E fundit!

10:01 CRIME

Armë, kokainë dhe cannabis në zonat bregdetare/ Arrestohen dy persona

Policia e Vlorës ka finalizuar operacionin e koduar “Sigur...

Problems with e-Albania?/ AKCESK reacts: Baseless claims, citizens' data a priority

2023-11-23 19:47:00, Aktualitet CNA

Problems with e-Albania?/ AKCESK reacts: Baseless claims, citizens' data a

Illustrative photo

The National Authority for Electronic Certification and Cyber ??Security (AKCESK) has reacted this Thursday regarding an email sent to their address where it was requested to urgently close the API with the claim of lack of security in the e-Albania application.

AKCESK, through an official statement, guaranteed the citizens that at no time there was any breach of the systems and that the claims that the e-Albania application is vulnerable have no technical basis.

AKCESK informs that it analyzed all the claims raised and it turned out that we are dealing with concerns that are not at all professional.

Also, the authority in question clarifies that it was put on the move after the denunciation of the blocking of the API with the claim of lack of security, but after official and technical information from institutions and third parties, it was confirmed for false claims.

"We would like to clarify that the image that is supposed to support this claim is a reference used by Android, as part of the standard "com.google.android.gms.actions" package of the operating system itself, easily verifiable on Google with a search of simply," says the reaction.

AKCESK ensures that it treats with seriousness and responsibility every request of any citizen, which is addressed to the authority in all forms and channels of communication.

AKCESK's full official statement:

Following an official e-mail request addressed to the National Authority for Electronic Certification and Cybersecurity (AKCESK) today, 23.11.2023, it was requested to urgently block the API due to the lack of security in the e-application Albania. AKCESK immediately asked the National Agency of the Information Society (AKSHI) and third parties for detailed technical information and after becoming familiar with all the technical processes followed, informs as follows:

AKCESK guarantees citizens and businesses that the claims raised have nothing to do with the security of their data and the claims that the e-Albania application is vulnerable have no technical basis.

Since there was no technical argument in the e-mail, the claims that have circulated in some social media so far were analyzed.

Specifically as follows: The claims are related to two APIs (application programming interface - way of interaction of two different computer programs).

The password mentioned for the first API is ONLY for displaying completely public information:

1. List of state institutions that provide electronic services;

2. List of electronic services offered in e-Albania;

3. Lajmet dhe rubrika e ditarit të lajmeve në portal. Ky informacion është tërësisht publik për çdo përdorues qytetar apo biznes që shfleton aplikacionin e-Albania, pa qenë nevoja për tu loguar/ identifikuar dhe nuk ka lidhje me asnjë të dhënë personale.

Fjalëkalimi nuk ka të bëjë me asnjë llogari që autentifikohet në Platformën Qeveritare të Ndërveprimit. Kjo provohet lehtësisht, pasi nëse tentohet të kryhet autentifikimi me të dhënat në fjalë, procesi do të dështojë.

API i dytë i përmendur, nuk ka asnjë lidhje me API e parë dhe si rrjedhojë as me fjalëkalimin e mësipërm. Ai mundëson komunikim teknik të aplikacionit e-Albania me Platformën Qeveritare të Ndërveprimit, e cila vazhdon me identifikimin e përdoruesve dhe gjenerimin e Token për të mundësuar përdorimin e shërbimeve elektronike nga secili individ apo biznes pas autentifikimit në Platformën Qeveritare të Ndërveprimit në mënyrë të sigurt dhe të enkriptuar. Nuk ka asnjë mundësi teknike që me kredencialet e përmendura të mund te log-ohesh në atë API.

Procesi i autentifikimit të një qytetari apo biznesi në Platformën Qeveritare të Ndërveprimit konsiston vetëm në validimin e të dhënave që përdoruesi vendos. Ky validim bëhet në Server- Side dhe kthen vetëm true / false për ekzistencën e një llogarie dhe saktësinë e fjalëkalimit. I gjithë procesi ruhet në mënyrë të sigurt dhe të enkriptuar sipas standardeve ndërkombëtare të sigurisë.

Arsyeja e përdorimit të fjalëkalimit në API e parë, pavarësisht se lidhet me informacion tërësisht publik, është për të shmangur keqpërdorimin e aplikacioneve të tipit “bot-eve”, në të njëjtën mënyrë siç përdoret rëndom formati Captcha në pjesën më të madhe të ëeb-faqe publike qofshin këto të institucioneve publike apo kompanive private.

Pavarësisht faktit se fjalëkalimi nuk ka asnjë rol të shtuar në sigurinë dhe mbrojtjen e të dhënave, në lidhje me pretendimin se me aksesimin me një fjalëkalim të caktuar të ndërfaqes së programimit, API të parë i cituar, mund të aksesohen të gjitha të dhënat nga institucionet që janë të lidhura në Government Getaëay apo Platformën Qeveritare të Ndërveprimit dhe mund të merren informacion nga çdo bazë të dhënash të çdo institucioni në Republikën e Shqipërisë, është teknikisht e pamundur.

Gjithashtu nuk ka asnjë baze teknike se kodi burim (source code) i aplikacionit mobile e-Albania është marrë apo kopjuar nga një aplikacion shërbimesh taksi. Nuk rezulton që kodi burim i aplikacionit mobile e-Albania të ketë rreshta kodimi të kopjuar nga aplikacione të tjera dhe rezulton të jetë ndërtuar totalisht në funksion të ofrimit të shërbimeve elektronike.

Gjithashtu në kodin burim të aplikacionit nuk gjendet: ACTION_RESERVE_TAXI_RESERVATION.

Dëshirojmë të sqarojmë se imazhi që supozohet të mbështesë këtë pretendim është një reference që përdoret nga Android, si pjesë e paketës standard “com.google.android.gms.actions” të vetë sistemit operativ, lehtësisht e vërtetueshme në Google me një kërkim të thjesht.

There is a possibility that the reference in question was part of the device environment of the person who did the reverse engineering, who also shared the image in question. (May have used Android Studio for decompiling).

AKCESK ensures that it treats with seriousness and responsibility every request of any citizen, which is addressed to the authority in all forms and channels of communication. The protection of cyber space and the provision of electronic systems that hold and save citizens' data is a priority of the authority and of all Albanian institutions./ CNA