TrustChain, EvroTrust, Hiventures | 2021.04.30.

Ahogy az előző részben ígértem, egy magyar online szerződéskötésre szakosodott vállalkozás (hitelesítés szolgáltató) azonosítási folyamatát fogom tesztelni és megosztani a vele kapcsolatos megállapításaimat. 

TrustChain Systems Kft.-t 2017-ben alapították, a weboldalukon található leírás szerint a cél egy olyan felület létrehozása volt, amely a Magyarországon belüli és a nemzetközi kereskedelmi ügyleteket és finanszírozásukat egyszerűbbé és gyorsabbá teszi a KKV szektorba tartozó cégek számára. Az általuk kifejlesztett TrustChain Platform egy olyan eszköz, amely online környezetben, részben automatizált módon valósítja meg a cégek közötti partner-azonosítás, szerződéskötés és a kapcsolódó pénzügyi elszámolás folyamatát.  A felhasználó számára könnyen kezelhető online felületen teszi hozzáférhetővé a rendszerben létrehozott elektronikus dokumentumokat; a tranzakciók jóváhagyása, az elektronikus dokumentumok aláírása pedig a bizalmi szolgáltatást végző Evrotrust okostelefonos applikációján keresztül történik. 

A cégbe több, piaci szereplő is befektetett (Startup Campus Inkubator Zrt. – 53 millió HUF, Hiventures Kockázati Tőkealap-kezelő Zrt. – két részletben összesen kb. 356 millió HUF). 

A cég aktuális és korábbi tulajdonosi szerkezetét megvizsgálva két személy válik érdekessé:

Dr. Fahn Gábor, aki 2002-ben szerzett jogi diplomát a Pázmány Péter Katolikus Egyetemen, azóta számos gazdasági vállalkozás alapítója, tulajdonosa volt, illetve ügyvédként is praktizál. Neve több esetben is különböző visszaélések és uniós források pályázatainak kapcsán merült fel. („PPO-botrány”, horvát letelepedési kötvények, stb.) 

Dr. Romhány Gergely, aki jelenleg is a cég ügyvezetője, 2006 és 2013 között több magyar és lengyel egyetemen is tanult, hazánkban az ELTE jogi karán és a Corvinus egyetemen szerzett diplomát. 

A két férfi neve a TrustChain alapítását megelőzően is felmerült közös gazdasági vállalkozásban. Romhány ügyvezetője, Fahn társalapítója volt a Repon Consulting and Research Kft.-nek, melynek köze volt a Csonticar céggel kapcsolatos botrányhoz is, melyről többek között a Pesti Srácok internetes oldal is írt. Később a cégből MerkIT Consulting Kft. lett, mely a mai napig működik, és amely 2019-ben a Trustchain tesztelését is elvégezte. 

Dr. Romhány Gergely és a Hiventures-höz köthető személyek kapcsolata nem pusztán a TrustChain vonatkozásában észlelhető. Dr. Romhány alapítója a fent jelzett MerkIT Consulting Kft.-nek, amely tulajdonosa az RnD Strategy Kft. Utóbbi gazdasági vállalkozásban tulajdonos még maga Dr. Romhány Gergely, illetve a Hiventures vezérigazgatójának, Katona Bencének a felesége, Dr. Katona-Dobos Klára Luca isA cég által készített Sciencer platform – amire kaptak 27 millió forintos állami támogatást – 2020 elején indult, azonban a regisztrált felhasználók száma a mai napig nem éri el a százat, marketing tevékenységet szinte egyáltalán nem folytatnak, így okkal feltételezhető, hogy valódi projekt nem valósult meg, és felmerül a gyanú, hogy az érintettek pusztán az állami támogatás megszerzésére törekedtek (a Trustchain és a Hiventures saját oldalaikon megjelenítik, mint együttműködő vállalkozást). A Sciencer honlapján továbbá mentorként jelölik meg Mikesy Álmost, aki jelenleg a Hiventures vezérigazgató helyettese. (frissítés: Mikesy Álmos jogviszonya 2021.04.20-al megszűnt a Hiventures Zrt.-ben.)

A Trustchain az elektronikus aláíráshoz szükséges hitelesítést a bolgár Evrotrust Technologies céggel kooperálva végzi. A bizalmi szolgáltatót 2015-ben alapították Bulgáriában, az általuk kifejlesztett telefonos applikáció segítségével az ügyfélnek – a sikeres validációt és regisztrációt követően – lehetősége van hiteles e-aláírással ellátni a különböző okiratokat. 

