+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Smart-ID та Mobile-ID - вразливість в електронних системах посвідчення особи призвела до витоку персональних та фінансових даних громадян

Smart-ID та Mobile-ID - вразливість в електронних системах посвідчення особи призвела до витоку персональних та фінансових даних громадян

В Естонії вразливість в електронних системах посвідчення особи Smart-ID та Mobile-ID призвела до витоку персональних та фінансових даних громадян. Як повідомляє видання Postimees, інцидент мав місце у лютому цього року.

Smart-ID використовується громадянами Естонії для доступу до банківських рахунків, а через них – до громадських електронних сервісів. Електронна система сплати податків e-Tax Board має навіть функцію швидкого доступу до програми. Для Smart-ID не потрібна спеціальна SIM-картка, а сам сервіс не використовує SMS-протоколи, тому ним можна користуватися в роумінгу.

Додаток розроблено та продається в Естонії та за кордоном компанією SK ID Solutions, яка також розробляє конкуруючий додаток Mobile-ID для Управління поліції та прикордонної охорони та відповідає за створення цифрових сертифікатів для ID-карток.

Лютневі атаки базувалися на звичці естонців використовувати Mobile-ID для доступу до послуг, не перевіряючи, хто запитує їх PIN1 або PIN2, а також чи збігаються коди перевірок в електронному сервісі і на екрані їх пристроїв. У цьому випадку зловмисники розіслали жертвам SMS-повідомлення нібито від одного з естонських банків із проханням оновити свою інформацію. У повідомленні містилося посилання на фішинговий сайт, дизайн якого було повністю скопійовано з офіційного сайту банку.

Фішинговий сайт запитував авторизацію за допомогою Mobile-ID, внаслідок чого у зловмисників у руках виявилися PIN1 та PIN2, а також особисті ідентифікаційні коди жертв. За допомогою кодів злочинці спромоглися від імені жертв створити підроблені облікові записи Smart-ID.

Інші новини