Внимание : тревожно несигурно преиздаване на електронен подпис от Инфонотари !

Имам си личен електронен подпис : малка USB джаджа, в която има смарт карта която държи секретния ми ключ. С него мога да се удостоверявам практически навсякъде (според законите в България) и удостоверяването има същата законова сила като саморъчен подпис.

Основната разлика между тази джаджа и секретен ключ записан във файл на компютъра (и безплатен или поне доста по-евтин) е че (поне практически без да си NSA примерно) не може да се използва или копира секретния ми ключ и няма друг начин да се ползва без човек да има устройството ми и да знае пина ми.

А има ли някой устройството и пина ми може да направи практически всичко от мое име : да ми продаде имотите, да ме разведе с жената и да изтегли кредит от мое име. Да дадеш на някого устройството и пина е все едно да му подпишеш празен лист хартия и да му кажеш да си добави текста по-късно. Или празен чек.

Затова ще разберете безкрайното ми учудване когато, като отидох да си подновя електронния подпис (издават ги с валидност 1 година) в един от офисите на Инфонотари (ТБ Алианц кл. Новотел Пловдив) служителката ме накара да сдам устройството, да да си въведа пина (!) и след това обърна екрана към себе си и съсредоточено затрака по клавишите ! Нищо че е банка и че продължи само 10-на минути (5 от които не бях дори и на бюрото защото трябваше да платя такса), тази девойка разполагаше с подписа ми (в безкрайни копия), който можеше да сложи от мое име където си реши.

Не казах нищо, но реших да се обадя в Инфонотари. От там ми казаха че това било “нормална процедура” и “така трябвало да стане”.

F**in Amazing !

И тъжното е че дори не знам към кого да се обърна за защита. Не върви да се откажа на услугите на тези люде : издателите на електронн подписи са монополисти, сертифицирани от държавата. Май само pastor@armenia.com остава. 🙂

Или да живеем като в средните векове : плюнчиш палеца и така …

8 коментара to “Внимание : тревожно несигурно преиздаване на електронен подпис от Инфонотари !”

  1. 100lv каза:

    Ами просто си избираш читав доставчик на подписа. Защо някои други могат да си направят системата, така че сам и когато и където ти е удобно да си подновиш подписа, а други мисля “велики” схеми.

  2. bat_Bedo каза:

    Лошо. Много лошо. Това си е свинщина. Проблема е че правилата ги пишат и прилагат лели с басмени рокли на цветя и памучни ризчици с буфон ръкавчета, чиито познания за развитието на техниката стигат до първите 2 реда копчета на дистанционното на телевизора. Най вероятно някъде има копие на хартия на това дето си го правил в банката. Спретнато в 3 екземпляра, най-малкото един от които може да бъде стигнат от произволен служител. В това число чистачката и охраната.
    И аз не знам какво трябва да се направи.
    сори

    • Жоро каза:

      Аз знам какво трябва да се направи : някой трябва да ги осъди по закона за защита на информацията. Да де, ама с тези дела дето се точат години и нямат нищо общо с логиката резултата не е ясен, а дори и да го има ще го има след няколко години когато вече отдавана ще е престанало да ми пука и ще съм дал крак и ръка за съдебни разходи междувременно.
      Но тук стигаме до генералния проблем в тази държава (според мен) : съда. Не искам да развивам теории на конспирацията, но според мен силите които управляват държавата не искат да се спазват законите защото и те самите не ги спазват. Нали го знаеш това махленското ниво на престъпност : всеки нещо “спестява” и никой не е напълно чист когато се задълбаеш. Тъжното е че в България това се прави с напълно ясното съзнание че “всеки го прави” и просто няма начин да “прогресираш” ако и ти не правиш така. Според мен затова съдебната ни система не работи и няма изгледи да проработи скоро.
      Ето това е тъжната част. Другото е просто сатира 🙂

  3. Oleg каза:

    Welcome to the club ‘дет се вика…

    Три години поред търпях подобно „обслужване“ от служителки в клон на ЦКБ, които се явяват нещо като оторизирани риселъри на „Инфонотари“.

    Понеже са ми най-удобно и на близо, реших, че ще си подновявам подписа там, защото са ми най-близо. Отивам там, обяснявам за какво съм дошъл, и девойчето ми подавам стекче лепящи листчета, да си напиша телефона, мейла, ЕГН, трите имена и ПИН кода към smart card-тата, като ми обяснява, че точно в момента нещо връзката със сървъра, с луната, или n-тото измерение липсва, и за да не вися и чакам, да оставя тия данни, като дойде това, дето липсва, те ще свършат всичко, ще ме уведомят и ще дойда да си взема готовата карта. А, плащането предварително, то такъв е реда, нали..