A cég vezetője Konstantin Stanislavov Bezuhanov, aki a kutatásaim alapján középiskolai és egyetemi tanulmányait Nagy-Britanniában folytatta, ahol feltehetően jelenleg is él. Magánéletéről az iskoláin és munkahelyein kívül egyáltalán nem oszt meg információkat, elektronikus lábnyoma kicsi. Mindezek a körülmények arra engednek következtetni, hogy az érintett rejtőzködő életmódja mögött adott esetben külföldi titkosszolgálati elemek (kötődés, kiképezettség…stb) húzódnak.

Nyílt forrású adatgyűjtésem feltárta, hogy Bezuhanov édesapja, Stanislav Konstantinov Bezuhanov 1989. február 09-én szerelt fel a bolgár Tudományos és Műszaki Hírszerzési Minisztérium állambiztonsági főosztályához hadnagyként. Később a bolgár InvestBank egyik vezetője lett (1997-ig), amelynek megalapításában az egykori bolgár állambiztonság is részt vehetett. A pénzintézet vezetőségében mintegy 10 olyan személy volt, akik egykor az állampárti titkosszolgálatnál dolgoztak, így felmerül annak alapos gyanúja, hogy a vállalkozás fedőcégként működött. 

Stanislav egyik testvéreSasha Bezuhanova Bulgária egyik, ha nem a legismertebb női IT-szakembere. A nővel kapcsolatban több cikkben is megemlítették, hogy abban az időben, amikor a Hewlett-Packardnál volt vezető, akkor a bolgár belügyminisztérium IT projektjét az amerikai nagykövetséggel fennálló kapcsolata és így vélhetően a diplomáciai nyomásgyakorlás révén sikerült a cégnek elnyernie. Kiemelendő, hogy Sasha Bezuhonava az Evrotrust igazgatósági tagja.

Az információgyűjtés után megvizsgáltam a TrustChain által alkalmazott regisztráció, azonosítási folyamatot, melyről az alábbi megállapításokat tudom tenni. Itt szeretném kiemelni azt is, hogy az észlelt problémák a tesztelés során létezőek voltak, de természetesen semmi nem garantálja azt, hogy a cikk megjelenése után a cég nem változtat az eljáráson, így a későbbi reprodukció sikertelen lehet.

Az Evrotrust (és így a TrustChain) által alkalmazott folyamat első lépéseként az ügyfél lefényképezi valamely, személyazonosításra alkalmas okmányát (Magyarország esetében a személyi igazolvány, illetve az útlevél az elfogadott). A második lépésben a rögzített dokumentumon található arcképet a rendszer biometrikus módszerrel összeveti a regisztráló élő kamerás képével, amely ha sikeres, a regisztráció kész, és 24 órán belül megkapja a jogosultságot az online aláírásra. 

Amennyiben sikertelen volt a második lépés, akkor egy élő operátorhoz kapcsol a program, aki ellenőrzi a személyazonosságot. A regisztráció során – állításuk szerint – a rögzített okmány adatait összevetik az adott ország nyilvántartásaival és elméletileg csak akkor lehet sikeres a regisztráció, ha nem hamis adatokat adtak meg. 

A regisztrációval kapcsolatos problémák és biztonsági rések:

  1. Biztonsági szempontból egyértelműen problémásnak tekinthető, hogy az igazolványt önmagában olvassák, azt nem kell semmilyen speciális utasításnak megfelelően bemutatni (a felhasználó arcával egyidejűleg felmutatni a kamerának, megmozgatni, hogy a holografikus biztonsági elemek felismerhetőek legyenek…stb.).

Tesztjeim alapján elmondható, hogy nem végeznek plasztik felismerést, tehát a regisztrációhoz nem szükséges, hogy valódi személyigazolvány kerüljön bemutatásra, elegendő, ha annak fényképe – monitoron megjelenített képe – kerül bemutatásra a kamerának. 

