Niemiecki, cyfrowy dowód osobisty zhakowany

dodano: 2024-02-16 14:43 | aktualizacja: 2024-02-18 23:01
autor: HP | źródło: Spiegel/DF/Chaos Computer Club

Haker odkrył krytyczną lukę w niemieckim cyfrowym dowodzie osobistym (eID). Według raportu jaki opublikował „Spiegel” w Niemczech wykryto lukę w zabezpieczeniach korzystania z eID (niemieckiego dowodu osobistego online). Hakerowi posługującemu się pseudonimem „CtrlAlt” udało się otworzyć konto w dużym, niemieckim banku pod cudzym nazwiskiem.

ctrlalt.medium.com

Prosimy o wyłączenie blokowania reklam i odświeżenie strony.

Hakerowi udało mu się uzyskać dostęp do danych logowania do tzw. funkcji eID niemieckiego dowodu osobistego za pomocą własnej aplikacji zamiast oficjalnie udostępnianej „AusweisApp“.

Według raportu funkcja ta jest aktywowana dla ponad 50 mln Niemców, którzy korzystają z takich dowodów osobistych i służy jako podstawa cyfrowych procedur administracyjnych. Służy także m.in. do identyfikacji w bankach. Korzystając z tej sztuczki, hakerowi posługującemu się pseudonimem „CtrlAlt” udało się otworzyć konto w dużym, niemieckim banku pod cudzym nazwiskiem.

Do otwarcia konta można wykorzystać lukę w zabezpieczeniach internetowego dowodu osobistego

Haker tym samym udowodnił, że to realistyczny scenariusz ataku typu „man-in-the-middle”. Okazuje się, że Niemcy muszą szybko zapobiec temu, aby bliżej nieokreślona aplikacja do identyfikacji niż oficjalnie zatwierdzona mogła zarejestrować się i połączyć z telefonem komórkowym w celu uwierzytelnienia eID.

Aplikacja do eID jest niebezpieczna

Haker poinformował właściwe Federalne Biuro ds. Bezpieczeństwa Informacji (BSI) o swoich ustaleniach 31 grudnia. Jednakże niemiecki Urząd Federalny powiedział „Spiegelowi”, że nie widzi powodu, aby „zmieniać ocenę ryzyka podczas korzystania z eID” – wynika z raportu.

Nie jest to zatem atak na system eID, ale na urządzenia końcowe użytkowników.

Władze rozważają zmiany i dostosowanie się do aktualnej sytuacji, ale szczegółów, co oczywiste - brak.

Oświadczenie BSI:

- Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) potwierdza, że badacz bezpieczeństwa IT [rzekomy haker] wskazał na rzekomą lukę w systemie eID. BSI traktuje takie informacje poważnie, zawsze traktuje je poufnie i przeprowadza odpowiednie analizy.

W rezultacie BSI podkreśla:

- Opisany scenariusz nie stanowi ataku na sam system eID ani luki w powiązanych funkcjach bezpieczeństwa. BSI w dalszym ciągu nie widzi żadnych zmian w ocenie ryzyka w przypadku korzystania z funkcji identyfikatora internetowego. Z punktu widzenia BSI funkcja identyfikacji internetowej jest w dalszym ciągu najbezpieczniejszym sposobem cyfrowej identyfikacji tożsamości obywateli.

Pełny artykuł badawczy na temat ataku hakera można pobrać tu.