Deklaratë Zyrtare

Në vijim të një kërkese me e-mail zyrtar drejtuar Autoritetit Kombëtar për Certifikimin Elektronik dhe Sigurisë Kibernetike (AKCESK) ditën e sotme datë 23.11.2023, është kërkuar të bëhej urgjent bllokimi i API-t për shkak të mungesës së sigurisë në aplikacionin e-Albania. AKCESK kërkoi në mënyrë të menjëhershme Agjencisë Kombëtare të Shoqërisë së Informacionit (AKSHI) dhe palëve të treta informacione të detajuara teknike dhe pasi u njoh me të gjitha proceset teknike të ndjekura, informon si më poshtë:

AKCESK garanton qytetarët dhe bizneset që pretendimet e ngritura nuk kanë asnjë lidhje me sigurinë e të dhënave të tyre dhe pretendimet që aplikacioni e-Albania është vulnerabël nuk kanë asnjë bazë teknike.

Duke qenë se në e-mail nuk kishte asnjë argument teknik, u analizuan pretendimet e deritanishme që kanë qarkulluar në disa media sociale.

Konkretisht si më poshtë: Pretendimet lidhen me dy API (application programming interface – mënyrë ndërveprimi të dy programeve kompjuterike të ndryshme).

Fjalëkalimi i përmendur për API-n e parë, shërben VETEM për të shfaqur informacion tërësisht publik:

  1. Lista e institucioneve shtetërore që ofrojnë shërbime elektronike;
  2. Lista e shërbimeve elektronike që ofrohen në e-Albania;
  3. Lajmet dhe rubrika e ditarit të lajmeve në portal. Ky informacion është tërësisht publik për çdo përdorues qytetar apo biznes që shfleton aplikacionin e-Albania, pa qenë nevoja për tu loguar/ identifikuar dhe nuk ka lidhje me asnjë të dhënë personale.

Fjalëkalimi nuk ka të bëjë me asnjë llogari që autentifikohet në Platformën Qeveritare të Ndërveprimit. Kjo provohet lehtësisht, pasi nëse tentohet të kryhet autentifikimi me të dhënat në fjalë, procesi do të dështojë.

API i dytë i përmendur, nuk ka asnjë lidhje me API e parë dhe si rrjedhojë as me fjalëkalimin e mësipërm. Ai mundëson komunikim teknik të aplikacionit e-Albania me Platformën Qeveritare të Ndërveprimit, e cila vazhdon me identifikimin e përdoruesve dhe gjenerimin e Token për të mundësuar përdorimin e shërbimeve elektronike nga secili individ apo biznes pas autentifikimit në Platformën Qeveritare të Ndërveprimit në mënyrë të sigurt dhe të enkriptuar. Nuk ka asnjë mundësi teknike që me kredencialet e përmendura të mund te log-ohesh në atë API.

Procesi i autentifikimit të një qytetari apo biznesi në Platformën Qeveritare të Ndërveprimit konsiston vetëm në validimin e të dhënave që përdoruesi vendos. Ky validim bëhet në Server- Side dhe kthen vetëm true / false për ekzistencën e një llogarie dhe saktësinë e fjalëkalimit. I gjithë procesi ruhet në mënyrë të sigurt dhe të enkriptuar sipas standardeve ndërkombëtare të sigurisë.

Arsyeja e përdorimit të fjalëkalimit në API e parë, pavarësisht se lidhet me informacion tërësisht publik, është për të shmangur keqpërdorimin e aplikacioneve të tipit “bot-eve”, në të njëjtën mënyrë siç përdoret rëndom formati Captcha në pjesën më të madhe të web-faqe publike qofshin këto të institucioneve publike apo kompanive private.

Pavarësisht faktit se fjalëkalimi nuk ka asnjë rol të shtuar në sigurinë dhe mbrojtjen e të dhënave, në lidhje me pretendimin se me aksesimin me një fjalëkalim të caktuar të ndërfaqes së programimit, API të parë i cituar, mund të aksesohen të gjitha të dhënat nga institucionet që janë të lidhura në Government Getaway apo Platformën Qeveritare të Ndërveprimit dhe mund të merren informacion nga çdo bazë të dhënash të çdo institucioni në Republikën e Shqipërisë, është teknikisht e pamundur.

Gjithashtu nuk ka asnjë baze teknike se kodi burim (source code) i aplikacionit mobile e-Albania është marrë apo kopjuar nga një aplikacion shërbimesh taksi. Nuk rezulton që kodi burim i aplikacionit mobile e-Albania të ketë rreshta kodimi të kopjuar nga aplikacione të tjera dhe rezulton të jetë ndërtuar totalisht në funksion të ofrimit të shërbimeve elektronike.

Gjithashtu në kodin burim të aplikacionit nuk gjendet: ACTION_RESERVE_TAXI_RESERVATION.

Dëshirojmë të sqarojmë se imazhi që supozohet të mbështesë këtë pretendim është një reference që përdoret nga Android, si pjesë e paketës standard “com.google.android.gms.actions” të vetë sistemit operativ, lehtësisht e vërtetueshme në Google me një kërkim të thjesht.

Ekziston mundësia që referenca në fjalë të ketë qenë pjesë e mjedisit të pajisjes së personit i cili ka bërë reverse engineering, që ka ndarë dhe imazhin në fjalë. (Mund të ketë përdorur Android Studio për dekompilim).

AKCESK siguron që trajton me seriozitet dhe përgjegjshmëri çdo kërkesë të cilitdo qytetar, e cila i drejtohet autoritetit në të gjitha format dhe kanalet e komunikimit. Mbrojtja e hapësirës kibernetike dhe sigurimi i sistemeve elektronike që mbajnë dhe ruajnë të dhënat e qytetarëve është prioritet i autoritetit dhe i të gjitha institucioneve shqiptare.

Buletini javor 6-10 Nëntor 2023
AKSK