Ευαίσθητο περιεχόμενο
Ευαίσθητο περιεχόμενο
Ευαίσθητο περιεχόμενο
Ευαίσθητο περιεχόμενο
Ευαίσθητο περιεχόμενο
Ισχυρισμός
Κενά ασφαλείας εντοπίστηκαν στην ιστοσελίδα του προσωπικού αριθμού, η οποία είναι κατασκευασμένη στο WordPress και αυτό συνιστά σοβαρό ζήτημα για τα προσωπικά δεδομένα των πολιτών.
Συμπεράσματα
Οι ισχυρισμοί περί ανεπαρκούς ασφάλειας στην ιστοσελίδα του προσωπικού αριθμού είναι παραπλανητικοί. Πρόκειται για ένα υποτιθέμενο κενό ασφαλείας που δεν αφορά την καθαυτή ιστοσελίδα έκδοσης του προσωπικού αριθμού, αλλά την ιστοσελίδα υποδοχής και ενημέρωσης, στην οποία οι πολίτες λαμβάνουν πληροφορίες για αυτόν. Επίσης, η ύπαρξη ενός URL με την μορφή «azurefd.net» δεν υποδηλώνει δοκιμαστικό περιβάλλον, αλλά ένα αυτόματα δημιουργημένο domain που χρησιμοποιείται από την υπηρεσία Front Door, πριν την ρύθμιση προσαρμοσμένων διευθύνσεων. Ταυτόχρονα, η χρήση εργαλείων ανοιχτού κώδικα, όπως το WordPress, συνηθίζεται από πολλούς κρατικούς φορείς ανά την υφήλιο για ενημερωτικές ιστοσελίδες, που δεν επεξεργάζονται προσωπικά δεδομένα.
Ευρεία διάδοση γνώρισε, στις αρχές Ιουνίου 2025, ο ισχυρισμός ότι η πλατφόρμα έκδοσης του προσωπικού αριθμού διαθέτει σοβαρά κενά ασφαλείας. Το εν λόγω αφήγημα ξεκίνησε από το δημοσιογράφο Στέφανο Δαμιανίδη, ωστόσο, όπως θα αναλύσουμε παρακάτω, οι ισχυρισμοί είναι παραπλανητικοί. Η μεθοδολογία που παρουσίασε ο δημοσιογράφος, για την ανάδειξη της υποτιθέμενης ανεπάρκειας, δεν εφαρμόστηκε στην καθαυτή ιστοσελίδα έκδοσης προσωπικού αριθμού αλλά στην ιστοσελίδα υποδοχής – ενημερωτική ιστοσελίδα του ΠΑ, που δεν επεξεργάζεται τα προσωπικά δεδομένα του χρήστη. Ταυτόχρονα, το υποτιθέμενο τεκμήριο που παρουσιάζεται, για την ανοιχτή πρόσβαση στο δοκιμαστικό περιβάλλον της ιστοσελίδας, είναι ανεπαρκές, καθώς η κατάληξη «azurefd.net» δεν παραπέμπει απαραίτητα σε δοκιμαστικό καθεστώς.
Το εν λόγω αφήγημα εντοπίσαμε στις ιστοσελίδες focusfm, neakeratsiniou και voicenews.
Παραδείγματα παραπλανητικών αναρτήσεων στα μέσα κοινωνικής δικτύωσης:
Θεματικό πλαίσιο
Στις 5 Μαΐου 2025, δημοσιεύθηκε στην Εφημερίδα της Κυβέρνησης το Προεδρικό Διάταγμα 40/2025, που καθόρισε τη διαδικασία έκδοσης του Προσωπικού Αριθμού (ΠΑ), ο οποίος αποτελεί ένα μοναδικό και αμετάβλητο αναγνωριστικό για κάθε πολίτη. Ο προσωπικός αριθμός θα χρησιμοποιείται για την επαλήθευση της ταυτότητας των φυσικών προσώπων στις συναλλαγές τους με φορείς του δημόσιου τομέα, αντικαθιστώντας σταδιακά αριθμούς όπως τον ΑΦΜ και τον ΑΜΚΑ.
Έκτοτε, ο υπερσυντηρητικός χώρος καταδίκασε την εν λόγω εξέλιξη (παραδείγματα από τα κόμματα ΝΙΚΗ και Ελληνική Λύση) φτάνοντας, ορισμένες φορές, ακόμη και στο πεδίο θεωριών συνωμοσίας, υποστηρίζοντας ότι ο εν λόγω αριθμός αποτελεί το “χάραγμα του αντίχριστου”.
