által alkalmazott regisztráció, azonosítási folyamatot, melyről az alábbi megállapításokat tudom tenni. Itt szeretném kiemelni azt is, hogy az észlelt problémák a tesztelés során létezőek voltak, de természetesen semmi nem garantálja azt, hogy a cikk megjelenése után a cég nem változtat az eljáráson, így a későbbi reprodukció sikertelen lehet.

Az Evrotrust (és így a TrustChain) által alkalmazott folyamat első lépéseként az ügyfél lefényképezi valamely, személyazonosításra alkalmas okmányát (Magyarország esetében a személyi igazolvány, illetve az útlevél az elfogadott). A második lépésben a rögzített dokumentumon található arcképet a rendszer biometrikus módszerrel összeveti a regisztráló élő kamerás képével, amely ha sikeres, a regisztráció kész, és 24 órán belül megkapja a jogosultságot az online aláírásra. 

Amennyiben sikertelen volt a második lépés, akkor egy élő operátorhoz kapcsol a program, aki ellenőrzi a személyazonosságot. A regisztráció során – állításuk szerint – a rögzített okmány adatait összevetik az adott ország nyilvántartásaival és elméletileg csak akkor lehet sikeres a regisztráció, ha nem hamis adatokat adtak meg. 

A regisztrációval kapcsolatos problémák és biztonsági rések:

  1. Biztonsági szempontból egyértelműen problémásnak tekinthető, hogy az igazolványt önmagában olvassák, azt nem kell semmilyen speciális utasításnak megfelelően bemutatni (a felhasználó arcával egyidejűleg felmutatni a kamerának, megmozgatni, hogy a holografikus biztonsági elemek felismerhetőek legyenek…stb.).

    Tesztjeim alapján elmondható, hogy nem végeznek plasztik felismerést, tehát a regisztrációhoz nem szükséges, hogy valódi személyigazolvány kerüljön bemutatásra, elegendő, ha annak fényképe – monitoron megjelenített képe – kerül bemutatásra a kamerának. 

  2. A próba regisztrációk során azt is tapasztaltam, hogy az igazolvány befényképezését követően az azon lévő adatokat kiolvassa a rendszer, majd a felhasználó ezeket manuálisan módosíthatja. Erre vélhetőleg azért van szükség, mert előfordulhat, hogy bizonyos karaktereket rosszul ismer fel a rendszer, így nem az érvényes adatokat jeleníti meg. A regisztráció során a személyi igazolványon lévő egyik adatot tévesen olvasta be a rendszer. Mikor manuálisan kijavítottam, akkor véletlenül egy karaktert elütöttem és azt tapasztaltam, hogy a hibás adattal kitöltött regisztrációt a rendszer elfogadta és az elektronikus aláíráshoz való jogosultságot biztosítottaez indította aztán a mélyebb vizsgálatokat. 

  3. A fentiek értelmében erősen feltételezhető, hogy amennyiben egy valós személy személyi igazolványának képén kicserélésre kerül grafikai úton a fénykép, és az új képhez tartozó személy végzi el a videós azonosítást, akkor – mivel az előírások ellenére közhiteles nyilvántartásból nem kerül lekérésre az igazolványhoz tartozó fénykép, és a személyi igazolványról a rendszer nem képes megállapítani, hogy az nem valódi, csak egy szerkesztett kép – megtörténhet a hamis adatokkal történő regisztráció is. Egy személyi igazolványról készült képet megszerezni könnyű, hiszen rengeteg olyan azonosítási folyamat van, ahol lefénymásolják az igazolványt, de egy fals álláshirdetésnél az önéletrajzhoz kérhetik az igazolványok fényképének csatolását, így maga a tulajdonos készíti el a képet és küldi el. 

  4. További megerősítést nyert, hogy az EvroTrustállítása ellenére – nem hajt végre lekérdezést a Belügyminisztérium NYHÁT által működtetett adatbázisában. A céget megkeresve, kifejezett kérés ellenére sem nevezték meg konkrétan azt a hazai nyilvántartást, amelyből lekérdezést hajtanak végre. Ezen túlmenően, egy valódi adatokkal végrehajtott, sikeres regisztrációt követően megkeresésre került az illetékes szerv, hogy a kérdéses személy vonatkozásában történt-e információkérés az elmúlt időszakban. A Belügyminisztérium Személyi Nyilvántartási és Igazgatási Főosztályának hivatalos válasza alapján nem történt információ-kérés az adott EvroTrust ügyfél személyi adatainak kapcsán. Ez alapján felmerül annak gyanúja, hogy a bizalmi szolgáltató valótlanul állítja, hogy a regisztráló fél az adott ország egyik hiteles adatbázisában is ellenőrzésre kerül. 

