Cообщи

Департамент обнаружил в системе ИД-карты критическую ошибку (2)

Редактор: rus.postimees.ee
Copy
ИД-карта.
ИД-карта. Фото: Erik Prozes / Postimees

В конце января Департамент государственных инфосистем (RIA) обновил расширение браузера для использования ИД-карты, чтобы исправить критическую ошибку, которая позволяла злоумышленнику войти в электронные службы от имени пользователя.

По данным RIA, до обнаружения бреши воспользоваться уязвимостью в злонамеренных целях никто не успел.

Обнаружить опасную ошибку помогли ученые Тартуского университета, сообщили в департаменте государственных инфосистем.

В декабре партнер RIA сообщил об уязвимости в подключаемом модуле (программе, используемой для цифровой подписи электронной услуги ИД-карты) в браузерах Chrome, FireFox, Safari, Internet Explorer Edge и Edge Chromium.

Преступник мог воспользоваться уязвимостью подключаемого модуля, если бы он взял на себя управление, либо имел веб-сайт, где он мог бы пройти аутентификацию с помощью ИД-карты.

Если пользователь заходит на управляемый злоумышленником портал с помощью ИД-карты, злоумышленник может использовать информацию об операции аутентификации для входа в другую электронную службу от имени пользователя, без его ведома.

«По данным RIA уязвимостью никто не воспользовался. Ни одному пользователю не был нанесен ущерб. Брешь в системе безопасности была исправлена, и пользователям не о чем беспокоиться, - сказал руководитель отдела электронной идентификации RIA Марк Эрлих. - Речь идет о бреши, обнаружение которой потребовало бы больших усилий. Для теоретического злонамеренного ее использования необходимо было бы иметь контроль над сайтом, вход на который осуществляется с помощью ИД-карты».

По его словам, безопасность решений eID постоянно проверяется. «Если будет обнаружена брешь, о ней немедленно сообщат. Так государство может немедленно отреагировать и устранить проблему. Большое спасибо партнерам и ученым, которые обнаружили уязвимость до того, как ей воспользовались злоумышленники», - сказал Эрлих.

Читайте нас в Telegram! Чтобы найти наш канал, в строке поиска введите ruspostimees или просто перейдите по ссылке!

Наверх