Υπό αυτό το πλαίσιο, κυκλοφόρησε ο ισχυρισμός περί ελλιπούς ασφάλειας στην ιστοσελίδα έκδοσης του προσωπικού αριθμού, ο οποίος εκφράστηκε για πρώτη φορά στο X, στις 3 Ιουνίου 2025, όταν ο δημοσιογράφος Στέφανος Δαμιανίδης υπέδειξε τα ακόλουθα στοιχεία στην ιστοσελίδα υποδοχής – ενημερωτική ιστοσελίδα του προσωπικού αριθμού, ως εάν αφορούσαν την καθαυτή πλατφόρμα έκδοσης του Π.Α.:
- Ορισμένα URLs οδηγούν στο δοκιμαστικό περιβάλλον του ιστοτόπου.
- Η ιστοσελίδα έχει κατασκευαστεί από το εργαλείο ανοιχτού κώδικα WordPress.
Συγκεκριμένα, ο δημοσιογράφος προέβη σε ανάρτηση του ακόλουθου βίντεο:
Το θέμα συζητήθηκε εκτενώς σε μετέπειτα εκπομπή του Focus FM103,6, στις 4 Ιουνίου, όπου ο κ. Δαμιανίδης φιλοξένησε τον κ. Ιωάννη Γιοβάνη, αναφερόμενο ως “ειδικό” και “ελεύθερο επαγγελματία” χωρίς όμως να αποσαφηνίζεται περαιτέρω ποιες ακριβώς ειδικές τεχνολογικές γνώσεις και τίτλους σπουδών κατέχει που τον καθιστούν ειδικό, που του μετέφερε την πληροφορία περί ανεπάρκειας στην ιστοσελίδα του προσωπικού αριθμού, χωρίς να διευκρινίζεται ότι η υποτιθέμενη ανεπάρκεια αφορά μόνο την ιστοσελίδα υποδοχής – ενημερωτική ιστοσελίδα και όχι την καθαυτή πλατφόρμα έκδοσης του ΠΑ. Συγκεκριμένα, στην εν λόγω εκπομπή ο δημοσιογράφος ανέφερε:
«Μιλάμε για ένα site, το οποίο ο Παπαστεργίου είπε χθες ότι φιλοδοξεί σε ένα χρόνο μέσα να έχει στοιχεία δέκα εκατομμυρίων Ελλήνων».
Ενώ, σε άλλο σημείο ακούγονται τα εξής:
«Άντε να δεχτώ ότι είναι λάθος, όμως αυτό το λάθος πρέπει να το σταματήσουν τώρα και θα πρέπει να σταματήσουν να λένε σε Έλληνες μπείτε να δώσετε τα στοιχεία σας […] σε ένα site που είναι φτιαγμένο σε WordPress».
Ωστόσο, τα παραπάνω υποδεικνύουν πως υπάρχει σημαντική σύγχυση για τις ιστοσελίδες που καλείται ο εκάστοτε πολίτης να επισκεφθεί, με σκοπό την έκδοση προσωπικού αριθμού. Αυτό αποδεικνύεται από το γεγονός ότι η ιστοσελίδα που έχει φτιαχτεί μέσω WordPress αποσκοπεί αποκλειστικά στην υποδοχή και ενημέρωση των πολιτών σχετικά με τον προσωπικό αριθμό. Αντίθετα, η καθαυτή ιστοσελίδα έκδοσής του, στην οποία οδηγούνται στη συνέχεια οι πολίτες για να επιβεβαιώσουν ή να διορθώσουν τα στοιχεία τους και, ακολούθως, να προβούν σε έκδοση προσωπικού αριθμού, βασίζεται σε κλειστό κώδικα που ουδεμία σχέση διατηρεί με το εργαλείο WordPress.