Elmondható tehát, hogy az elvégzett hitelesítési eljárás nem felel meg a cég által közölteknek, nem kérdeznek le a közhiteles adatbázisból adatokat, a regisztráció során mindösszesen beolvassák a személyi igazolványon lévő adatokat, amelyek a felhasználó által szabadon megváltoztathatók, majd a felhasználó videó szelfijében szereplő képet összehasonlítják a személyi igazolványon lévő képpel, és amennyiben az egyezik, úgy kiadják a tanúsítványt. A folyamat megvalósítása is olyan, hogy lehetőséget adhat a visszaélésekre, ezáltal minősített aláírást lehet szerezni amennyiben valakinek a személyi igazolványának a képe rendelkezésre áll.

A TrustChain, mint vállalkozás és mint megoldás egyaránt komolytalannak tűnik: valódi, saját termékkel nem rendelkeznek, saját leírásuk szerint is csak az Evrotrust alkalmazását használják, hozzáadott érték nem található a működésükben. Az a körülmény, hogy mindezek ellenére az állami tulajdonban álló Hiventures kockázati tőkealaptól mintegy 400 millió forinthoz jutottak elsősorban feltehetően annak köszönhető, hogy a két cég vezetői között szoros személyi összefonódások vannak. A Hiventures vezetése esetében nemcsak az összeférhetetlenség, hanem bűncselekmény elkövetésének gyanúja is felmerül, emiatt a cikk megjelenésével párhuzamos ismeretlen tettes ellen, nagy vagyoni hátrányt okozó hűtlen kezelés bűntette elkövetésének alapos gyanúja miatt büntetőfeljelentést tettem a Készenléti Rendőrség Nemzeti Nyomozó Irodánál.

Álláspontom szerint annak következményei, hogy amennyiben a közvélemény számára kiderül, hogy az állami pénzből támogatott – mely pénz odaítélése és felhasználása is kérdéses – TrustChain olyan azonosítási eljárást alkalmaz, amely könnyedén kijátszható, és az összegyűjtött személyes adatok és az összes eddig aláírt dokumentum tartalmi elemei a bolgár – és rajtuk keresztül akár az orosz – titkosszolgálatok birtokába kerülhettek, igen súlyosak.

Jelen cikkben megfogalmazott megállapítások célja nem a benne szereplő személyek vagy cégek rossz színben történő feltüntetése, hanem a figyelemfelhívás, a közvélemény objektív tájékoztatása, a szakmai etikai követelményeknek való elégtétel. A cikk megírásakor feltárt információk bárki számára elérhetően, nyilvános adatforrásokból származnak (cégtár, keresőmotorok, weboldalak, hírportálok). A további, esetleges bűncselekmény elkövetésének megállapítása és a felelősségre vonás az illetékes hatóságok feladata.

forrás:
https://kibernyomozo.hu/digitalis_alairas_1/
https://kibernyomozo.hu/digitalis_alairas_2/

Hubert Csaba
kibernyomozó, etikus hacker

Hozzászólások

Szerkesztve: 2021. 05. 07., p – 14:12

Ez mi lenne? Reklám? Nem lesznek ezért zabosak itt?

A másik, hogy a jó öreg általános és középiskolás tananyagot a fogalmazásról elő lehetne venni már egy ilyen hosszabb szövegnél.

 

PS: átfutva, nem reklám, hanem ellenkezőleg, viszont még így is kicsit homályos

Én tavaly úgy nyomtam le a lakásvásárlás szerződéskötést hogy én meg az eladó ott voltunk fizikailag, az ügyvéd meg a skype video call túloldalán :)

Szerkesztve: 2021. 05. 07., p – 15:30

Ezen túlmenően, egy valódi adatokkal végrehajtott, sikeres regisztrációt követően megkeresésre került az illetékes szerv, hogy a kérdéses személy vonatkozásában történt-e információkérés az elmúlt időszakban.A Belügyminisztérium Személyi Nyilvántartási és Igazgatási Főosztályának hivatalos válasza alapján nem történt információ-kérés az adott EvroTrust ügyfél személyi adatainak kapcsán.

Ez a része mondjuk érdekelne. Mármint, hogy ezekszerint átlaghalandó is kérhet ki arról adatot, hogy kinek és mikor  és milyen célból szolgáltatták ki az adatait? 

