Специалисты SEC Consult обнаружили ошибки в аутентификационной системе eIDAS, используемой для подтверждения личности европейских граждан в межгосударственных транзакциях. Некорректная проверка цифровых сертификатов позволяла злоумышленникам проводить операции от чужого имени, будь то частные или юридические лица.

Система eIDAS (electronic IDentification, Authentication and trust Services, электронные услуги идентификации, проверки подлинности и оценки степени доверия) была создана в 2014 году. Она обеспечивает трансграничный обмен информацией между странами-участниками ЕС, позволяя проверять легитимность транзакций по национальным базам данных.

Главную роль при проведении операций в системе играют так называемые eIDAS-узлы (eIDAS-Node). Именно они отправляют и получают запросы на проверку данных, обеспечивают обмен информацией между общеевропейской инфраструктурой и базами каждого отдельного государства. Процесс коммуникации построен на базе открытого языка разметки SAML.

Как пояснили исследователи, проблема связана с неправильной верификацией подписи, удостоверяющей легитимность ответа на запрос. При получении SAML-сообщения приложение проверяет его цифровую подпись, но не уточняет, корректно ли подписан сертификат, на основе которого она создана. Таким образом, злоумышленники получили возможность сфальсифицировать сертификат и провести транзакцию от имени любого лица, если оно числится в eIDAS-базе.

Исследователи успешно протестировали свои сценарии атаки на легитимных приложениях Европейской комиссии. По их словам, на механику обнаруженной ими уязвимости могут повлиять информационные системы, работающие с eIDAS-узлами в местных организациях европейских стран. Из-за этого эксперты затруднились оценить общий масштаб угрозы.

Специалисты призывают пользователей ПО eIDAS-Node установить обновление 2.3.1, которое уже доступно на сайте разработчика. Кроме того, операторам eIDAS-узлов следует поискать признаки нелегитимных транзакций на своих участках ответственности.

В начале октября в Интернете обнаружилась база данных с информацией о российских налогоплательщиках. По мнению экспертов, преступники могли украсть эту информацию из хранилища какого-либо ведомства либо с одного из порталов государственных услуг.

Категории: Главное, Кибероборона