Τι ισχύει
Αρχικά, στο χρονικό σημείο 3:33 του ανωτέρω οπτικοακουστικού υλικού, βλέπουμε τη μεθοδολογία που ακολουθήθηκε για να υποστηριχθεί το συμπέρασμα πως η ιστοσελίδα του προσωπικού αριθμού είναι κατασκευασμένη μέσω WordPress. Ειδικότερα, βλέπουμε ότι στον ιστότοπο με URL https://pa.gov.gr/ ο χρήστης μεταβαίνει στην επιλογή «View page source» και έπειτα αναζητά, μέσω της λειτουργίας F3, για αναφορές στον όρο «wp-». Έτσι, εντοπίζει πλήθος αναφορών σε εφαρμογές και εργαλεία του WordPress, γεγονός που αποδεικνύει πως ο εν λόγω ιστότοπος στήθηκε στο εργαλείο ανοιχτού κώδικα. Ωστόσο, είναι σημαντικό να διευκρινιστεί πως η ιστοσελίδα pa.gov.gr δεν χρησιμοποιείται για την επεξεργασία προσωπικών δεδομένων και την έκδοση προσωπικού αριθμού αλλά διατελεί αποκλειστικά καθήκοντα ενημέρωσης και υποδοχής των πολιτών.
Διαδικασία έκδοσης προσωπικού αριθμού
Εν αντιθέσει, όταν κανείς προσπαθήσει να εκδώσει προσωπικό αριθμό, η εν λόγω ιστοσελίδα θα τον ανακατευθύνει σε διαφορετικό URL, όπου ο ενδιαφερόμενος πολίτης θα κληθεί να ταυτοποιηθεί μέσω των κωδικών TAXISnet. Ακολούθως, ο χρήστης μεταβαίνει στην ιστοσελίδα όπου υποβάλλει αίτημα έκδοσης προσωπικού αριθμού. Οι τελευταίες δύο ιστοσελίδες δεν υπάγονται στο pa.gov.gr, καθώς διαθέτουν εντελώς διαφορετικό υπερσύνδεσμο.
Έτσι, χρησιμοποιήσαμε την ίδια μεθοδολογία στην ιστοσελίδα που υπάρχουν καταχωρημένα τα προσωπικά στοιχεία του εκάστοτε πολίτη, με στόχο την επαλήθευσή τους από τον ενδιαφερόμενο και την έκδοση του προσωπικού αριθμού του, και εντοπίσαμε τον παρακάτω κώδικα, ο οποίος επουδενί δεν παραπέμπει σε κατασκευή του WordPress αλλά σε κλειστό κώδικα.
Έχοντας τα παραπάνω κατά νου, επικοινωνήσαμε με τη Γενική Γραμματεία Πληροφοριακών Συστημάτων, για περαιτέρω διευκρινίσεις σχετικά με το ζήτημα. Κατά τη λήψη απάντησης, το άρθρο θα ενημερωθεί αναλόγως.
Κρατικές ιστοσελίδες και WordPress
Περαιτέρω, αναφορικά με τον ισχυρισμό περί ελλιπούς ασφάλειας του εργαλείου WordPress για κρατικές ιστοσελίδες, αξίζει να σημειωθεί ότι η χρήση εργαλείων διαχείρισης περιεχομένου ανοιχτού κώδικα (open-source), όπως το WordPress, αποτελεί συχνό φαινόμενο για τη δημιουργία ενημερωτικών κρατικών ιστότοπων, που δεν επεξεργάζονται προσωπικά δεδομένα. Η χρήση τέτοιων εργαλείων δεν συνιστά, υπό κανονικές συνθήκες, κενό στην ασφάλεια του συστήματος, εάν οι εκάστοτε ιστότοποι συντηρούνται και ενημερώνονται τακτικά. Για τον λόγο αυτό, το ανωτέρω εργαλείο, όπως αναφέρεται στην ιστοσελίδα του, χρησιμοποιείται σε διάφορες κυβερνητικές ιστοσελίδες, όπως ενδεικτικά είναι οι σελίδες του Λευκού Οίκου, της NASA, της Υπηρεσίας Οχημάτων του Καναδά και ενός ενημερωτικού διαύλου του Υπουργείου Εξωτερικών της Φινλανδίας.
Αξίζει να σημειωθεί πως η χρήση λογισμικού ανοιχτού κώδικα για τη δημιουργία κρατικών ιστοσελίδων υποστηρίζεται και από την Ευρωπαϊκή Επιτροπή, η οποία συντηρεί το EU Open Source Solutions Catalogue (EU OSS Catalogue), με σκοπό να ενθαρρύνει τη δημιουργία λύσεων πληροφορικής, που βασίζονται σε ανοιχτό κώδικα, για τη δημόσια διοίκηση. Συγκεκριμένα, με μια αναζήτηση στον εν λόγω κατάλογο εντοπίσαμε πλήθος προγραμμάτων κατασκευής ιστοσελίδων και διαχείρισης περιεχομένου, παρόμοια με το WordPress, που προωθούνται για το στήσιμο κρατικών ενημερωτικών ιστοσελίδων.
