Európske orgány vydali aktualizáciu systému elektronických identifikačných, autentizačných a dôveryhodných služieb eIDAS, ktorá opravuje dve bezpečnostné chyby. Tie umožňovali potencionálnym útočníkom falšovať identity rôznych subjektov v EÚ. Doteraz používaná verzia systému eIDAS umožňovala útočníkom vydávať sa za občanov alebo spoločnosti EÚ.
eIDAS od roku 2014 spravuje elektronické transakcie a digitálne podpisy medzi štátmi, podnikmi a občanmi EÚ. Overovanie v systéme funguje na princípe porovnávania poskytnutých podpisov a odoslaných transakcií so záznamami v oficiálnej databáze štátu. Chyby v starej verzii ale systému neumožňovali potvrdiť identitu odosielateľa certifikátu, ktorým sa preukazoval. Útočníkovi tak stačilo nadviazať kontakt s eIDAS serverom ktoréhokoľvek členského štátu a pri procese identifikácie dodať podvrhnuté certifikáty iného členského subjektu.
Ako upozorňuje portál ZDnet, potencionálnemu útočníkovi to umožňovalo falšovať oficiálne transakcie ako platby daní, platby medzi bankami alebo zásielky tovarov. Európsku úniu na chyby upozornili výskumníci zo spoločnosti SEC Consult, ktorí tieto dve zraniteľnosti našli. Únia po oprave následne vyzvala členské štáty, aby si aktualizáciu nainštalovali čo najskôr. Nie je totiž zrejmé, do akej miery boli jednotlivé krajiny touto chybou ovplyvnené.
Zdroj: Cybersec