Googliztam de erre nem találtam kérelmet. (szerintem mert nem létezik :))

Van ilyen de ebben nincsennek benne a nyilvános okmány érvényesség lekérdezések: https://index.hu/belfold/2018/05/15/valamit_akartak_tolem_a_zsaruk._ja_…

Bárki bármilyen okmány érvényességét ellenőrizheti amúgy: https://www.nyilvantarto.hu/ugyseged/OkmanyStatuszLekerdezes.xhtml

De ugye ez nem jelenik meg a fenti tipusú adatkérésben.

Az a baj inkább, hogy ez a csávó évek óta kéretlenkedik itt/hirdeti itt a hülyeségeit úgy, hogy egyébként nem kifejezetten tehetséges.

Szerkesztve: 2021. 05. 07., p – 19:10

Elolvastam, kár volt, hosszú egyoldalú, sok információt kihagy emellett nagyon sok az olyan megállapítás ami következtetés. Nagy része valami rossz összeesküvés filmből való részletnek tűnik. Teljesen egyértelmű, hogy ennyire szemet kiszúró lennének a kapcsolatok, ha valóban ez lenne a cél az Evrotrustnál... :) 

A TrustChain újrafelhasználja az Evrotrust rendszerét. Igaz drágább és rosszabb a szolgáltatás amit nyújt. Bárki használhatja közvetlenül az Evrotrust rendszereit. 
Az Evrotrust  teljes jogú EU eIDAS szolgáltató az összes regulátori kötelezettséggel a procedúráját elfogadva. Ez utóbbi viszont tény ellentétben blog fejtegetéseivel.

Én nem használom az említett szolgáltatást, viszont szigorúan általánosságban szólva (nem az adott céggel kapcsolatban, csak úgy általában):

Jól értem, hogy van egy új törvény, mely szerint videóazonosítás után is ki lehet adni minősített eIDAS elektronikus aláírást?

Ez eddig jó lenne, de ha tényleg vannak olyan cégek, akik rosszul végzik a videóazonosítást (nem kellő körültekintéssel ellenőrzik az adatokat), akkor ez alapján mindenki elkezdhet félni: ezek szerint bárkinek a nevével visszaélhetnek és készíthetnek minősített elektronikus aláírást? Az ugye azért nagy baj, mert akkor valakinek a nevében alá lehet írni, és amit aláírnak, az bíróság előtt bizonyító erejű. Aztán ha visszaélnek az ember személyazonosságával, akkor lehet évekig szaladgálni a bíróságra hogy kimagyarázza magát az ember.

Ez az automatikus azonosítás dolog eleve rosszul hangzik. Szerintem ezt nem lenne szabad hagyni, minden esetben élő operátor ellenőrizze az emberek személyazonosságát, és ne beküldött kép alapján, hanem kizárólag videó alapján: ugyanúgy, mint amikor élőben átnyújtom valakinek személyesen az okmányaimat, és összeveti a fizimiskámat az okmányban szereplő képpel. Ugyanúgy szerintem csak azt kéne engedni, hogy csakis videón keresztül (csatolmány használata nélkül), felmutatom egy élő személynek a személyi igazolványomat úgy, hogy a videón egyszerre látszódjon a fejem és a személyi igazolvány, hogy az élő emberi operátor meg tudja nézni, hogy tényleg nem csalok-e.

Ha ez nem így van és tényleg vannak ilyen automatizált azonosítások, az ijesztő. nem lenne túl jó ha valaki visszaélne a személyazonosságommal, aztán még én járjak évekig bíróságra bizonyítani az igazam.

Nekem a Skribble-nél van minősített, hiteles elektronikus aláírásom, az azonosítást a svájci Swisscom végezte, elég alaposan, élő videós kapcsolattal, az igazolványt kellett körbeforgatnom, az adatokat egyeztetnem (ez tipikusan magyar névvel kicsit vicces volt), meg a fejemet is, kb hátulról is megnézték, hogy milyen a nyakam. Elég hosszú azonosítás volt, de most van egy a hazainál egyszerűbben használható, az eIDAS követelményeknek ugyanúgy megfelelő aláírásom. Ha külföldi szolgáltatáshoz kell, tuti azt fogom használni.

Ha elektronikusan ír alá valaki, akkor meg kell nézni, hogy az tanusítványát kibocsátónak milyen felelősségvállalása van az adott cert kapcsán, mekkora értékhatárig "használható" a cert.
Ha ott van az e-személyi, és valaki várhatóan szeretne elektronikusan aláírni, akkor meg az e-szig ezen funkcióját kell kérni a kibocsátásakor, illetve a rajta lévő certet rendszeresen megújítani.