Προς επιβεβαίωση των παραπάνω, αποστείλαμε σχετικό ερώτημα σε διάφορους ειδικούς σε θέματα κυβερνοασφάλειας. Ο Jeff Crume, επίκουρος Καθηγητής του πανεπιστημίου της Βόρειας Καρολίνας, με πάνω από 40 χρόνια εμπειρίας στον κλάδο της πληροφορικής και ειδίκευση στην κυβερνοασφάλεια, απάντησε στο αίτημά μας λέγοντας τα εξής:
«Όλα τα λογισμικά έχουν σφάλματα και κάποιο ποσοστό αυτών των σφαλμάτων θα σχετίζεται με την ασφάλεια. Δεν ξέρω αν το WordPress είναι καλύτερο ή χειρότερο από άλλα παρόμοια εργαλεία. Το καλύτερο που έχετε να κάνετε είναι να βεβαιωθείτε ότι το λογισμικό διατηρείται στα πιο πρόσφατα επίπεδα, ώστε να εφαρμόζονται τυχόν διορθώσεις.
Όσον αφορά τον κίνδυνο (σ.σ του να χρησιμοποιείς WordPress για την κατασκευή κρατικών ιστοσελίδων), αν υπάρχουν μόνο δημόσιες πληροφορίες στον ιστότοπο, ο κίνδυνος είναι σίγουρα μικρότερος, αλλά δύο πράγματα που πρέπει να ληφθούν υπόψη είναι τα εξής:
1) Εάν ένας επιτιθέμενος μπορεί να πάρει τον έλεγχο ενός συστήματος, μπορεί να το χρησιμοποιήσει ως ορμητήριο για να επιτεθεί σε άλλα πιο ευαίσθητα συστήματα.
2) Ένας εφιάλτης δημοσίων σχέσεων θα μπορούσε να προκύψει εάν ένας επιτιθέμενος είναι σε θέση να τροποποιήσει τον ιστότοπο έτσι ώστε να τρέχει κακόβουλο λογισμικό στα συστήματα των θεατών ή να τροποποιηθεί ώστε να λέει πράγματα που οι άνθρωποι θα θεωρούσαν δυσάρεστα».
Επομένως, υπό κανονικές συνθήκες, η χρήση WordPress, για την κατασκευή πληροφοριακών ιστοσελίδων από κρατικούς φορείς, δεν συνιστά υψηλό ρίσκο κυβερνοασφάλειας, εάν αυτές είναι επαρκώς διαχωρισμένες από πιο ευαίσθητα συστήματα.*
Το υποτιθέμενο δοκιμαστικό περιβάλλον
Ένα ακόμη παραπλανητικό επιχείρημα, που χρησιμοποιήθηκε από το δημοσιογράφο κ. Στέφανο Δαμιανίδη, αφορά την υποτιθέμενη επιλογή που ανακατευθύνει τους χρήστες στο δοκιμαστικό περιβάλλον του ιστοτόπου pa.gov.gr. Ο ισχυρισμός βασίστηκε στη δημοσίευση ενός URL που παραπέμπει στην εξής διεύθυνση:
https://min01rg73w-df4eebfc11-g8gndehbd8etdzed.a01.azurefd.net/?page_id=725
Ωστόσο, η ύπαρξη ενός τέτοιου URL δεν αποτελεί τεκμήριο ύπαρξης δοκιμαστικού περιβάλλοντος. Αντιθέτως, από τη δομή του συγκεκριμένου συνδέσμου συνάγεται ότι πρόκειται για προκαθορισμένο υποτομέα που δημιουργείται αυτόματα από την πλατφόρμα Azure Front Door της Microsoft, και ο οποίος λειτουργεί ως τεχνικός μηχανισμός για τη διανομή περιεχομένου, τη δρομολόγηση αιτημάτων και τη διαχείριση του φορτίου σε εφαρμογές παραγωγής. Πιο αναλυτικά, η χρήση domain της μορφής «azurefd.net» δεν είναι ενδεικτική δοκιμαστικού περιβάλλοντος, καθώς, σύμφωνα με την ιστοσελίδα της Front Door (αρχειοθετημένο εδώ), η εν λόγω κατάληξη χρησιμοποιείται κατά κανόνα για τη δημιουργία μιας ιστοσελίδας, πριν ολοκληρωθεί η ρύθμιση προσαρμοσμένων domain. Περαιτέρω, η απουσία προειδοποιητικού μηνύματος, μηχανισμών πιστοποίησης ταυτότητας (authentication) ή οποιασδήποτε ένδειξης περιβάλλοντος “staging”, όπως φαίνεται από το βίντεο που δημοσίευσε ο ιστότοπος voicenews, υποδηλώνει ότι δεν πρόκειται για τυπικό δοκιμαστικό σύστημα.