  1. A próba regisztrációk során azt is tapasztaltam, hogy az igazolvány befényképezését követően az azon lévő adatokatkiolvassa a rendszer, majd a felhasználó ezeket manuálisan módosíthatja. Erre vélhetőleg azért van szükség, mert előfordulhat, hogy bizonyos karaktereket rosszul ismer fel a rendszer, így nem az érvényes adatokat jeleníti meg. A regisztráció során a személyi igazolványon lévő egyik adatot tévesen olvasta be a rendszer. Mikor manuálisan kijavítottam, akkor véletlenül egy karaktert elütöttem és azt tapasztaltam, hogy a hibás adattal kitöltött regisztrációt a rendszer elfogadta és az elektronikus aláíráshoz való jogosultságot biztosította – ez indította aztán a mélyebb vizsgálatokat. 
  2. A fentiek értelmében erősen feltételezhető, hogy amennyiben egy valós személy személyi igazolványának képén kicserélésre kerül grafikai úton a fénykép, és az új képhez tartozó személy végzi el a videós azonosítást, akkor – mivel az előírások ellenére közhiteles nyilvántartásból nem kerül lekérésre az igazolványhoz tartozó fénykép, és a személyi igazolványról a rendszer nem képes megállapítani, hogy az nem valódi, csak egy szerkesztett kép – megtörténhet a hamis adatokkal történő regisztráció Egy személyi igazolványról készült képet megszerezni könnyű, hiszen rengeteg olyan azonosítási folyamat van, ahol lefénymásolják az igazolványt, de egy fals álláshirdetésnél az önéletrajzhoz kérhetik az igazolványok fényképének csatolását, így maga a tulajdonos készíti el a képet és küldi el. 
  3. További megerősítést nyert, hogy az EvroTrust– állítása ellenére – nem hajt végre lekérdezést a Belügyminisztérium NYHÁT által működtetett adatbázisában. A céget megkeresve, kifejezett kérés ellenére sem nevezték meg konkrétan azt a hazai nyilvántartást, amelyből lekérdezést hajtanak végre. Ezen túlmenően, egy valódi adatokkal végrehajtott, sikeres regisztrációt követően megkeresésre került az illetékes szerv, hogy a kérdéses személy vonatkozásában történt-e információkérés az elmúlt időszakban. A Belügyminisztérium Személyi Nyilvántartási és Igazgatási Főosztályának hivatalos válasza alapján nem történt információ-kérés az adott EvroTrust ügyfél személyi adatainak kapcsán. Ez alapján felmerül annak gyanúja, hogy a bizalmi szolgáltató valótlanul állítja, hogy a regisztráló fél az adott ország egyik hiteles adatbázisában is ellenőrzésre kerül

Elmondható tehát, hogy az elvégzett hitelesítési eljárás nem felel meg a cég által közölteknek, nem kérdeznek le a közhiteles adatbázisból adatokat, a regisztráció során mindösszesen beolvassák a személyi igazolványon lévő adatokat, amelyek a felhasználó által szabadon megváltoztathatók, majd a felhasználó videó szelfijében szereplő képet összehasonlítják a személyi igazolványon lévő képpel, és amennyiben az egyezik, úgy kiadják a tanúsítványt. A folyamat megvalósítása is olyan, hogy lehetőséget adhat a visszaélésekre, ezáltal minősített aláírást lehet szerezni amennyiben valakinek a személyi igazolványának a képe rendelkezésre áll.

A TrustChain, mint vállalkozás és mint megoldás egyaránt komolytalannak tűnik: valódi, saját termékkel nem rendelkeznek, saját leírásuk szerint is csak az Evrotrust alkalmazását használják, hozzáadott érték nem található a működésükben. Az a körülmény, hogy mindezek ellenére az állami tulajdonban álló Hiventures kockázati tőkealaptól mintegy 400 millió forinthoz jutottak elsősorban feltehetően annak köszönhető, hogy a két cég vezetői között szoros személyi összefonódások vannak. A Hiventures vezetése esetében nemcsak az összeférhetetlenség, hanem bűncselekmény elkövetésének gyanúja is felmerül, emiatt a cikk megjelenésével párhuzamos ismeretlen tettes ellen, nagy vagyoni hátrányt okozó hűtlen kezelés bűntette elkövetésének alapos gyanúja miatt büntetőfeljelentést tettem a Készenléti Rendőrség Nemzeti Nyomozó Irodánál. (frissítés: Az ügyben a BRFK elrendelte a nyomozást.)

Álláspontom szerint annak következményei, hogy amennyiben a közvélemény számára kiderül, hogy az állami pénzből támogatott – mely pénz odaítélése és felhasználása is kérdéses – TrustChain olyan azonosítási eljárást alkalmaz, amely könnyedén kijátszható, és az összegyűjtött személyes adatok és az összes eddig aláírt dokumentum tartalmi elemei a bolgár – és rajtuk keresztül akár az orosz – titkosszolgálatok birtokába kerülhettek, igen súlyosak.

Jelen cikkben megfogalmazott megállapítások célja nem a benne szereplő személyek vagy cégek rossz színben történő feltüntetése, hanem a figyelemfelhívás, a közvélemény objektív tájékoztatása, a szakmai etikai követelményeknek való elégtétel. A cikk megírásakor feltárt információk bárki számára elérhetően, nyilvános adatforrásokból származnak (cégtár, keresőmotorok, weboldalak, hírportálok). A további, esetleges bűncselekmény elkövetésének megállapítása és a felelősségre vonás az illetékes hatóságok feladata.

A bejegyzés forrásmegjelöléssel szabadon átvehető, feldolgozható, közzétehető!

Hubert Csaba 
kibernyomozó, etikus hacker