Οι ευρωπαϊκές αρχές κυκλοφόρησαν σήμερα ένα patch για το σύστημα eIDAS, το οποίο είναι η συντομογραφία για το electronic IDentification, Authentication and trust Services (υπηρεσίες ηλεκτρονικής ταυτοποίησης, πιστοποίησης και εμπιστοσύνης). Το νέο patch διορθώνει δύο σημαντικά σφάλματα ασφαλείας. Οι hackers θα μπορούσαν να χρησιμοποιήσουν τα σφάλματα για να παρουσιαστούν ως Ευρωπαίοι πολίτες ή εκπρόσωποι επιχειρήσεων και να κάνουν παράνομες συναλλαγές.
Το eIDAS είναι ένα αρκετά περίπλοκο σύστημα για την ασφαλή διαχείριση ηλεκτρονικών συναλλαγών και ψηφιακών υπογραφών μεταξύ των κρατών μελών της Ε.Ε., των πολιτών και των επιχειρήσεων.
Το σύστημα eIDAS δημιουργήθηκε το 2014. Είναι πολύ χρήσιμο γιατί επιτρέπει σε κυβερνήσεις, πολίτες και επιχειρήσεις της Ε.Ε. να διεξάγουν έγκυρες διασυνοριακές ηλεκτρονικές συναλλαγές, ανεξάρτητα από τη χώρα προέλευσης.
Το eIDAS-Node είναι το λογισμικό, που τρέχουν οι Ευρωπαίοι χρήστες στους servers τους για να μπορούν να κάνουν τις συναλλαγές.
Επομένως, οποιοδήποτε σφάλμα στο λογισμικό θα μπορούσε να προκαλέσει πολλά προβλήματα, αφού οι επιτιθέμενοι θα μπορούσαν να το αξιοποιήσουν και να παραβιάσουν τις ψηφιακές συναλλαγές (π.χ. πληρωμές φόρων, τραπεζικές μεταφορές, αποστολές εμπορευμάτων).
Ερευνητές ασφαλείας της SEC Consult δήλωσαν πρόσφατα ότι ανακάλυψαν δύο τέτοια σφάλματα που επέτρεπαν σε hackers να παρουσιάζονται σαν Ευρωπαίοι πολίτες ή επιχειρήσεις.
Σύμφωνα με τους ερευνητές, το λογισμικό δεν μπορούσε να επικυρώσει τα πιστοποιητικά που χρησιμοποιούνται στις συναλλαγές eIDAS. Έτσι, οι εγκληματίες θα μπορούσαν να πλαστογραφήσουν το πιστοποιητικό οποιουδήποτε άλλου πολίτη ή επιχείρησης eIDAS.
Οι επιτιθέμενοι θα μπορούσαν να αποκτήσουν πρόσβαση σε έναν eIDAS-Node server ενός κράτους μέλους και να χρησιμοποιήσουν πλαστά πιστοποιητικά κατά την αρχική διαδικασία ελέγχου ταυτότητας.
Οι ερευνητές έκαναν δοκιμές και διαπίστωσαν ότι η επίθεση αυτή είναι εφικτή.
Οι ευρωπαϊκές αρχές ενημερώθηκαν για τις ευπάθειες και κυκλοφόρησαν σήμερα μια νέα ενημερωμένη έκδοση του λογισμικού eIDAS-Node. Όλα τα κράτη μέλη καλούνται να ενημερώσουν τα συστήματά τους για να αποφύγουν πιθανές επιθέσεις.
