Január 16-tól, aki interneten akar állami ügyeket intézni, annak az Ügyfélkapu+ vagy a Digitális Állampolgár mobilalkalmazást kell használnia, ezek a kétfaktoros belépéssel ellátott alkalmazások váltották ugyanis a korábbi Ügyfélkaput. Az átállásról a HVG ebben a cikkben írt részletesen:

Az Ügyfélkapu+ lényege, hogy a régi felhasználónév és jelszó mellé egy minden alkalommal változó bejelentkezési kódot is meg kell adni. Az éppen aktuálisan felhasználható kód érkezhet emailben, vagy lehet erre alkalmas alkalmazással generálni. A kormány ajánlásokat is tesz arra, hogy melyik kódgenerátorok használatát javasolja. Az egyik ilyen javaslat a TOTP.APP nevű oldal, amely körül azonban több furcsaság is van – számolt be a Telex.

A lap szerint amellett, hogy nem derül ki, hogy ki üzemelteti és hogyan kezeli az adatokat, egy orosz mérőkód is fut rajta, és más jelek is arra utalnak, hogy orosz fejlesztésű szolgáltatásról van szó. Az Ügyfélkapu oldalán egy részletes leírás is található arról, hogyan kell beállítani a TOTP.APP-ot. A szolgáltatás tehát megkapta a kormányzati zöld jelzést.

A Telex szerint a TOTP.APP oldalán a Yadro nevű orosz cég counter.yadro.ru kezdetű mérőkódja fut.

Mérőkódot azért szoktak tenni az oldalak kódjába, hogy az üzemeltető követni tudja, kik és hogyan használják az oldalt, statisztikai adatok rögzítésére alkalmas. Számos oldalon találni ilyen megoldást, ezzel tehát önmagában nincs probléma, az azonban 2025-ben meglepő választás, hogy 2025-ben, az orosz–ukrán háború harmadik évében egy uniós országban a kormány az állami ügyintézés igénybevételéhez egy olyan szolgáltatást ajánl, amelyet az évek óta különféle szankciókkal sújtott agresszor országban, Oroszországban fejlesztenek – hangsúlyozza a lap.

„A TOTP.APP nem rendelkezik szerverkóddal. Ez statikus szkriptek halmaza, amelyek csak a böngészőben futnak. Ezért nincs regisztrációnk, és minden adata csak az Ön böngészőjében tárolódik, és az Ön böngészőjén kívül senki sem fér hozzá” – ígéri maga az oldal leírása, és arra ennek ellenkezőjére valóban nem is utal semmi.

Az azonban, hogy 2025-ben egy EU-tagállamban az állampolgárok legféltettebb személyes adataihoz való hozzáféréshez hivatalosan egy eléggé orosz fejlesztésűnek kinéző alkalmazást ajánlanak, az véleményem szerint égbekiáltó

– mondta a Telexnek egy névtelenséget kérő kiberbiztonsági szakértő.

Szintén nincs az oldalon adatvédelmi tájékoztató. Bár erre az oldalra az uniós adatvédelmi rendelet, a GDPR feltehetően nem vonatkozik, EU-s országban szokatlan, hogy a kormány egy olyan szolgáltatást ajánl, amely nem árulja el, hogyan kezeli az adatokat, és ki üzemelteti.

A lap megkereste a Nemzetbiztonsági Szakszolgálathoz tartozó Nemzeti Kibervédelmi Intézetet.

„Megkeresésére válaszolva tájékoztatjuk, hogy az Ügyfélkapu+ 2022 évben indult, a szolgáltató azóta ajánlja a TOTP.APP-ot, mint webes második faktoros szolgáltatást. Visszaélésről ez idő alatt nem tudunk. A publikus szolgáltatásokat rendszeresen elemző oldalak szerint nincs probléma a működésével kapcsolatban. További kérdésekkel kérjük az Ügyfélkapu szolgáltatóját megkeresni” – írta válaszában a Nemzetbiztonsági Szakszolgálat Sajtóiroda a lapnak, míg az Ügyfélkapu+-t is fejlesztő IdomSoft.

A Telex megjegyzi, hogy orosz mérőkód okozott már nagy felhördülést Magyarországon: 2017-ben a 444 vette észre, hogy a Yandex kódja megtalálható a kormány nemzeti konzultációs oldalán. Az az eset azért volt nagyon súlyos, mert maga a kód alkalmas volt arra, hogy a konzultációt kitöltő felhasználók által az oldalra beírt személyes adatokat is az orosz cégnek továbbítsa. A Nemzeti Adatvédelmi és Információszabadság Hatóság akkori vizsgálata arra jutott, hogy a kódot az oldal fejlesztésével megbízott alvállalkozó helyezte el, illetve felejtette ott, de kikapcsolt állapotban, ezért a Yandex állítása szerint, bár a kód valóban továbbított adatokat, azt a szerverük nem fogadta.