СМИ: "белый хакер" нашел "дыру" в использовании немецкого сервиса электронной ID
В распоряжении немецких СМИ оказалось видео, позволяющее предполагать проблемы с защищенностью граждан при пользовании государственным приложением для онлайн-идентификации граждан, вроде украинской "Дії".
Об этом сообщает Spiegel, пишет "Европейская правда".
Издание утверждает, что получило от анонимного источника – "белого" хакера – видеодоказательство того, как он дистанционно открывает счет в одном из немецких банков с помощью логина через приложение от имени постороннего лица без его ведома.
Таким же образом он мог бы просмотреть частные данные этого человека относительно пенсионных сбережений.
В Германии встроенную в паспорт-карту функцию e-ID имеют 56 млн граждан – ее интегрируют автоматически с лета 2017 года, но многие ее не использовали до 2023 года, потому что вариантов практического применения было очень мало.
В течение последнего года количество использований удвоилось и составило 10 млн раз – появились приложения различных сервисов, в которые граждане могут заходить через функцию eID. Среди прочего, это банковские сервисы, страховые компании и BundID – сервис для получения многих административных услуг.
Продемонстрированные "дыры" в безопасности могут стать серьезным ударом, поскольку e-ID считается одним из ключевых проектов для цифровизации административных услуг в Германии. В планах правительства было поощрять перевод админуслуг полностью в дистанционный формат.
"Белый хакер", который продемонстрировал проблему, не захотел раскрывать свою личность, но лично передал редакции эту информацию. Он представился как опытный специалист по кибербезопасности и объяснил свое открытие тем, что, как профильный специалист, захотел посмотреть, насколько безопасно ему пользоваться собственной e-ID.
"Я был удивлен, насколько легко оказалось скомпрометировать систему. Это лишь вопрос времени, когда кто-то этим воспользуется", – прокомментировал он.
Среди прочего, он написал простую программу, способную фиксировать 6-значный код, который пользователь вводит со смартфона для входа. Для своих целей он воспользовался также открытым кодом рекомендованного правительством приложения для ID – которое намеренно сделали публичным.
Похищение доступа требует, чтобы хакер сначала получил доступ к смартфону лица через шпионские программы, которые продаются на черном рынке, или через скомпрометированные приложения, которые мошенники умышленно загружают на сервисы приложений Apple и Google, делая их визуальной копией настоящих приложений. Когда доступ к смартфону получен, хакер может перехватить код доступа к eID во время его ввода, а также подсунуть пользователю поддельное приложение.
Специалист добавил, что за несколько месяцев до общения с журналистами обратился также в органы, ответственные за работу приложения, и описал, как обошел защиту. На его письма ответили и признали находки "технически правильными почти во всех аспектах".
На запрос издания ответственное за кибербезопасность BSI ответило, что не видит причин менять оценку рисков в случае применения eID, в частности из-за того, что угрозу создает не проблема с защищенностью самой системы eID, а взлом смартфона пользователя.
Однако еще один специалист по кибербезопасности, с которым пообщались журналисты, по описанию технологии не соглашается с выводами ведомства и указывает, что системой защиты нужно исключить открытие какого-то стороннего приложения, имитирующего официальное.
Напомним, недавно сообщалось о попытке кибератаки на системы армии Литвы.
Албания обвинила проиранских хакеров в кибератаке на ведомство статистики.