ЗМІ: "Білий хакер" знайшов "дірку" у використанні німецького сервісу електронної ID

П'ятниця, 16 лютого 2024, 09:05

У розпорядженні німецьких ЗМІ опинилося відео, що дозволяє припускати проблеми із захищеністю громадян під час користування державним застосунком для онлайн-ідентифікації громадян, на зразок української "Дії".

Про це повідомляє Spiegel, пише "Європейська правда".

Видання стверджує, що отримало від анонімного джерела – "білого" хакера – відеодоказ того, як він дистанційно відкриває рахунок в одному з німецьких банків за допомогою логіну через застосунок від імені сторонньої особи без її відома.  

Таким же чином він міг би переглянути приватні дані цієї людини щодо пенсійних заощаджень. 

У Німеччині вбудовану у паспорт-картку функцію eID мають 56 млн громадян – її інтегрують автоматично з літа 2017 року, але багато хто її не використовував до 2023 року, тому що варіантів практичного застосування було дуже мало. 

Протягом останнього року кількість використань подвоїлася і склала 10 млн разів – з’явилися застосунки різних сервісів, у які громадяни можуть заходити через функцію eID. Серед іншого, це банківські сервіси, страхові компанії та  BundID – сервіс для отримання багатьох адміністративних послуг. 

Продемонстровані "дірки" у безпеці можуть стати серйозним ударом, оскільки  eID вважається одним з ключових проєктів для цифровізації адміністративних послуг у Німеччині. У планах уряду було заохочувати переведення адмінпослуг повністю у дистанційний формат. 

"Білий хакер", який продемонстрував проблему, не захотів розкривати свою особу через те, що у німецькому законодавстві чітко не прописано відсутність покарання за такі дії, як він вчинив, з метою дослідження, а не злого умислу. Він представився як досвідчений фахівець з кібербезпеки і пояснив своє відкриття тим, що, як профільний фахівець, захотів подивитися, наскільки безпечно йому користуватися власною e-ID. 

"Я був здивований, наскільки легко виявилося скомпрометувати систему. Це лише питання часу, коли хтось цим скористається", – прокоментував він. 

Серед іншого, він написав просту програму, яка може фіксувати 6-значний код, який користувач вводить зі смартфона для входу. Для своїх цілей він скористався також відкритим кодом рекомендованого урядом застосунку для ID – який зумисно зробили публічним. 

Викрадення доступу потребує, щоб хакер спершу отримав доступ до смартфона особи через шпигунські програми, які продаються на чорному ринку, або через скомпрометовані застосунки, які шахраї зумисно завантажують на сервіси додатків Apple та Google, роблячи їх візуальною копією справжніх застосунків. Коли доступ до смартфона отримано, хакер може перехопити код доступу до eID під час його введення, а також підсунути користувачеві підроблений додаток.

Фахівець додав, що за кілька місяців до спілкування з журналістами звернувся також до органів, відповідальних за роботу застосунку, та описав, як обійшов захист. На його листи відповіли і визнали знахідки "технічно правильними майже у всіх аспектах". 

На запит видання відповідальне за кібербезпеку BSI відповіло, що не бачить причин змінювати оцінку ризиків у разі застосування eID, зокрема через те, що загрозу створює не проблема із захищеністю самої системи eID, а злам смартфона користувача. 

Проте ще один фахівець з кібербезпеки, з яким поспілкувались журналісти, з опису технології не погоджується з висновками відомства та вказує, що системою захисту потрібно унеможливити відкриття якогось стороннього додатка, що імітує офіційний. 

Нагадаємо, нещодавно повідомляли про спробу кібератаки на системи армії Литви.

Албанія звинуватила проіранських хакерів у кібератаці на відомство статистики.

Якщо ви помітили помилку, виділіть необхідний текст і натисніть Ctrl + Enter, щоб повідомити про це редакцію.