SRCE je poslalo obavijest za mogućnost neovlaštenog korištenja e-identiteta iz sustava AAI@EduHr. Radi se o postojanju aplikacije koja od korisnika traži unos njihove korisničke oznake i zaporke iz sustava AAI@EduHr, a što nije u skladu s Pravilnikom o ustroju Autentikacijske i autorizacijske infrastrukture znanosti i visokog obrazovanja u Republici Hrvatskoj.
U nastavku navodimo cijelu obavijest.
AAIEDU HR Tim:
"Slijedom upita korisnika koji se žalio na mogućnost neovlaštenog korištenja njegovog e-identiteta iz sustava AAI@EduHr, došli smo do saznanja o postojanju aplikacije koja od korisnika traži unos njihove korisničke oznake i zaporke iz sustava AAI@EduHr, a što nije u skladu s Pravilnikom o ustroju Autentikacijske i autorizacijske infrastrukture znanosti i visokog obrazovanja u Republici Hrvatskoj.
S obzirom da prikupljanje korisničkih oznaka i zaporki iz sustava AAI@EduHr otvara mogućnost pohrane, zlouporabe, te kompromitacije istih, te da je Pravilnikom o ustroju Autentikacijske i autorizacijske infrastrukture znanosti i visokog obrazovanja u Republici Hrvatskoj zabranjeno ustupanje korisničkih podataka drugim osobama, upozoravamo sve koji imaju AAI@EduHr e-identitet da ga ni u kojem slučaju ne upisuju u tu aplikaciju.
Aplikacija za koju smo utvrdili da nije u skladu s Pravilnikom AAI@EduHr, te da može ugroziti sigurnost e-identiteta je dostupna na adresi:
https://sumirra.com/
O postojanju aplikacije te mogućnosti ugroze obavijestili smo CERT koji poduzima odgovarajuće korake u svrhu onemogućavanja rada aplikacije.
Svima koji su koristili tu aplikaciju savjetujemo da ŠTO HITNIJE promijene svoju zaporku."