Παραμένει ασαφές ποιος ακριβώς είναι ο λόγος ύπαρξης του εν λόγω ιστοτόπου, καθώς εξακολουθεί να χρησιμοποιείται στην ιστοσελίδα pa.gov.gr. Συγκεκριμένα, εντοπίσαμε 43 αναφορές στο εξεταζόμενο URL εντός του κώδικα της ενημερωτικής ιστοσελίδας για τον προσωπικό αριθμό.
Μια εξήγηση που δόθηκε από έναν αναγνώστη των Ellinikahoaxes, με εκπαίδευση στην πληροφορική, είναι πως το domain με την κατάληξη «azurefd.net» χρησιμοποιήθηκε για την προκαταρκτική κατασκευή του pa.gov.gr. Ένα άλλο σενάριο, που θεωρείται πιθανό από τον κ. Ιορδάνη Κωστελίδη, είναι πως η εν λόγω ιστοσελίδα αποτελεί μέρος του συστήματος «reverse proxy», που χρησιμοποιείται από τον pa.gov.gr για την καλύτερη διαχείριση της ψηφιακής κίνησης. Εντούτοις, δεν υπάρχει σαφής εξήγηση για την ύπαρξη της ιστοσελίδας που φαίνεται στο βίντεο.
Συμπερασματικά, δεν καταφέραμε να επαληθεύσουμε ανεξάρτητα ποιόν ακριβώς σκοπό διατελεί η ιστοσελίδα με κατάληξη azurefd.net, ωστόσο, δεν υπάρχει κάποιο στοιχείο που να υποστηρίζει πως αυτή αποτελεί το δοκιμαστικό περιβάλλον του ιστοτόπου pa.gov.gr.
Συμπέρασμα
Οι ισχυρισμοί περί ανεπαρκούς ασφάλειας στην ιστοσελίδα του προσωπικού αριθμού είναι παραπλανητικοί. Πρόκειται για ένα υποτιθέμενο κενό ασφαλείας που δεν αφορά την καθαυτή ιστοσελίδα έκδοσης του προσωπικού αριθμού αλλά την ιστοσελίδα υποδοχής και ενημέρωσης, στην οποία οι πολίτες λαμβάνουν πληροφορίες για αυτόν. Ταυτόχρονα, η χρήση εργαλείων ανοιχτού κώδικα, όπως το WordPress, συνηθίζεται από πολλούς κρατικούς φορείς ανά την υφήλιο για ενημερωτικές ιστοσελίδες, που δεν επεξεργάζονται προσωπικά δεδομένα. Τέλος, η ύπαρξη ενός URL με τη μορφή «azurefd.net» δεν υποδηλώνει δοκιμαστικό περιβάλλον, αλλά ένα αυτόματα δημιουργημένο domain που χρησιμοποιείται από την υπηρεσία Front Door, πριν τη ρύθμιση προσαρμοσμένων διευθύνσεων.
*Ενημέρωση άρθρου 17/06/2025: αφαιρέθηκε η παράγραφος που ανέφερε ότι η ιστοσελίδα pa.gov.gr διαθέτει ενημερωμένη έκδοση WordPress, καθώς κατόπιν επανελέγχου αυτή η πληροφορία κρίθηκε ανακριβής.
Πηγές που χρησιμοποιήθηκαν:
1.https://www.kathimerini.gr/society/563645827/o-prosopikos-arithmos-vima-vima-apo-simera-archizei-i-ekdosi-analytikes-odigies/
2.https://www.skai.gr/news/greece/oxi-sto-xaragma-tou-antixristou-sygkentrosi-kata-ton-neon-taytotiton-kai-tou-prosopikou-ar
3.https://pa.gov.gr/
4.https://wordpress.com/
5.https://netplanetdigital.com.au/did-you-know-that-the-official-website-of-the-white-house-whitehouse-gov-uses-wordpress-as-its-content-management-system-cms/
6.https://interoperable-europe.ec.europa.eu/collection/open-source-observatory-osor
7.https://www.linkedin.com/in/jeffcrume
8.https://learn.microsoft.com/en-us/azure/frontdoor/front-door-custom-domain