    Обърнах внимание на мацката, че те самите (като банкова институция) се стремят да набиват в главите на клиентите си, ползващи техни банкови карти да не предоставят на никого ПИН кода от тях, а това, което иска от мен е равносилно на връчването от моя страна на генерално пълномощно на нея, да ме представлява и подписва където и както реши. Няма смисъл да цитирам диалога, как те само за да ме улеснят го правят това и пр. и пр., малко по-късно стана кристално ясно, че девойката просто не знаеше или не беше уверена какво и как трябва да направи, за да ми поднови подписа, и за да си спести неудобството/излгането от това си незнание, е решила, че в мое отсъствие с помощ от приятел/колега ще се справи.
    Факт е, че след като отказах да и дам исканите реквизити, липсващата връзка чудодейно някак се появи, и след още 20 мин. цъкане, писане, четири консултации по телефона и съседно седящата и колежка, най-сетне имах подновен УЕП.

    Веднага след това като се върнах в офиса намерих данни за контакт и пуснах e-mail с описание на случая към съответните им звена за контрол. Получих си дежурния replay, че ще проверят внимателно случая, и ще ме уведомят за резултатите, благодарности, целувки, и рози без бодли.

    Не че получих нещо повече от това. До следващата година, когато сценката се повтори дословно 1:1, макар и с друго девойче зад банковото гише. Този път бях обаче нещо вкиснат, и далеч по-нелюбезен. Не че помогна, май само момичето беше по-сконфузено, което не повлия положително на процеса.

    Третата година беше същия цирк, като този път поисках на момента да говоря с управителя на клона, или със съответния шеф от централата им. За стотен път (вече от уж по-високопоставени служители) получих уверенията им, че не, те не искат да си присвоят самоличността ми, това си било част от обслужването, за да ми спестят чакане и бавене. Явно не само front office служителите им не знаят как да продават съответния продукт, а като цяло банките нямат идея какво точно означава да имат PIN & smart card с УЕП на някого, но пък са убедени, че точно така трябва да се прави, за да е happy клиента.

    Чел съм и по други блогове за абсолютно същите случки. Тъй като услугата не е толкова масова, не се прави често, служителите губят тренинг (до колкото изобщо са имали някакво обучение по темата, еднократно, претупано набързо) и правят такива простотии. Но и самите потребители са за бой! Очевидно не обръщаме внимание на много безобразия, едно от незнание на всички опции и последствия от дадено действие/бездействие, а друго от юнашкото доверие, че няма да те излъжат точно в банката.

    За съжаление, в такива случаи нямаш и какво особено много да направиш. Дори да подадеш жалба (а можеш да се жалиш само от некомпетентността на девойката/младежа от front office), след като не са настъпили никакви вредни последствия, най-много съответното човече да отнесе минималното административно наказание (повече да не правиш така, чу ли!). До следващия клиент, на който хич няма да му пука, че сам си дава всичко нужно за да го овъртолят (ако искат) за години.

    Не знам дали ако се жалиш до КРС (комисия за регулиране на съобщенията), които са принципала, оторизиращ ДУУ като такива, та тази комисия да начука обръчите на ДУУ да оказват по-сериозен контрол върху риселърите си, как точно спазват закона за електронния подпис. Но по мнение на юристи, освен ако нямаш мноооого свободно време и излишни нерви, едва ли ще постигнеш нещо повече от любезен автоматичен отговор, по-различен от цитирания по-горе такъв на ЦКБ.

    • Жоро каза:

      И ти си прав. Ама изводите са малко грешни. Според мен след като на персонала им куца обучението ще се наложи с тоягата да ги образоваме. Смяташ ли че девойчето след този тормоз ще го забрави лесно ?
      Иначе начина е class action процес. Да, знам на какъв хал е правораздаването и колко ще струва. Само казвам че това е нормалния подход.
      Караш ги на напишат на листче че им трябват пина и картата и да се подпишат. След това бягаш при съответната адвокатска кантора която би се навила да опита срещу процент от приходите.
      И после … елате повече … 🙂

      Това с жаленето до държавата работеше по соц. време. Ама сега е писане на pastor@armenia.com 🙂

Leave a Reply

You must be logged in to post a comment.